Azure PaaS를 통해 SAP 레거시 미들웨어를 안전하게 노출

아티클
02/19/2024

내부 시스템과 외부 파트너가 SAP 백 엔드와 상호 작용할 수 있게 하는 것은 일반적인 요구 사항입니다. 기존 SAP 환경에서 통합 및 변환 요구 사항에 레거시 미들웨어 SAP PO(Process Orchestration) 또는 PI(프로세스 통합)를 사용하는 경우가 많습니다. 간단히 하기 위해 이 문서에서는 SAP Process Orchestration이라는 용어를 사용하여 두 제품을 모두 참조합니다.

이 문서에서는 인터넷 연결 구현을 중점으로 Azure의 구성 옵션을 설명합니다.

참고 항목

SAP는 SAP PO/PI 후속으로 BTP(Business Technology Platform)에서 실행되는 SAP Integration Suite(특히 SAP Cloud Integration)를 언급합니다. Azure에서 BTP 플랫폼과 서비스 모두 사용할 수 있습니다. 자세한 내용은 SAP Discovery Center를 참조하세요. 레거시 구성 요소의 유지 관리 지원 타임라인에 대한 자세한 내용은 SAP OSS Note 1648480을 참조하세요.

개요

SAP 미들웨어를 기반으로 하는 기존 구현에서 SAP Web Dispatcher라고 하는 SAP 독점 디스패치 기술을 사용하는 경우가 많습니다. 이 기술은 OSI 모델의 계층 7에서 작동합니다. 역방향 프록시 역할을 하며 SAP ERP(Enterprise Resource Planning), SAP 게이트웨이 또는 SAP 프로세스 오케스트레이션과 같은 다운스트림 SAP 애플리케이션 워크로드에 대한 로드 밸런싱 요구 사항을 처리합니다.

디스패치 방식에는 Apache와 같은 기존의 역방향 프록시, Azure Load Balancer와 같은 PaaS(Platform as a Service) 옵션, 독자적인 SAP Web Dispatcher가 포함됩니다. 이 문서에 설명된 전체 개념은 언급된 옵션에 적용됩니다. 비 SAP 부하 분산 장치 사용에 대한 지침은 SAP의 wiki를 참조하세요.

참고 항목

이 문서에 설명된 모든 설정은 공유 서비스가 허브에 배포되는 허브-스포크 네트워크 토폴로지로 가정합니다. SAP의 중요도에 따라 더 많은 격리가 필요할 수 있습니다. 자세한 내용은 경계 네트워크에 대한 SAP 디자인 가이드를 참조하세요.

기본 Azure 서비스

Azure Application Gateway는 공개 인터넷 기반 및 내부 프라이빗 HTTP 라우팅과 Azure 구독 간 암호화된 터널링을 처리합니다. 예를 들면 보안 및 자동 크기 조정이 있습니다.

Azure Application Gateway는 웹 애플리케이션 노출에 중점을 두므로 WAF(웹 애플리케이션 방화벽)을 제공합니다. Azure Application Gateway를 통해 SAP와 통신하는 다른 가상 네트워크의 워크로드는 테넌트 간에서도 프라이빗 링크를 통해 연결될 수 있습니다.

Azure 애플리케이션 Gateway를 통한 테넌트 간 통신을 보여 주는 다이어그램

Azure Firewall은 OSI 모델의 레이어 4~7에서 트래픽 형식의 공용 인터넷 기반 및 내부 프라이빗 라우팅을 처리합니다. 필터링과 Microsoft Security에서 직접 피드하는 위협 인텔리전스를 제공합니다.

Azure API Management는 특히 API의 공용 인터넷 기반 및 내부 프라이빗 라우팅을 처리합니다. 요청 제한, 사용 할당량 및 한도, 정책과 같은 거버넌스 기능, 클라이언트별로 서비스를 분류하는 API 키를 제공합니다.

VPN Gateway 및 Azure ExpressRoute는 온-프레미스 네트워크에 대한 진입점 역할을 합니다. 다이어그램에서는 이들을 VPN 및 XR로 줄여서 사용합니다.

설치 고려 사항

통합 아키텍처 요구 사항은 조직에서 사용하는 인터페이스에 따라 다릅니다. IDoc(Intermediate Document) 프레임워크, BAPI(Business Application Programming Interface), tRFC(transactional Remote Function Calls) 또는 일반 RFC와 같은 SAP 전용 기술에는 특정 런타임 환경이 필요합니다. 일반적으로 HTP 기반 통신(OSI 모델의 레이어 7)을 사용하는 최신 API와 달리 OSI 모델의 레이어 4~7에서 작동합니다. 따라서 인터페이스를 같은 방식으로 처리할 수 없습니다.

이 문서는 AS2(Applicability Statement 2)와 같은 통합 시나리오를 포함하여 최신 API 및 HTTP를 중점적으로 다룹니다. FTP(파일 전송 프로토콜)는 비 HTTP 통합 요구를 처리하는 예로 사용됩니다. Microsoft 부하 분산 솔루션에 대한 자세한 내용은 부하 분산 옵션을 참조하세요.

참고 항목

SAP는 재산적 가치를 가지는 인터페이스 전용 커넥터를 게시합니다. 예를 들어 Java 및 .NET에 대한 SAP 설명서를 확인합니다. Microsoft 게이트웨이에서도 지원됩니다. IDoc는 HTTP를 통해 게시될 수도 있습니다.

보안 문제를 해결하려면 TLS(전송 계층 보안)를 사용하여 HTTP 기반 트래픽을 처리하도록 하위 수준 프로토콜의 방화벽과 WAF를 사용해야 합니다. 적용하려면 WAF 수준에서 TLS 세션을 종료해야 합니다. 제로 트러스트 접근 방식을 지원하려면 종단 간 암호화를 제공하기 위해 나중에 다시 재암호화하는 것이 좋습니다.

AS2와 같은 통합 프로토콜은 표준 WAF 규칙을 사용하여 경고를 발생시킬 수 있습니다. 효과적이고 안전하게 수정할 수 있도록 Application Gateway WAF 심사 통합 문서를 사용하여 규칙이 트리거되는 이유를 식별하고 더욱 명확하게 이해하는 것이 좋습니다. OWASP(Open Web Application Security Project)는 표준 규칙을 제공합니다. SAP Fiori 노출에 중점을 둔 이 토픽에 대한 자세한 비디오 세션은 Azure의 SAP 웹캐스트를 참조하세요.

상호 인증이라고도 하는 mTLS(상호 TLS)를 사용하여 보안을 더욱 강화할 수 있습니다. 일반 TLS와 달리 클라이언트 ID를 확인합니다.

참고 항목

VM(가상 머신) 풀에는 부하 분산 장치가 필요합니다. 쉽게 읽을 수 있도록 이 문서의 다이어그램에는 부하 분산 장치가 표시되어 있지 않습니다.

참고 항목

SAP Web Dispatcher가 제공하는 SAP 관련 분산 기능이 필요하지 않은 경우 Azure Load Balancer로 바꿀 수 있습니다. 이렇게 바꾸면 IaaS(Infrastructure as a Service) 설정 대신 관리형 PaaS 제품의 이점을 제공합니다.

시나리오: 인바운드 HTTP 연결 중심

SAP Web Dispatcher는 WAF를 제공하지 않습니다. 따라서 보다 안전한 설정을 위해 Azure Application Gateway를 권장합니다. SAP Web Dispatcher 및 Process Orchestration은 크기 조정 지침 및 동시 요청 제한을 사용하여 계속 요청 오버로드로부터 SAP 백 엔드를 보호하는 데 도움이 됩니다. SAP 워크로드에서 사용할 수 있는 제한 기능은 없습니다.

SAP Web Dispatcher의 액세스 제어 목록을 통해 의도하지 않은 액세스를 방지할 수 있습니다.

SAP Process Orchestration 통신 시나리오 중 하나는 인바운드 흐름입니다. 트래픽은 온-프레미스, 외부 앱이나 사용자 또는 내부 시스템에서 발생할 수 있습니다. 다음 예는 HTTPS에 중점을 둡니다.

Azure에서 SAP 프로세스 오케스트레이션을 사용하는 인바운드 HTTP 시나리오를 보여 주는 다이어그램

시나리오: 아웃바운드 HTTP/FTP 연결 중심

역방향 통신의 경우 SAP Process Orchestration은 가상 네트워크 라우팅을 사용하여 인터넷 브레이크아웃을 통해 온-프레미스 워크로드 또는 인터넷 기반 대상에 도달할 수 있습니다. Azure Application Gateway는 이러한 시나리오에서 역방향 프록시 역할을 합니다. 비 HTTP 통신의 경우 Azure Firewall을 추가하는 것이 좋습니다. 자세한 내용은 이 문서의 뒷부분에 있는 시나리오: 파일 기반 및 게이트웨이 구성 요소 비교를 참조하세요.

다음 아웃바운드 시나리오에서는 두 가지 가능한 방법을 보여줍니다. 웹 서비스(예: SOAP 어댑터)를 호출하는 Azure Application Gateway를 통해 HTTPS를 사용합니다. 다른 하나는 비즈니스 파트너의 SFTP 서버로 파일을 전송하는 Azure Firewall를 통해 SFTP(FTP over SSH)를 사용합니다.

Azure에서 SAP Process Orchestration을 사용하는 아웃바운드 시나리오를 보여 주는 다이어그램

시나리오: API Management 중심

인바운드 및 아웃바운드 연결 시나리오와 비교할 때 내부 모드의 Azure API Management(개인 IP 전용 및 가상 네트워크 통합)의 도입은 다음과 같은 기본 제공 기능을 추가합니다.

제한.
API 거버넌스.
최신 인증 흐름과 같은 추가 보안 옵션.
Microsoft Entra ID 통합.
회사 전체의 중앙 API 솔루션에 SAP API를 추가할 수 있는 기회.

Azure에서 Azure API Management와 SAP Process Orchestration을 사용하는 인바운드 시나리오를 보여 주는 다이어그램

WAF가 필요하지 않은 경우 공용 IP 주소를 사용하여 외부 모드에서 Azure API Management를 배포할 수 있습니다. 이 배포는 제한 및 API 거버넌스 기능을 유지하면서 설정을 간소화할 수 있습니다. 기본 보호는 모든 Azure PaaS 제품에 구현됩니다.

외부 모드의 Azure API Management와 SAP Process Orchestration을 사용하는 인바운드 시나리오를 보여 주는 다이어그램

시나리오: 전역 도달률

Azure Application Gateway는 지역 바인딩 서비스입니다. 이전 시나리오와 비교하여 Azure Front Door는 웹 애플리케이션 방화벽을 포함한 지역 간 전역 라우팅을 보장합니다. 차이점에 대한 자세한 내용은 이 비교를 참조하세요.

다음 다이어그램은 쉽게 읽을 수 있도록 SAP Web Dispatcher, SAP Process Orchestration 및 백 엔드를 단일 이미지로 압축합니다.

Azure에서 SAP Process Orchestration을 사용하는 전역 도달률 시나리오를 보여 주는 다이어그램

시나리오: 파일 기반

FTP와 같이 비 HTTP 프로토콜은 이전 시나리오에 표시된 것처럼 Azure API Management, Application Gateway 또는 Azure Front Door로 처리할 수 없습니다. 대신 관리형 Azure Firewall 인스턴스 또는 동등한 NVA(네트워크 가상 어플라이언스)에서 인바운드 요청을 보호하는 역할을 맡습니다.

SAP에서 파일을 처리하려면 먼저 파일을 저장해야 합니다. SFTP를 사용하는 것이 좋습니다. Azure Blob Storage에서는 SFTP를 기본 지원합니다.

Azure Blob Storage 및 Azure의 SAP 프로세스 오케스트레이션을 사용하는 파일 기반 시나리오를 보여 주는 다이어그램.

필요한 경우 Azure Marketplace에서 대체 SFTP 옵션을 사용할 수 있습니다.

다음 다이어그램은 외부 및 온-프레미스 통합 대상이 있는 이 시나리오의 변형을 보여줍니다. 서로 다른 유형의 보안 FTP는 통신 경로를 보여줍니다.

Azure에서 SAP Process Orchestration을 사용하는 온-프레미스 파일 공유와 외부 주체가 있는 파일 기반 시나리오를 보여 주는 다이어그램

Blob Storage 대신 사용할 수 있는 NFS(네트워크 파일 시스템) 파일 공유에 대한 인사이트는 Azure Files의 NFS 파일 공유를 참조하세요.

시나리오: SAP RISE 관련

SAP RISE 배포는 SAP 자체가 대상 SAP 워크로드를 관리한다는 점을 제외하면 앞에서 설명한 시나리오와 기술적으로 동일합니다. 설명된 개념을 여기에 적용할 수 있습니다.

다음 다이어그램은 두 가지 설정을 예로 보여줍니다. 자세한 내용은 SAP RISE 참조 가이드를 참조하세요.

Important

시나리오에 대한 통신 포트가 허용되고 NSG에서 열리는지 SAP에 문의하세요.

HTTP 인바운드

첫 번째 설정에서 고객은 SAP Process Orchestration 및 전체 인바운드 경로를 포함하여 통합 계층을 관리합니다. 최종 SAP 대상만 RISE 구독에서 실행됩니다. RISE 호스트 워크로드에 대한 통신은 일반적으로 허브에서 가상 네트워크 피어링을 통해 구성됩니다. 잠재적 통합은 외부 주체가 SAP ERP 웹 서비스 /sap/bc/idoc_xml에 게시한 IDoc일 수 있습니다.

RISE 컨텍스트의 Azure에서 Azure API Management와 자체 호스트된 SAP Process Orchestration을 사용하는 인바운드 시나리오를 보여 주는 다이어그램

이 두 번째 예에서는 SAP RISE에서 API Management 레이어를 제외한 전체 통합 체인을 실행하는 설정을 보여줍니다.

RISE 컨텍스트의 Azure에서 Azure API Management와 SAP 호스트된 SAP Process Orchestration을 사용하는 인바운드 시나리오를 보여 주는 다이어그램

파일 아웃바운드

이 시나리오에서 SAP 관리 Process Orchestration 인스턴스는 Azure의 고객 관리형 파일 공유나 온-프레미스에 있는 워크로드에 파일을 작성합니다. 고객이 브레이크아웃을 처리합니다.

RISE 컨텍스트의 Azure에서 SAP Process Orchestration을 사용하는 파일 공유 시나리오를 보여 주는 다이어그램

게이트웨이 설정 비교

참고 항목

성능 및 비용 메트릭은 프로덕션 등급 계층을 가정합니다. 자세한 내용은 Azure 가격 계산기를 참조하세요. Azure Firewall 성능, Application Gateway 높은 트래픽 지원 및 Azure API Management 인스턴스 용량 문서도 참조하세요.

이 문서에서 설명하는 게이트웨이 구성 요소를 비교하는 테이블입니다.

사용 중인 통합 프로토콜에 따라 여러 구성 요소가 필요할 수 있습니다. Azure Application Gateway와 Azure Firewall을 연결하는 다양한 조합의 이점에 대한 자세한 내용은 Azure Firewall 및 가상 네트워크용 Application Gateway를 참조하세요.

Thumb 통합 규칙

이 문서에서 설명하는 통합 시나리오가 요구 사항에 가장 적합한지 확인하려면 사례별로 평가하세요. 다음 기능을 사용하는 것이 좋습니다.

API Management를 사용하여 제한 요청
SAP Web Dispatcher의 동시 요청 제한
클라이언트와 수신자를 확인하기 위한 상호 TLS
WAF 및 TLS 종료 후 재암호화
비 HTTP 통합용 Azure Firewall
VM 기반 SAP 통합 워크로드의 고가용성 및 재해 복구
해당하는 경우 OAuth2와 같은 최신 인증 메커니즘
관련된 모든 자격 증명, 인증서 및 키에 대한 Azure Key Vault와 같은 관리형 키 저장소

SAP Process Orchestration을 Azure Integration Services로 대체

Azure Integration Services 포트폴리오를 사용하면 SAP Process Orchestration이 다루는 통합 시나리오를 기본적으로 해결할 수 있습니다. 클라우드 네이티브 수단을 통해 SAP IFlow 패턴을 설계하는 방법에 대한 인사이트는 이 블로그 시리즈를 참조하세요. 커넥터 가이드에는 AS2 및 EDIFACT에 대한 자세한 내용이 포함되어 있습니다.

자세한 내용은 원하는 SAP 인터페이스에 대한 Azure Logic Apps 커넥터를 참조하세요.