前回は第1回ということで、「お客様のLANとAWS上のSAPを安全に接続するには?」について、AWSとのVPN接続の今の状況をお伝えしておりました。
今回は、SAPのサポート要件で必須となるOSS接続について、「AWS上のSAP環境から直接SAP OSSへ接続できるのか?」について書きます。
SAPを運用するにあたり、当然SAP社からのサポートを受ける必要があります。
ここで気になるのが、AWSからOSS(Online SAP Support)へ直接接続できるのかどうかです。
SAP OSSへ接続する方法は3つ(専用線/SNC/InternetVPN)ありますが、ここでは専用線については割愛します。
・SNC
SNCは、ユーザとSAP社のSAProuter同士で暗号/復号して安全に通信を行う方式です。
SAProuterさえあれば、VPN装置等のハードウェアは必要ありません。
この場合、SAProuterをAWSのEC2インスタンスにインストールし、セキュリティグループで必要なポート番号を開放してあげるだけで、SAP OSSと接続する環境が整います。
あとは、SNC証明書を毎年更新していくことで環境を維持することができます。
SNCに関しては、特に問題なさそうです。
・InternetVPN
SNCとは違い、InternetVPNはVPN装置等のハードウェアでVPNトンネルを生成しSAP OSSに接続します。
AWS側はVPCでVPN設定を行い、SAP OSS側は既存のRouterでVPN設定を行っています。
流れとしては、SAP社に必要な情報を送信すると、VPN設定に必要な情報が返信されます。
その情報を基にVPN設定をするのですが、ポイントはその通りにVPCで設定できるかどうかです。
調べているうちに、現時点ではVPCを使ってSAP OSSに直接InternetVPN接続できないことが分かりました。
理由は、AWSとSAP OSSの暗号化方式の違いにあります。
AWS側では、VPN接続に使う暗号化方式を「AES128bit」と定めています。
一方、SAP OSS側では「3DES」と定めています。
この暗号化方式が同じでない限り、VPN接続をすることはできません。少なくとも方式が同じでかつパラメータが同じになれば理論的には繋がることになります。
Amazon社とSAP社の双方がこの件について調整をしない限り、当分の間はAWS上のSAPからSAP OSSへの直接接続はできなさそうです。
ただし、直接接続ができないだけで、SAP OSSと全くつながらないというわけではありません。この方法でなくてもちゃんとSAP OSSに接続できますので、その点についてはご安心ください。
長文お読み頂きありがとうございました。
- カテゴリ: クラウド
この記事に関するサービスのご紹介
導入/移行(プロフェッショナル)サービス
プロフェッショナルサービスでは主にSAPシステムの導入や移行、それに伴うテクニカルな支援を行います。ERPやS/4 HANA、SolManといった様々なSAP製品の新規導入、クラウドを含む様々なプラットフォームへのSAPシステムの最適な移行、保守切れに伴うバージョンアップ・パッチ適用等の作業だけでなく、パラメータ設計、パフォーマンスチューニング、導入・移行計画支援等についても対応いたします。
詳細はこちら