مشاركة عبر

إعداد الشبكة لتوزيع البنية الأساسية

  • مقالة

في هذا الدليل الإرشادي، ستتعلم كيفية إعداد شبكة ظاهرية لنشر البنية الأساسية S/4 HANA باستخدام Azure Center لحلول SAP. توفر هذه المقالة إرشادات عامة حول إنشاء شبكة ظاهرية. ستحدد البيئة الفردية وحالة الاستخدام الخاصة بك كيفية تكوين إعدادات الشبكة الخاصة بك للاستخدام مع مورد مثيل ظاهري ل SAP (VIS ).

إذا كانت لديك شبكة موجودة جاهزة للاستخدام مع Azure Center لحلول SAP، فانتقل إلى دليل النشر بدلا من اتباع هذا الدليل.

المتطلبات الأساسية

  • اشتراك Azure.
  • راجع الحصص النسبية لاشتراك Azure الخاص بك. إذا كانت الحصص النسبية منخفضة، فقد تحتاج إلى إنشاء طلب دعم قبل إنشاء نشر البنية الأساسية. وإلا، فقد تواجه حالات فشل في النشر أو خطأ في الحصة النسبية غير كافية.
  • من المستحسن أن يكون لديك عناوين IP متعددة في الشبكة الفرعية أو الشبكات الفرعية قبل بدء النشر. على سبيل المثال، من الأفضل دائما أن يكون لديك /26 قناع بدلا من /29.
  • الأسماء بما في ذلك AzureFirewallSubnet وAzureFirewallManagementSubnet وAzureBastionSubnet وGatewaySubnet هي أسماء محجوزة داخل Azure. الرجاء عدم استخدام هذه الأسماء كشبكة فرعية.
  • لاحظ SAP Application Performance Standard (SAPS) وحجم ذاكرة قاعدة البيانات التي تحتاجها للسماح ل Azure Center لحلول SAP بحجم نظام SAP الخاص بك. إذا لم تكن متأكدا، يمكنك أيضا تحديد الأجهزة الظاهرية. هناك:
    • مجموعة أو واحدة من أجهزة ASCS الظاهرية، والتي تشكل مثيل ASCS واحد في VIS.
    • قاعدة بيانات واحدة أو مجموعة من الأجهزة الظاهرية لقاعدة البيانات، والتي تشكل مثيل قاعدة بيانات واحد في VIS.
    • جهاز ظاهري واحد لخادم التطبيق، والذي يشكل مثيل تطبيق واحد في VIS. اعتمادا على عدد خوادم التطبيقات التي يتم نشرها أو تسجيلها، يمكن أن يكون هناك مثيلات تطبيق متعددة.

إنشاء شبكة

يجب إنشاء شبكة لتوزيع البنية الأساسية على Azure. تأكد من إنشاء الشبكة في نفس المنطقة التي تريد توزيع نظام SAP.

بعض مكونات الشبكة المطلوبة هي:

  • شبكة ظاهرية
  • الشبكات الفرعية لخوادم التطبيقات وخوادم قاعدة البيانات. يحتاج التكوين الخاص بك إلى السماح بالاتصال بين هذه الشبكات الفرعية.
  • مجموعات أمان شبكة Azure
  • جداول التوجيه
  • جدران الحماية (أو بوابة NAT)

لمزيد من المعلومات، راجع مثال تكوين الشبكة.

شبكة الاتصال

كحد أدنى، تحتاج الشبكة إلى اتصال إنترنت صادر لتوزيع البنية الأساسية بنجاح وتثبيت البرامج. تحتاج الشبكات الفرعية للتطبيق وقاعدة البيانات أيضا إلى أن تكون قادرة على التواصل مع بعضها البعض.

إذا لم يكن الاتصال بالإنترنت ممكنا، فاسمح بعناوين IP للمناطق التالية:

ثم تأكد من أن جميع الموارد داخل الشبكة الظاهرية يمكن أن تتصل ببعضها البعض. على سبيل المثال، قم بتكوين مجموعة أمان شبكة اتصال للسماح للموارد داخل الشبكة الظاهرية بالاتصال عن طريق الاستماع على جميع المنافذ.

  • تعيين نطاقات منفذ المصدر إلى *.
  • تعيين نطاقات منفذ الوجهة إلى *.
  • تعيين الإجراء إلى السماح

إذا لم يكن من الممكن السماح للموارد داخل الشبكة الظاهرية بالاتصال ببعضها البعض، فاسمح بالاتصالات بين التطبيق والشبكات الفرعية لقاعدة البيانات، وافتح منافذ SAP الهامة في الشبكة الظاهرية بدلا من ذلك.

نقاط نهاية Allowlist SUSE أو Red Hat

إذا كنت تستخدم SUSE للأجهزة الظاهرية، فاسمح بقائمة نقاط نهاية SUSE. على سبيل المثال:

  1. إنشاء جهاز ظاهري مع أي نظام تشغيل باستخدام مدخل Microsoft Azure أو باستخدام Azure Cloud Shell. أو قم بتثبيت openSUSE Leap من Microsoft Store وتمكين WSL.
  2. تثبيت pip3 عن طريق تشغيل zypper install python3-pip.
  3. قم بتثبيت حزمة pip susepubliccloudinfo عن طريق تشغيل pip3 install susepubliccloudinfo.
  4. احصل على قائمة بعناوين IP لتكوينها في الشبكة وجدار الحماية عن طريق التشغيل pint microsoft servers --json --region باستخدام معلمة منطقة Azure المناسبة.
  5. قائمة السماح بجميع عناوين IP هذه على جدار الحماية أو مجموعة أمان الشبكة حيث تخطط لإرفاق الشبكات الفرعية.

إذا كنت تستخدم Red Hat للأجهزة الظاهرية، فاسمح بقائمة نقاط نهاية Red Hat حسب الحاجة. قائمة السماح الافتراضية هي عناوين IP العمومية ل Azure. اعتمادا على حالة الاستخدام الخاصة بك، قد تحتاج أيضا إلى السماح بعناوين IP ل Azure US Government أو Azure Germany. قم بتكوين جميع عناوين IP من قائمتك على جدار الحماية أو مجموعة أمان الشبكة حيث تريد إرفاق الشبكات الفرعية.

حسابات تخزين قائمة السماح

يحتاج Azure Center لحلول SAP إلى الوصول إلى حسابات التخزين التالية لتثبيت برنامج SAP بشكل صحيح:

  • حساب التخزين حيث تقوم بتخزين وسائط SAP المطلوبة أثناء تثبيت البرامج.
  • حساب التخزين الذي تم إنشاؤه بواسطة Azure Center لحلول SAP في مجموعة موارد مدارة، والتي يمتلكها ويديرها أيضا Azure Center لحلول SAP.

هناك خيارات متعددة للسماح بالوصول إلى حسابات التخزين هذه:

  • السماح بالاتصال بالإنترنت
  • تكوين علامة خدمة التخزين
  • تكوين علامات خدمة التخزين مع النطاق الإقليمي. تأكد من تكوين العلامات لمنطقة Azure حيث تقوم بنشر البنية الأساسية، ومكان وجود حساب التخزين مع وسائط SAP.
  • قائمة السماح لنطاقات AZURE IP الإقليمية.

Allowlist Key Vault

ينشئ Azure Center لحلول SAP مخزن مفاتيح لتخزين المفاتيح السرية والوصول إليها أثناء تثبيت البرامج. يخزن مخزن المفاتيح هذا أيضا كلمة مرور نظام SAP. للسماح بالوصول إلى مخزن المفاتيح هذا، يمكنك:

  • السماح بالاتصال بالإنترنت
  • تكوين علامة خدمة AzureKeyVault
  • تكوين علامة خدمة AzureKeyVault مع نطاق إقليمي. تأكد من تكوين العلامة في المنطقة التي تقوم بنشر البنية الأساسية فيها.

معرف Microsoft Entra لقائمة السماح

يستخدم Azure Center لحلول SAP معرف Microsoft Entra للحصول على رمز المصادقة المميز للحصول على الأسرار من مخزن مفاتيح مدار أثناء تثبيت SAP. للسماح بالوصول إلى معرف Microsoft Entra، يمكنك:

  • السماح بالاتصال بالإنترنت
  • تكوين علامة خدمة AzureActiveDirectory.

Allowlist Azure Resource Manager

يستخدم Azure Center لحلول SAP هوية مدارة لتثبيت البرامج. تتطلب مصادقة الهوية المدارة استدعاء نقطة نهاية Azure Resource Manager. للسماح بالوصول إلى نقطة النهاية هذه، يمكنك:

  • السماح بالاتصال بالإنترنت
  • تكوين علامة خدمة AzureResourceManager.

فتح منافذ SAP المهمة

إذا لم تتمكن من السماح بالاتصال بين جميع الموارد في الشبكة الظاهرية كما هو موضح سابقا، يمكنك فتح منافذ SAP المهمة في الشبكة الظاهرية بدلا من ذلك. يسمح هذا الأسلوب للموارد داخل الشبكة الظاهرية بالاستماع إلى هذه المنافذ لأغراض الاتصال. إذا كنت تستخدم أكثر من شبكة فرعية واحدة، فإن هذه الإعدادات تسمح أيضا بالاتصال داخل الشبكات الفرعية.

افتح منافذ SAP المدرجة في الجدول التالي. استبدل قيم العنصر النائب (xx) في المنافذ القابلة للتطبيق برقم مثيل SAP. على سبيل المثال، إذا كان رقم مثيل SAP الخاص بك هو 01، فسيصبح 32xx 3201.

خدمة SAP نطاق المنفذ السماح بنسبة استخدام الشبكة الواردة السماح بنسبة استخدام الشبكة الصادرة الغرض
عامل المضيف 1128, 1129 ‏‏نعم‬ ‏‏نعم‬ منفذ HTTP/S لعامل مضيف SAP.
مرسل ويب 32xx ‏‏نعم‬ ‏‏نعم‬ اتصال SAPGUI وRFC.
البوابة 33xx ‏‏نعم‬ ‏‏نعم‬ اتصال RFC.
البوابة (مؤمنة) 48xx ‏‏نعم‬ ‏‏نعم‬ اتصال RFC.
Internet Communication Manager (ICM) 80xx، 443xx ‏‏نعم‬ ‏‏نعم‬ اتصال HTTP/S ل SAP Fiori وWEB GUI
خادم الرسائل 36xx، 81xx، 444xx ‏‏نعم‬ لا موازنة التحميل؛ اتصال ASCS إلى خوادم التطبيقات؛ تسجيل الدخول إلى واجهة المستخدم الرسومية؛ نسبة استخدام الشبكة HTTP/S من وإلى خادم الرسائل.
عامل التحكم 5xx13، 5xx14 ‏‏نعم‬ لا إيقاف نظام SAP وبدء تشغيله والحصول عليه.
تثبيت SAP 4237 ‏‏نعم‬ لا تثبيت SAP الأولي.
HTTP وHTTPS 5xx00، 5xx01 ‏‏نعم‬ ‏‏نعم‬ منفذ خادم HTTP/S.
IIOP 5xx02، 5xx03، 5xx07 ‏‏نعم‬ ‏‏نعم‬ منفذ طلب الخدمة.
P4 5xx04-6 ‏‏نعم‬ ‏‏نعم‬ منفذ طلب الخدمة.
Telnet 5xx08 ‏‏نعم‬ لا منفذ الخدمة للإدارة.
اتصال SQL 3xx13، 3xx15، 3xx40-98 ‏‏نعم‬ لا منفذ اتصال قاعدة البيانات مع التطبيق، بما في ذلك ABAP أو شبكة JAVA الفرعية.
خادم SQL 1433 ‏‏نعم‬ لا المنفذ الافتراضي ل MS-SQL في SAP؛ مطلوب لاتصال قاعدة بيانات ABAP أو JAVA.
محرك HANA XS 43xx، 80xx ‏‏نعم‬ ‏‏نعم‬ منفذ طلب HTTP/S لمحتوى الويب.

مثال على تكوين الشبكة

قد تتضمن عملية التكوين لشبكة مثال ما:

  1. إنشاء شبكة ظاهرية، أو استخدام شبكة ظاهرية موجودة.

  2. إنشاء الشبكات الفرعية التالية داخل الشبكة الظاهرية:

    1. شبكة فرعية لطبقة التطبيق.

    2. شبكة فرعية لطبقة قاعدة البيانات.

    3. شبكة فرعية للاستخدام مع جدار الحماية، تسمى Azure FirewallSubnet.

  3. إنشاء مورد جدار حماية جديد:

    1. إرفاق جدار الحماية بالشبكة الظاهرية.

    2. إنشاء قاعدة للسماح بنقاط نهاية RHEL أو SUSE. تأكد من السماح لكافة عناوين IP المصدر (*)، وتعيين المنفذ المصدر إلى أي، والسماح لعناوين IP الوجهة ل RHEL أو SUSE، وتعيين منفذ الوجهة إلى أي.

    3. إنشاء قاعدة للسماح بعلامات الخدمة. تأكد من السماح لكافة عناوين IP المصدر (*)، قم بتعيين نوع الوجهة إلى علامة الخدمة. ثم اسمح بالعلامات Microsoft.Storage وMicrosoft.KeyVault وAzureResourceManager وMicrosoft.AzureActiveDirectory.

  4. إنشاء مورد جدول توجيه:

    1. أضف مسارا جديدا من النوع Virtual Appliance.

    2. قم بتعيين عنوان IP إلى عنوان IP لجدار الحماية، والذي يمكنك العثور عليه في نظرة عامة على مورد جدار الحماية في مدخل Microsoft Azure.

  5. قم بتحديث الشبكات الفرعية لمستويات التطبيق وقاعدة البيانات لاستخدام جدول التوجيه الجديد.

  6. إذا كنت تستخدم مجموعة أمان شبكة مع الشبكة الظاهرية، أضف القاعدة الواردة التالية. توفر هذه القاعدة الاتصال بين الشبكات الفرعية للتطبيق طبقات قاعدة البيانات.

    الأولوية المنفذ بروتوكول Source الوجهة الإجراء
    100 Any Any الشبكة الظاهرية الشبكة الظاهرية السماح

  7. إذا كنت تستخدم مجموعة أمان شبكة بدلا من جدار حماية، أضف قواعد صادرة للسماح بالتثبيت.

    الأولوية المنفذ بروتوكول Source الوجهة الإجراء
    110 Any Any Any نقاط نهاية SUSE أو Red Hat السماح
    115 Any Any Any Azure Resource Manager السماح
    116 Any Any Any Microsoft Entra ID السماح
    117 Any Any Any حسابات التخزين⁧ السماح
    118 8080 Any Any Key Vault السماح
    119 Any Any Any الشبكة الظاهرية السماح

الخطوات التالية