اتصالات الإنترنت الواردة والصادرة ل SAP على Azure

Azure Virtual Machines
Azure Virtual Network
Azure Application Gateway
Azure Load Balancer

توفر هذه المقالة مجموعة من الممارسات المثبتة لتحسين أمان اتصالات الإنترنت الواردة والصادرة ل SAP على البنية الأساسية ل Azure.

بناء الأنظمة

رسم تخطيطي يوضح حلا للاتصالات التي تواجه الإنترنت ل SAP على Azure.

قم بتنزيل ملف Visio للبنى في هذه المقالة.

يوضح هذا الحل بيئة إنتاج مشتركة. يمكنك تقليل حجم التكوين ونطاقه ليناسب متطلباتك. قد ينطبق هذا التخفيض على مشهد SAP: عدد أقل من الأجهزة الظاهرية (VMs)، أو عدم توفر عال، أو SAP Web Dispatchers المضمنة بدلا من الأجهزة الظاهرية المنفصلة. كما يمكن تطبيقه على بدائل تصميم الشبكة، كما هو موضح لاحقا في هذه المقالة.

تتطلب متطلبات العملاء، التي تحركها سياسات الأعمال، تعديلات على البنية، خاصة لتصميم الشبكة. عندما يكون ذلك ممكنا، قمنا بإدراج بدائل. العديد من الحلول قابلة للتطبيق. اختر نهجا مناسبا لعملك. يحتاج إلى مساعدتك في تأمين موارد Azure الخاصة بك ولكن لا يزال يوفر حلا مؤديا.

الإصلاح بعد الكوارث (DR) غير مشمول في هذه البنية. بالنسبة لتصميم الشبكة، تنطبق نفس المبادئ والتصميم الصالحة لمناطق الإنتاج الأساسية. في تصميم الشبكة، اعتمادا على التطبيقات التي تتم حمايتها بواسطة DR، ضع في اعتبارك تمكين DR في منطقة Azure أخرى. لمزيد من المعلومات، راجع المقالة نظرة عامة على التعافي من الكوارث وإرشادات البنية الأساسية لحمل عمل SAP

‏‏سير العمل‬

  • تتصل الشبكة المحلية بمركز مركزي عبر Azure ExpressRoute. تحتوي الشبكة الظاهرية المركزية على شبكة فرعية للبوابة وشبكة فرعية لجدار حماية Azure وشبكة فرعية للخدمات المشتركة وشبكة فرعية لبوابة تطبيق Azure.
  • يتصل المركز باشتراك إنتاج SAP عبر تناظر الشبكة الظاهرية. يحتوي هذا الاشتراك على شبكتين ظاهريتين محوريتين:
    • تحتوي الشبكة الظاهرية الفرعية لمحيط SAP على شبكة فرعية لتطبيق SAP المحيط.
    • تحتوي الشبكة الظاهرية لإنتاج SAP على شبكة فرعية للتطبيق وشبكة فرعية لقاعدة بيانات.
  • يتصل اشتراك المركز واشتراك إنتاج SAP بالإنترنت عبر عناوين IP العامة.

المكونات

الاشتراكات. تنفذ هذه البنية نهج منطقة هبوط Azure. يتم استخدام اشتراك Azure واحد لكل حمل عمل. يتم استخدام اشتراك واحد أو أكثر لخدمات تكنولوجيا المعلومات المركزية التي تحتوي على مركز الشبكة والخدمات المركزية والمشتركة مثل جدران الحماية أو Active Directory وDNS. يتم استخدام اشتراك آخر لحمل عمل إنتاج SAP. استخدم دليل القرار في Cloud Adoption Framework ل Azure لتحديد أفضل استراتيجية اشتراك للسيناريو الخاص بك.

الشبكات الظاهرية. تربط شبكة Azure الظاهرية موارد Azure ببعضها البعض مع أمان محسن. في هذه البنية، تتصل الشبكة الظاهرية ببيئة محلية عبر ExpressRoute أو بوابة الشبكة الظاهرية الخاصة (VPN) التي يتم نشرها في مركز تخطيط الشبكة المحورية. يستخدم مشهد إنتاج SAP الشبكات الظاهرية المحورية الخاصة به. تؤدي شبكتان ظاهريتان متميزتان مهاما مختلفة، وتوفر الشبكات الفرعية فصل الشبكة.

يسهل الفصل إلى شبكات فرعية حسب حمل العمل استخدام مجموعات أمان الشبكة (NSGs) لتعيين قواعد الأمان للأجهزة الظاهرية للتطبيق أو خدمات Azure التي يتم نشرها.

بوابة المناطق ذات التكرار المرتفع. تقوم البوابة بتوصيل شبكات مميزة، مما يوسع شبكة الاتصال الداخلية إلى الشبكة الظاهرية لـAzure. نوصي باستخدام ExpressRoute لإنشاء اتصالات خاصة لا تستخدم الإنترنت العام. يُمكنك أيضًا استخدام اتصال من موقع إلى موقع. يمكنك نشر بوابات ExpressRoute أو VPN عبر المناطق للمساعدة في تجنب فشل المنطقة. راجع بوابات الشبكة الظاهرية المكررة في المنطقة للحصول على شرح للاختلافات بين التوزيع النطاقي والنشر المتكرر في المنطقة. لنشر منطقة من البوابات، تحتاج إلى استخدام عناوين IP SKU القياسية.

NSGs. لتقييد حركة مرور الشبكة من وإلى الشبكة الظاهرية، قم بإنشاء مجموعات أمان الشبكة وتعيينها إلى شبكات فرعية معينة. توفير الأمان للشبكات الفرعية الفردية باستخدام مجموعات أمان الشبكة الخاصة بحمل العمل.

مجموعات أمان التطبيقات. لتعريف نهج أمان الشبكة الدقيقة في مجموعات أمان الشبكة استنادا إلى أحمال العمل التي تركز على التطبيقات، استخدم مجموعات أمان التطبيقات بدلا من عناوين IP الصريحة. باستخدام مجموعات أمان التطبيقات، يمكنك تجميع الأجهزة الظاهرية حسب الغرض، على سبيل المثال، SAP SID. تساعد مجموعات أمان التطبيقات في تأمين التطبيقات من خلال تصفية نسبة استخدام الشبكة من الشرائح الموثوق بها في شبكتك.

نقطة النهاية الخاصة. تعمل العديد من خدمات Azure كخدمات عامة، من خلال التصميم الذي يمكن الوصول إليه عبر الإنترنت. للسماح بالوصول الخاص عبر نطاق الشبكة الخاص بك، يمكنك استخدام نقاط النهاية الخاصة لبعض الخدمات. نقاط النهاية الخاصة هي واجهات شبكة الاتصال في شبكتك الظاهرية. إنها تجلب الخدمة بشكل فعال إلى مساحة الشبكة الخاصة بك.

بوابة تطبيق Azure. بوابة التطبيق هي موازن تحميل نسبة استخدام الشبكة على الويب. مع وظائف جدار حماية تطبيق الويب الخاص به، فهي الخدمة المثالية لعرض تطبيقات الويب على الإنترنت مع تحسين الأمان. يمكن ل Application Gateway خدمة العملاء العامين (الإنترنت) أو الخاصين، أو كليهما، اعتمادا على التكوين.

في البنية، تسمح بوابة التطبيق، باستخدام عنوان IP عام، بالاتصالات الواردة إلى مشهد SAP عبر HTTPS. تجمعها الخلفي هو جهازين ظاهريين أو أكثر من SAP Web Dispatcher، يتم الوصول إليها ذهابا وإيابا وتوفر توفرا عاليا. بوابة التطبيق هي وكيل عكسي وموازن تحميل حركة مرور الويب، ولكنها لا تحل محل SAP Web Dispatcher. يوفر SAP Web Dispatcher تكامل التطبيق مع أنظمة SAP الخاصة بك ويتضمن ميزات لا توفرها Application Gateway في حد ذاتها. يتم تنفيذ مصادقة العميل، عندما تصل إلى أنظمة SAP، بواسطة طبقة تطبيق SAP محليا أو عبر تسجيل الدخول الأحادي. عند تمكين حماية Azure DDoS، ضع في اعتبارك استخدام وحدة SKU لحماية شبكة DDoS حيث سترى خصومات لجدار حماية تطبيق ويب لبوابة التطبيق.

للحصول على الأداء الأمثل، قم بتمكين دعم HTTP/2 ل Application Gateway وSAP Web Dispatcher وSAP NetWeaver.

Azure Load Balancer. يوفر Azure Standard Load Balancer عناصر شبكة الاتصال لتصميم قابلية وصول عالية لأنظمة SAP الخاصة بك. بالنسبة للأنظمة المجمعة، يوفر موازن التحميل القياسي عنوان IP الظاهري لخدمة نظام المجموعة، مثل مثيلات ASCS/SCS وقواعد البيانات التي تعمل على الأجهزة الظاهرية. يمكنك أيضا استخدام موازن التحميل القياسي لتوفير عنوان IP لاسم مضيف SAP الظاهري للأنظمة غير المجمعة عندما لا تكون عناوين IP الثانوية على بطاقات شبكة Azure خيارا. يتم تناول استخدام موازن التحميل القياسي بدلا من Application Gateway لمعالجة الوصول إلى الإنترنت الصادر لاحقا في هذه المقالة.

تصميم الشبكة

تستخدم البنية شبكتين ظاهريتين منفصلتين، كلتا الشبكتين الظاهريتين المحوريتين المتناظرتين مع الشبكة الظاهرية للمركز المركزي. لا يوجد تناظر بين المتحدثين. يتم استخدام مخطط نجمي، حيث يمر الاتصال عبر المركز. يساعد فصل الشبكات على حماية التطبيقات من الخروقات.

تحتوي الشبكة المحيطة الخاصة بالتطبيق (المعروفة أيضا باسم DMZ) على التطبيقات المواجهة للإنترنت، مثل SAProuter وSAP Cloud Connector وSAP Analytics Cloud Agent وغيرها. في الرسم التخطيطي للبنية، تسمى الشبكة المحيطة بمحيط SAP - الشبكة الظاهرية المحورية. نظرا للتبعيات على أنظمة SAP، يقوم فريق SAP عادة بنشر هذه الخدمات وتكوينها وإدارتها. لهذا السبب لا توجد خدمات SAP المحيطة في كثير من الأحيان في اشتراك مركز مركزي وشبكة. غالبا ما تكون التحديات التنظيمية بسبب موضع المركز المركزي لتطبيقات أو خدمات محددة لحمل العمل.

هذه هي بعض فوائد استخدام شبكة ظاهرية فرعية فرعية منفصلة لمحيط SAP:

  • عزل سريع وفوري للخدمات المخترقة إذا تم الكشف عن خرق. تؤدي إزالة تناظر الشبكة الظاهرية من محيط SAP إلى المركز على الفور إلى عزل أحمال عمل محيط SAP وتطبيقات الشبكة الظاهرية لتطبيق SAP من الإنترنت. يؤثر تغيير أو إزالة قاعدة NSG التي تسمح بالوصول على الاتصالات الجديدة فقط ولا يقطع الاتصالات الموجودة.
  • عناصر تحكم أكثر صرامة على الشبكة الظاهرية والشبكة الفرعية، مع تأمين محكم على شركاء الاتصال داخل وخارج شبكة SAP الفرعية الفرعية وشبكات تطبيقات SAP. يمكنك توسيع نطاق التحكم المتزايد للمستخدمين المعتمدين وأساليب الوصول على تطبيقات SAP المحيطة، مع نهايات خلفية تخويل مختلفة أو وصول متميز أو بيانات اعتماد تسجيل الدخول للتطبيقات الفرعية الفرعية.

العيوب هي زيادة التعقيد وتكاليف تناظر الشبكة الظاهرية الإضافية لحركة مرور SAP المرتبطة بالإنترنت (لأن الاتصال يحتاج إلى المرور عبر تناظر الشبكة الظاهرية مرتين). يعتمد تأثير زمن الانتقال على حركة مرور نظير spoke-hub-spoke على أي جدار حماية موجود ويحتاج إلى قياس.

بنية مبسطة

لمعالجة التوصيات الواردة في هذه المقالة مع الحد من العيوب، يمكنك استخدام شبكة ظاهرية أحادية محورية لكل من المحيط وتطبيقات SAP. تحتوي البنية التالية على جميع الشبكات الفرعية في شبكة ظاهرية لإنتاج SAP واحدة. فائدة العزل الفوري عن طريق إنهاء تناظر الشبكة الظاهرية مع محيط SAP إذا لم يكن متاحا. في هذا السيناريو، تؤثر التغييرات على مجموعات أمان الشبكة على الاتصالات الجديدة فقط.

رسم تخطيطي يوضح بنية مبسطة للاتصالات التي تواجه الإنترنت ل SAP على Azure.

قم بتنزيل ملف Visio للبنى في هذه المقالة.

بالنسبة إلى عمليات النشر الأصغر حجما والنطاق، قد تكون البنية المبسطة مناسبة بشكل أفضل، ولا تزال تلتزم بمبادئ البنية الأكثر تعقيدا. تشير هذه المقالة، ما لم تتم الإشارة إلى خلاف ذلك، إلى البنية الأكثر تعقيدا.

تستخدم البنية المبسطة بوابة NAT في الشبكة الفرعية الفرعية لمحيط SAP. توفر هذه البوابة اتصالا صادرا ل SAP Cloud Connector وSAP Analytics Cloud Agent وتحديثات نظام التشغيل للأجهزة الظاهرية المنشورة. لأن SAProuter يتطلب كل من الاتصالات الواردة والصادرة، يمر مسار اتصال SAProuter عبر جدار الحماية بدلا من استخدام بوابة NAT. تضع البنية المبسطة أيضا بوابة التطبيق مع الشبكة الفرعية المعينة الخاصة بها في الشبكة الظاهرية المحيطة ب SAP، كنهج بديل للشبكة الظاهرية المركزية.

بوابة NAT هي خدمة توفر عناوين IP عامة ثابتة للاتصال الصادر. يتم تعيين بوابة NAT إلى شبكة فرعية. تستخدم جميع الاتصالات الصادرة عناوين IP لبوابة NAT للوصول إلى الإنترنت. لا تستخدم الاتصالات الواردة بوابة NAT. يمكن لتطبيقات مثل SAP Cloud Connector أو خدمات تحديث نظام تشغيل الجهاز الظاهري التي تصل إلى المستودعات على الإنترنت، استخدام بوابة NAT بدلا من توجيه جميع نسبة استخدام الشبكة الصادرة من خلال جدار الحماية المركزي. في كثير من الأحيان، يتم تنفيذ القواعد المعرفة من قبل المستخدم على جميع الشبكات الفرعية لفرض حركة المرور المرتبطة بالإنترنت من جميع الشبكات الظاهرية من خلال جدار الحماية المركزي.

اعتمادا على متطلباتك، قد تتمكن من استخدام بوابة NAT كبديل لجدار الحماية المركزي، على الاتصالات الصادرة فقط. من خلال القيام بذلك، يمكنك تقليل الحمل على جدار الحماية المركزي أثناء الاتصال بنقاط النهاية العامة المسموح بها من NSG. يمكنك أيضا الحصول على عنصر تحكم IP الصادر، لأنه يمكنك تكوين قواعد جدار الحماية الوجهة على قائمة IP معينة لبوابة NAT. تتضمن الأمثلة الوصول إلى نقاط النهاية العامة ل Azure التي تستخدمها الخدمات العامة أو مستودعات تصحيح نظام التشغيل أو واجهات الجهات الخارجية.

للحصول على تكوين عالي التوفر، ضع في اعتبارك أن بوابة NAT يتم نشرها في منطقة معينة فقط ولا تكون زائدة عن الحاجة حاليا عبر المناطق. باستخدام بوابة NAT واحدة، فهي ليست مثالية لنشر SAP التي تستخدم نشر المنطقة المكررة (عبر المنطقة) للأجهزة الظاهرية.

استخدام مكونات الشبكة عبر مشهد SAP

يصور مستند البنية عادة نظام SAP أو مشهد واحد فقط. وهذا يسهل فهمها. والنتيجة هي أنه في كثير من الأحيان لا تتم معالجة الصورة الأكبر، كيف تتناسب البنية مع مشهد SAP أكبر يتضمن العديد من مسارات النظام والمستويات.

يتم استخدام خدمات الشبكات المركزية، مثل جدار الحماية وبوابة NAT والخوادم الوكيلة إذا تم نشرها، على أفضل نحو عبر مشهد SAP بأكمله لجميع المستويات: الإنتاج وما قبل الإنتاج والتطوير وبيئة الاختبار المعزولة. اعتمادا على متطلباتك وحجم مؤسستك ونهج العمل، قد تحتاج إلى التفكير في عمليات تنفيذ منفصلة لكل طبقة، أو بيئة إنتاج واحدة وبيئة اختبار/بيئة اختبار واحدة.

الخدمات التي تخدم عادة نظام SAP هي أفضل فصل كما هو موضح هنا:

  • يجب تخصيص موازنات التحميل للخدمات الفردية. يفرض نهج الشركة تسمية الموارد وتجميعها. نوصي بموازن تحميل واحد ل ASCS/SCS وERS وآخر لقاعدة البيانات، مفصولة لكل SAP SID. بدلا من ذلك، موازن تحميل واحد لكل من مجموعات (A) SCS وERS وDB لنظام SAP واحد هو أيضا تصميم جيد. يساعد هذا التكوين على ضمان عدم تعقيد استكشاف الأخطاء وإصلاحها، مع العديد من تجمعات الواجهة الأمامية والخلفية وقواعد موازنة التحميل كلها على موازن تحميل واحد. يضمن موازن تحميل واحد لكل SAP SID أيضا أن الموضع في مجموعات الموارد يطابق موضع مكونات البنية الأساسية الأخرى.
  • تسمح بوابة التطبيق، مثل موازن التحميل، بنهايات خلفية متعددة، وأطراف أمامية، وإعدادات HTTP، وقواعد. قرار استخدام بوابة تطبيق واحدة لاستخدامات متعددة أكثر شيوعا هنا لأنه ليس كل أنظمة SAP في البيئة تتطلب الوصول العام. تتضمن الاستخدامات المتعددة في هذا السياق منافذ مرسل ويب مختلفة لنفس أنظمة SAP S/4HANA أو بيئات SAP المختلفة. نوصي ببوابة تطبيق واحدة على الأقل لكل طبقة (الإنتاج، وغير الإنتاج، وبيئة الاختبار المعزولة) ما لم يصبح تعقيد وعدد الأنظمة المتصلة مرتفعين جدا.
  • يتم نشر خدمات SAP، مثل SAProuter وCloud Connector وAnalytics Cloud Agent، استنادا إلى متطلبات التطبيق، إما مركزيا أو مقسما. غالبا ما يكون الفصل بين الإنتاج وعدم الإنتاج مطلوبا.

تغيير حجم الشبكة الفرعية وتصميمها

عند تصميم شبكات فرعية لمشهد SAP الخاص بك، تأكد من اتباع مبادئ التحجيم والتصميم:

  • تتطلب العديد من خدمات النظام الأساسي Azure كخدمة (PaaS) شبكات فرعية معينة خاصة بها.
  • توصي بوابة التطبيق بشبكة فرعية /24 للتحجيم. إذا كان اختيار الحد من مقياس بوابة التطبيق يمكن استخدام شبكة فرعية أصغر، كحد أدنى /26 أو أكبر. لا يمكنك استخدام كلا الإصدارين من Application Gateway (1 و2) في نفس الشبكة الفرعية.
  • إذا كنت تستخدم Azure NetApp Files لمشاركات NFS/SMB أو تخزين قاعدة البيانات، يلزم وجود شبكة فرعية معينة. الشبكة الفرعية /24 هي الشبكة الافتراضية. استخدم متطلباتك لتحديد الحجم المناسب.
  • إذا كنت تستخدم أسماء مضيفين ظاهريين ل SAP، فستحتاج إلى مساحة عنوان إضافية في شبكات SAP الفرعية، بما في ذلك محيط SAP.
  • تتطلب الخدمات المركزية مثل Azure Bastion أو Azure Firewall، التي يديرها عادة فريق تكنولوجيا المعلومات المركزي، شبكات فرعية مخصصة لها بحجم كاف.

باستخدام الشبكات الفرعية المخصصة لقواعد بيانات وتطبيقات SAP، يمكنك تعيين مجموعات أمان الشبكة لتكون أكثر صرامة، ما يساعد على حماية كلا النوعين من التطبيقات مع مجموعات القواعد الخاصة بهم. يمكنك بعد ذلك تقييد الوصول إلى قاعدة البيانات إلى تطبيقات SAP بسهولة أكبر، دون الحاجة إلى اللجوء إلى مجموعات أمان التطبيقات للتحكم الدقيق. يؤدي فصل تطبيق SAP والشبكات الفرعية لقاعدة البيانات أيضا إلى تسهيل إدارة قواعد الأمان في مجموعات أمان الشبكة.

خدمات SAP

SAProuter

يمكنك استخدام SAProuter لتمكين جهات خارجية مثل دعم SAP أو شركائك من الوصول إلى نظام SAP الخاص بك. يعمل SAProuter على جهاز ظاهري واحد في Azure. يتم تخزين أذونات التوجيه لاستخدام SAProuter في ملف ثابت يسمى saprouttab. تسمح إدخالات saprouttab بالاتصال من أي منفذ TCP/IP إلى وجهة شبكة خلف SAProuter، عادة ما تكون الأجهزة الظاهرية لنظام SAP. يعتمد الوصول عن بعد بواسطة دعم SAP على SAProuter. تستخدم البنية الرئيسية التصميم الموضح سابقا، مع تشغيل جهاز SAProuter الظاهري داخل الشبكة الظاهرية الفرعية الفرعية المعينة. من خلال تناظر الشبكة الظاهرية، يتصل SAProuter بعد ذلك بخوادم SAP التي تعمل في شبكتها الظاهرية المحورية والشبكات الفرعية الخاصة بها.

SAProuter هو نفق إلى SAP أو إلى شركائك. توضح هذه البنية استخدام SAProuter مع استخدام SNC لإنشاء نفق تطبيق مشفر (طبقة الشبكة 7) ل SAP/الشركاء. استخدام النفق المستند إلى IPSEC غير مشمول في هذه البنية في الوقت الحالي.

تساعد الميزات التالية في حماية مسار الاتصال عبر الإنترنت:

  • يوفر جدار حماية Azure أو NVA لجهة خارجية نقطة إدخال IP العامة في شبكات Azure. تقيد قواعد جدار الحماية الاتصال بعناوين IP المعتمدة فقط. لاتصالك بدعم SAP، توثق ملاحظة SAP 48243 - دمج برنامج SAProuter في بيئة جدار الحماية عناوين IP لأجهزة توجيه SAP.
  • مثل قواعد جدار الحماية، تسمح قواعد أمان الشبكة بالاتصال على منفذ SAProuter، عادة 3299 مع الوجهة المعينة.
  • يمكنك الاحتفاظ بقواعد السماح/الرفض ل SAProuter في ملف saprouttab ، مع تحديد من يمكنه الاتصال ب SAProuter ونظام SAP الذي يمكن الوصول إليه.
  • توجد قواعد NSG إضافية على الشبكات الفرعية المعنية في الشبكة الفرعية لإنتاج SAP التي تحتوي على أنظمة SAP.

للحصول على خطوات لتكوين SAProuter باستخدام Azure Firewall، راجع تكوين SAProuter باستخدام Azure Firewall.

اعتبارات أمان SAProuter

نظرا لأن SAProuter لا يعمل في نفس الشبكة الفرعية للتطبيق مثل أنظمة SAP الخاصة بك، فقد تختلف آليات تسجيل الدخول لنظام التشغيل. اعتمادا على النهج الخاصة بك، يمكنك استخدام مجال تسجيل دخول منفصل أو بيانات اعتماد المستخدم المضيف فقط ل SAProuter. إذا كان هناك خرق أمني، فإن الوصول المتتالي إلى أنظمة SAP الداخلية غير ممكن بسبب قاعدة بيانات الاعتماد المختلفة. يمكن فصل الشبكة في مثل هذه الحالة، كما هو موضح سابقا، فصل المزيد من الوصول من SAProuter المخترق إلى الشبكات الفرعية للتطبيق الخاص بك. يمكنك إنجاز هذا العزل عن طريق قطع اتصال الشبكة الظاهرية المحيطة ب SAP.

اعتبارات قابلية الوصول العالية ل SAProuter

نظرا لأن SAProuter عبارة عن ملف بسيط قابل للتنفيذ مع جدول أذونات توجيه مستند إلى ملف، يمكن تشغيله بسهولة. لا يحتوي التطبيق على قابلية وصول عالية مدمجة. إذا كان هناك جهاز ظاهري أو فشل في التطبيق، يجب أن تبدأ الخدمة على جهاز ظاهري آخر. يعد استخدام اسم مضيف ظاهري لخدمة SAProuter مثاليا. يرتبط اسم المضيف الظاهري ب IP، والذي يتم تعيينه كتكوين IP ثانوي مع NIC الخاص بالجهاز الظاهري أو إلى موازن تحميل داخلي متصل بالجهاز الظاهري. في هذا التكوين، إذا كانت خدمة SAProuter تحتاج إلى نقلها إلى جهاز ظاهري آخر، يمكن إزالة تكوين IP الخاص باسم المضيف الظاهري للخدمة. ثم أضف اسم المضيف الظاهري على جهاز ظاهري آخر دون الحاجة إلى تغيير جداول التوجيه أو تكوين جدار الحماية. تم تكوينها جميعا لاستخدام عنوان IP الظاهري. لمزيد من المعلومات، راجع استخدام أسماء المضيفين الظاهريين ل SAP مع Linux في Azure.

SAProuters المتتالية

لتنفيذ SAProuters المتتالية، يمكنك تعريف ما يصل إلى اثنين من SAProuters لاتصالات دعم SAP. يوفر SAProuter الأول، الذي يعمل في الشبكة الفرعية لتطبيق SAP المحيط، الوصول من جدار الحماية المركزي ومن SAP أو PARTNER SAProuters. الوجهات الوحيدة المسموح بها هي SAProuters الأخرى، التي تعمل بأحمال عمل محددة. يمكن استخدام SAProuters المتتالية لكل طبقة أو لكل منطقة أو فصل SID، اعتمادا على البنية الخاصة بك. يقبل SAProuter الثاني الاتصالات الداخلية فقط من SAProuter الأول ويوفر الوصول إلى أنظمة SAP الفردية والأجهزة الظاهرية. يسمح لك هذا التصميم بفصل الوصول والإدارة بين الفرق المختلفة إذا كنت بحاجة إلى ذلك. للحصول على مثال على SAProuters المتتالية، راجع تكوين SAProuter باستخدام جدار حماية Azure.

SAP Fiori وWebGui

غالبا ما يتم استهلاك SAP Fiori والواجهات الأمامية الأخرى ل HTTPS لتطبيقات SAP من خارج شبكة الشركة الداخلية. تتطلب الحاجة إلى أن تكون متوفرة على الإنترنت حلا عالي الأمان للمساعدة في حماية تطبيق SAP. بوابة التطبيق مع جدار حماية تطبيق الويب هي الخدمة المثالية لهذا الغرض.

بالنسبة للمستخدمين الذين يصلون إلى اسم المضيف العام ل IP العام المرتبط ب Application Gateway، يتم إنهاء جلسة عمل HTTPS على Application Gateway. يحصل التجمع الخلفي لاثنين أو أكثر من الأجهزة الظاهرية ل SAP Web Dispatcher على جلسات الترتيب الدوري من بوابة التطبيق. يمكن أن تكون بوابة تطبيق حركة المرور الداخلية هذه إلى Web Dispatcher إما HTTP أو HTTPS، اعتمادا على المتطلبات. يساعد جدار حماية تطبيق الويب على حماية SAP Web Dispatcher من الهجمات القادمة عبر الإنترنت باستخدام مجموعة القواعد الأساسية OWASP. يقوم SAP NetWeaver، المرتبط غالبا بمعرف Microsoft Entra عبر تسجيل الدخول الأحادي (SSO)، بإجراء مصادقة المستخدم. للحصول على الخطوات اللازمة لتكوين تسجيل الدخول الأحادي ل Fiori باستخدام بوابة التطبيق، راجع تكوين تسجيل دخول أحادي باستخدام SAML ومعرف Microsoft Entra لعناوين URL العامة والداخلية.

ضع في اعتبارك أنك بحاجة إلى تأمين SAP Web Dispatcher في أي موقف. حتى إذا كان مفتوحا داخليا فقط، فافتح نحو Application Gateway عبر IP العام، أو يمكن الوصول إليه من خلال أي وسيلة شبكة أخرى. لمزيد من المعلومات، راجع معلومات الأمان ل SAP Web Dispatcher.

Azure Firewall وApplication Gateway

تستند جميع حركة مرور الويب التي توفرها بوابة التطبيق إلى HTTPS ويتم تشفيرها باستخدام شهادة TLS المتوفرة. يمكنك استخدام جدار حماية Azure كنقطة إدخال إلى شبكة الشركة، عبر IP العام الخاص بها، ثم توجيه نسبة استخدام الشبكة SAP Fiori من جدار الحماية إلى بوابة التطبيق من خلال عنوان IP داخلي. لمزيد من المعلومات، راجع بوابة التطبيق بعد جدار الحماية. نظرا لأن تشفير طبقة TCP/IP-7 موجود بالفعل عبر TLS، فهناك فائدة محدودة لاستخدام جدار حماية في هذا السيناريو، ولا يمكنك إجراء فحص الحزمة. يتصل Fiori من خلال نفس عنوان IP الخارجي لكل من حركة المرور الواردة والصادرة، وهو أمر غير مطلوب عادة لنشر SAP Fiori.

هناك بعض فوائد بوابة تطبيق جنبا إلى جنب ونشر جدار حماية الطبقة 4:

  • التكامل المحتمل مع إدارة نهج الأمان على مستوى المؤسسة.
  • تم تجاهل حركة مرور الشبكة التي تنتهك قواعد الأمان بالفعل، لذلك لا تتطلب فحصا.

هذا النشر المدمج هو بنية جيدة. تعتمد طريقة التعامل مع حركة مرور الإنترنت الواردة على بنية المؤسسة العامة. تحتاج أيضا إلى النظر في كيفية احتواء بنية الشبكة الشاملة مع أساليب الوصول من مساحة عنوان IP الداخلية، مثل العملاء المحليين. ويتناول القسم التالي هذا الاعتبار.

بوابة التطبيق لعناوين IP الداخلية (اختياري)

تركز هذه البنية على التطبيقات التي تواجه الإنترنت. هناك خيارات مختلفة متاحة للعملاء الذين يصلون إلى SAP Fiori أو واجهة مستخدم الويب لنظام SAP NetWeaver أو واجهة SAP HTTPS أخرى من خلال عنوان IP داخلي خاص. سيناريو واحد هو التعامل مع جميع الوصول إلى Fiori كوصول عام، من خلال IP العام. هناك خيار آخر وهو استخدام الوصول المباشر إلى الشبكة من خلال الشبكة الخاصة إلى SAP Web Dispatchers، متجاوزا Application Gateway بالكامل. الخيار الثالث هو استخدام عناوين IP الخاصة والعامة على Application Gateway، ما يوفر الوصول إلى كل من الإنترنت والشبكة الخاصة.

يمكنك استخدام تكوين مشابه مع عنوان IP خاص على Application Gateway للوصول إلى الشبكة الخاصة فقط إلى مشهد SAP. يتم استخدام عنوان IP العام في هذه الحالة فقط لأغراض الإدارة وليس لديه وحدة استماع مقترنة به.

كبديل لاستخدام Application Gateway، يمكنك استخدام موازن تحميل داخليا. يمكنك استخدام موازن تحميل داخلي قياسي مع الأجهزة الظاهرية ل Web Dispatcher التي تم تكوينها كنهاية خلفية ذهابا وإيابا. في هذا السيناريو، يتم وضع موازن التحميل القياسي مع أجهزة Web Dispatcher الظاهرية في الشبكة الفرعية لتطبيق إنتاج SAP ويوفر موازنة تحميل نشطة/نشطة بين أجهزة Web Dispatcher الظاهرية.

بالنسبة إلى عمليات النشر التي تواجه الإنترنت، نوصي باستخدام Application Gateway مع Web Application Firewall بدلا من موازن تحميل مع IP عام.

SAP Business Technology Platform (BTP)

SAP BTP هو مجموعة كبيرة من تطبيقات SAP، SaaS أو PaaS، وعادة ما يتم الوصول إليها من خلال نقطة نهاية عامة عبر الإنترنت. غالبا ما يستخدم SAP Cloud Connector لتوفير الاتصال للتطبيقات التي تعمل في الشبكات الخاصة، مثل نظام SAP S/4HANA الذي يعمل على Azure. يعمل SAP Cloud Connector كتطبيق في جهاز ظاهري. يتطلب الوصول إلى الإنترنت الصادر لإنشاء نفق HTTPS مشفر بواسطة TLS باستخدام SAP BTP. يعمل كوكيل استدعاء عكسي بين نطاق IP الخاص في شبكتك الظاهرية وتطبيقات SAP BTP. وبسبب دعم الاستدعاء العكسي هذا، ليست هناك حاجة لمنافذ جدار الحماية المفتوحة أو الوصول الآخر للاتصالات الواردة، لأن الاتصال من شبكتك الظاهرية صادر.

بشكل افتراضي، تتمتع الأجهزة الظاهرية بالوصول إلى الإنترنت الصادر في الأصل على Azure. يتم اختيار عنوان IP العام المستخدم لحركة المرور الصادرة، عندما لا يكون هناك عنوان IP عام مخصص مقترن بالجهاز الظاهري، عشوائيا من مجموعة عناوين IP العامة في منطقة Azure المحددة. لا يمكنك التحكم به. لضمان إجراء الاتصالات الصادرة من خلال خدمة وعنوان IP يمكن التحكم فيهما والتعرف عليهما، يمكنك استخدام إحدى الطرق التالية:

  • بوابة NAT المقترنة بالشبكة الفرعية أو موازن التحميل وعنوان IP العام الخاص بها.
  • خوادم وكيل HTTP التي تقوم بتشغيلها.
  • مسار معرف من قبل المستخدم يفرض تدفق حركة مرور الشبكة إلى جهاز شبكة مثل جدار حماية.

يوضح الرسم التخطيطي للبنية السيناريو الأكثر شيوعا: توجيه نسبة استخدام الشبكة المرتبطة بالإنترنت إلى الشبكة الظاهرية للمركز ومن خلال جدار الحماية المركزي. تحتاج إلى تكوين المزيد من الإعدادات في SAP Cloud Connector للاتصال بحساب SAP BTP الخاص بك.

قابلية وصول عالية ل SAP Cloud Connector

تم تضمين قابلية الوصول العالية في SAP Cloud Connector. تم تثبيت Cloud Connector على جهازين ظاهريين. المثيل الرئيسي نشط ومثيل الظل متصل به. وهي تشترك في التكوين ويتم الاحتفاظ بها متزامنة في الأصل. إذا لم يكن المثيل الرئيسي متوفرا، يحاول الجهاز الظاهري الثانوي تولي الدور الرئيسي وإعادة إنشاء نفق TLS إلى SAP BTP. يتم عرض بيئة Cloud Connector عالية التوفر في البنية. لا تحتاج إلى أي تقنيات Azure أخرى، مثل موازن التحميل أو برنامج نظام المجموعة، للتكوين. للحصول على تفاصيل حول التكوين والتشغيل، راجع وثائق SAP.

SAP Analytics Cloud Agent

بالنسبة لبعض سيناريوهات التطبيق، SAP Analytics Cloud Agent هو تطبيق مثبت في جهاز ظاهري. يستخدم SAP Cloud Connector لاتصال SAP BTP. في هذه البنية، يعمل SAP Analytics Cloud Agent VM في الشبكة الفرعية لتطبيق SAP المحيط، جنبا إلى جنب مع SAP Cloud Connector VMs. لتدفق نسبة استخدام الشبكة من الشبكات الخاصة مثل شبكة Azure الظاهرية إلى SAP BTP عبر SAP Analytics Cloud Agent، راجع وثائق SAP.

يوفر SAP خدمة Private Link ل SAP BTP. وهو يتيح الاتصالات الخاصة بين خدمات SAP BTP المحددة والخدمات المحددة في اشتراك Azure والشبكة الظاهرية. عند استخدام خدمة Private Link، لا يتم توجيه الاتصال عبر الإنترنت العام. يظل على أساس شبكة Azure العالمية عالية الأمان. يحدث الاتصال بخدمات Azure عبر مساحة عنوان خاصة. يتم تضمين حماية محسنة من النقل غير المصرح للبيانات عند استخدام خدمة Private Link، لأن نقطة النهاية الخاصة تعين خدمة Azure المحددة إلى عنوان IP. يقتصر الوصول على خدمة Azure المعينة.

بالنسبة لبعض سيناريوهات تكامل SAP BTP، يفضل نهج خدمة Private Link. بالنسبة للآخرين، يكون SAP Cloud Connector أفضل. للحصول على معلومات لمساعدتك في تحديد أي منهما يجب استخدامه، راجع تشغيل موصل السحابة وSAP Private Link جنبا إلى جنب.

SAP RISE/ECS

إذا كان SAP يشغل نظام SAP الخاص بك بموجب عقد SAP RISE/ECS، فإن SAP هو شريك الخدمة المدار. يتم نشر بيئة SAP بواسطة SAP. على بنية SAP، لا تنطبق البنية المعروضة هنا على أنظمتك التي تعمل في RISE مع SAP/ECS. للحصول على معلومات حول دمج هذا النوع من مشهد SAP مع خدمات Azure والشبكة ، راجع وثائق Azure.

متطلبات اتصال SAP الأخرى

قد تنطبق اعتبارات إضافية فيما يتعلق بالاتصالات المرتبطة بالإنترنت على مشهد SAP الذي يعمل على Azure. يستخدم تدفق نسبة استخدام الشبكة في هذه البنية جدار حماية Azure مركزيا لنسبة استخدام الشبكة الصادرة هذه. توجه القواعد المعرفة من قبل المستخدم في الشبكات الظاهرية المحورية طلبات نسبة استخدام الشبكة المرتبطة بالإنترنت إلى جدار الحماية. بدلا من ذلك، يمكنك استخدام بوابات NAT على شبكات فرعية معينة، أو اتصال Azure الصادر الافتراضي، أو عناوين IP العامة على الأجهزة الظاهرية (غير مستحسن)، أو موازن تحميل عام مع قواعد صادرة.

بالنسبة للأجهزة الظاهرية التي تقف خلف موازن تحميل داخلي قياسي، مثل تلك الموجودة في البيئات المجمعة، ضع في اعتبارك أن موازن التحميل القياسي يعدل سلوك الاتصال العام. لمزيد من المعلومات، راجع المقالة اتصال نقطة النهاية العامة للأجهزة الظاهرية باستخدام Azure Standard Load Balancer في سيناريوهات قابلية الوصول العالية ل SAP.

تحديثات نظام التشغيل

غالبا ما تقع تحديثات نظام التشغيل خلف نقطة نهاية عامة ويتم الوصول إليها عبر الإنترنت. إذا لم يكن هناك مستودع المؤسسة وإدارة التحديث في مكانها الصحيح، مما يعكس تحديثات نظام التشغيل من الموردين على عناوين IP الخاصة / الأجهزة الظاهرية، يحتاج حمل عمل SAP الخاص بك إلى الوصول إلى مستودعات التحديث للموردين.

بالنسبة لأنظمة تشغيل Linux، يمكنك الوصول إلى المستودعات التالية إذا حصلت على ترخيص نظام التشغيل من Azure. إذا قمت بشراء التراخيص مباشرة وجلبتها إلى Azure (BYOS)، فاتصل بمورد نظام التشغيل حول طرق الاتصال بمستودعات نظام التشغيل ونطاقات عناوين IP الخاصة بها.

إدارة نظام المجموعة عالية التوفر

قد تستخدم الأنظمة عالية التوفر مثل SAP ASCS/SCS المجمعة أو قواعد البيانات مدير نظام مجموعة مع عامل سياج Azure كجهاز STONITH. تعتمد هذه الأنظمة على الوصول إلى Azure Resource Manager. يتم استخدام Resource Manager لاستعلامات الحالة حول موارد Azure والعمليات لإيقاف الأجهزة الظاهرية وبدء تشغيلها. نظرا لأن Resource Manager هي نقطة نهاية عامة، متوفرة ضمن management.azure.com، يجب أن يكون الاتصال الصادر للجهاز الظاهري قادرا على الوصول إليها. تعتمد هذه البنية على جدار حماية مركزي مع قواعد محددة من قبل المستخدم لتوجيه نسبة استخدام الشبكة من شبكات SAP الظاهرية. للحصول على بدائل، راجع الأقسام السابقة.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكتاب الرئيسيون:

المساهم الآخر:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

المُجتمعات

فكر في استخدام هذه المجتمعات للحصول على إجابات على الأسئلة وللمساعدة في إعداد عملية نشر:

الخطوات التالية