اتصال نقطة النهاية العامة للأجهزة الظاهرية باستخدام موازن التحميل القياسي في Azure في سيناريوهات SAP عالية التوفر

نطاق هذه المقالة هو وصف التكوينات، التي من شأنها تمكين الاتصال الصادر إلى نقطة (نقاط) النهاية العامة. التكوينات هي أساساً في سياق الوفرة العالية مع جهاز Pacemaker لـ SUSE / RHEL.

إذا كنت تستخدم Pacemaker مع عامل سياج Azure في حل التوفر العالي الخاص بك، فيجب أن يكون لدى الأجهزة الظاهرية اتصال صادر بواجهة برمجة تطبيقات إدارة Azure. تعرض المقالة العديد من الخيارات لتمكينك من تحديد الخيار الأنسب للسيناريو الخاص بك.

نظرة عامة

عند تنفيذ التوافر العالي لحلول SAP عبر التجميع، فإن أحد المكونات الضرورية هو موازن التحميل في Azure. يوفر Azure اثنتين من وحدات SKU لموازن التحميل: القياسية والأساسية.

يوفر موازن التحميل في Azure القياسي بعض المزايا مقارنة بموازن التحميل الأساسي. على سبيل المثال، يعمل عبر مناطق توافر الخدمات في Azure، ولديه إمكانات مراقبة وتسجيل أفضل لتسهيل استكشاف الأخطاء وإصلاحها، وتقليل زمن الوصول. تغطي ميزة "منافذ عالية الوفر (HA)" جميع المنافذ، أي أنه لم يعد من الضروري سرد جميع المنافذ الفردية.

هناك بعض الاختلافات المهمة بين SKU الأساسي والقياسي لموازن تحميل Azure. واحد منهم هو التعامل مع حركة المرور الصادرة إلى نقطة النهاية العامة. للحصول على مقارنة كاملة بين موازن تحميل SKU الأساسي والقياسي لوحدة SKU، راجع مقارنة SKU لموازن التحميل.

عندما يتم وضع الأجهزة الظاهرية دون عناوين IP عامة في المجموعة الخلفية لموازن تحميل Azure القياسي الداخلي (دون عنوان IP عام)، لا يوجد اتصال صادر بنقاط النهاية العامة، ما لم يتم إجراء تكوين إضافي.

إذا تم تعيين عنوان IP عام لجهاز ظاهري، أو كان الجهاز الظاهري في المجموعة الخلفية لموازن التحميل بعنوان IP عام، فسيكون لديه اتصال صادر بنقاط النهاية العامة.

غالباً ما تحتوي أنظمة SAP على بيانات أعمال حساسة. نادراً ما يكون من المقبول أن تكون الأجهزة الظاهرية التي تستضيف أنظمة SAP متاحة عبر عناوين IP العامة. في الوقت نفسه، هناك سيناريوهات، تتطلب الاتصال الصادر من الأجهزة الظاهرية إلى نقاط النهاية العامة.

أمثلة على السيناريوهات، التي تتطلب الوصول إلى نقطة نهاية Azure العامة هي:

  • يتطلب Azure Fence Agent الوصول إلى management.azure.com و login.microsoftonline.com
  • النسخ الاحتياطي في Azure
  • استرداد موقع Azure
  • استخدام المستودع العام لتحديث نظام التشغيل جزئياً
  • قد يتطلب تدفق بيانات تطبيق SAP اتصالاً صادراً بنقطة النهاية العامة

إذا كان نشر SAP لا يتطلب اتصالاً صادراً بنقاط النهاية العامة، فلن تحتاج إلى تنفيذ التكوين الإضافي. يكفي إنشاء موازن تحميل SKU Azure قياسي داخلي لسيناريو التوفر العالي، على افتراض أنه ليست هناك حاجة أيضاً للاتصال الوارد من نقاط النهاية العامة.

ملاحظة

عندما يتم وضع الأجهزة الظاهرية دون عناوين IP عامة في المجموعة الخلفية لموازن تحميل Azure القياسي الداخلي (دون عنوان IP عام)، فلن يكون هناك اتصال بالإنترنت الصادر، ما لم يتم إجراء تكوين إضافي للسماح بالتوجيه إلى نقاط النهاية العامة.
إذا كانت الأجهزة الظاهرية تحتوي على عناوين IP عامة أو كانت موجودة بالفعل في المجموعة الخلفية لموازن التحميل في Azure مع عنوان IP عام، فسيكون لدى الجهاز الظاهري بالفعل اتصال صادر بنقاط النهاية العامة.

اقرأ الأوراق التالية أولا:

الخيار 1: موازن تحميل Azure قياسي خارجي إضافي للاتصالات الصادرة بالإنترنت

أحد الخيارات لتحقيق الاتصال الصادر بنقاط النهاية العامة، دون السماح بالاتصال الوارد بالجهاز الظاهري من نقطة النهاية العامة، هو إنشاء موازن تحميل ثان بعنوان IP عام، وإضافة الأجهزة الظاهرية إلى المجموعة الخلفية لموازن التحميل الثاني وتحديد القواعد الصادرة فقط.
استخدم مجموعات أمان الشبكة للتحكم في نقاط النهاية العامة، التي يمكن الوصول إليها للمكالمات الصادرة من الجهاز الظاهري.
لمزيد من المعلومات، راجع السيناريو 2 في مستند الاتصالات الصادرة.
سيبدو التكوين كما يلي:

تحكم في الاتصال بنقاط النهاية العامة باستخدام مجموعات أمان الشبكة

اعتبارات هامة

  • يمكنك استخدام موازن تحميل عام إضافي واحد لعدة أجهزة ظاهرية في نفس الشبكة الفرعية لتحقيق الاتصال الصادر بنقطة النهاية العامة وتحسين التكلفة
  • استخدم مجموعات أمان الشبكة للتحكم في نقاط النهاية العامة التي يمكن الوصول إليها من الأجهزة الظاهرية. يمكنك تعيين مجموعة أمان الشبكة إما إلى الشبكة الفرعية أو إلى كل جهاز ظاهري. حيثما أمكن، استخدم علامات الخدمة لتقليل تعقيد قواعد الأمان.
  • يسمح موازن التحميل القياسي Azure مع عنوان IP العام والقواعد الصادرة بالوصول المباشر إلى نقطة النهاية العامة. إذا كانت لديك متطلبات أمان الشركة لتمرير جميع حركة المرور الصادرة عبر حل مركزي للشركة للتدقيق والتسجيل، فقد لا تتمكن من تلبية المتطلبات باستخدام هذا السيناريو.

تلميح

حيثما أمكن، استخدم علامات الخدمة لتقليل تعقيد مجموعة أمان الشبكة.

خطوات النشر

  1. إنشاء موازنة التحميل

    1. في مدخل Azure، انقر فوق كل الموارد، ثم إضافة، ثم ابحث عن موازن التحميل
    2. انقر فوق "Create"
    3. اسم موازنة التحميل MyPublicILB
    4. حدد عام كنوع، وقياسي كرمز SKU
    5. حدد إنشاء عنوان IP عام وحدد MyPublicILBFrondEndIP كاسم
    6. حدد منطقة التكرار كمنطقة توافر الخدمات
    7. انقر فوق مراجعة وإنشاء، ثم انقر فوق إنشاء
  2. أنشئ تجمع الواجهة الخلفية MyBackendPoolOfPublicILB وأضف الأجهزة الظاهرية.

    1. حدد الشبكة الافتراضية
    2. حدد الأجهزة الظاهرية وعناوين IP الخاصة بها وأضفها إلى تجمع الواجهة الخلفية
  3. إنشاء قواعد صادرة.

     az network lb outbound-rule create --address-pool MyBackendPoolOfPublicILB --frontend-ip-configs MyPublicILBFrondEndIP --idle-timeout 30 --lb-name MyPublicILB --name MyOutBoundRules  --outbound-ports 10000 --enable-tcp-reset true --protocol All --resource-group MyResourceGroup
    
    
  4. أنشئ قواعد مجموعة أمان الشبكة لتقييد الوصول إلى نقاط نهاية عامة محددة. إذا كانت مجموعة أمان الشبكة موجودة، فيمكنك ضبطها. يوضح المثال أدناه كيفية تمكين الوصول إلى واجهة برمجة تطبيقات إدارة Azure:

    1. الانتقال إلى مجموعة أمان الشبكة
    2. انقر فوق قواعد الأمان الصادرة
    3. أضِف قاعدة إلى رفض كل الوصول الصادر إلى الإنترنت.
    4. أضف قاعدة السماح بالوصول إلى AzureCloud، مع إعطاء أولوية أقل من أولوية القاعدة لرفض الوصول إلى الإنترنت بالكامل.

    ستبدو قواعد الأمان الصادرة كما يلي:

    اتصال صادر مع موازنة التحميل الثانية مع IP العام

    لمزيد من المعلومات حول مجموعات أمان شبكة Azure، راجع مجموعات الأمان .

الخيار 2: جدار حماية Azure للاتصالات الصادرة بالإنترنت

هناك خيار آخر لتحقيق الاتصال الصادر بنقاط النهاية العامة، دون السماح بالاتصال الوارد بالجهاز الظاهري من نقاط النهاية العامة، وهو استخدام جدار حماية Azure. جدار حماية Azure عبارة عن خدمة مدارة، مع توفر عالٍ مدمج ويمكن أن تمتد عبر مناطق توافر خدمات متعددة.
ستحتاج أيضاً إلى نشر المسار المعرف من قبل المستخدم، المقترن بالشبكة الفرعية حيث يتم نشر الأجهزة الظاهرية وموازن تحميل Azure، مع الإشارة إلى جدار حماية Azure، لتوجيه حركة المرور عبر جدار حماية Azure.
للحصول على تفاصيل حول كيفية نشر جدار حماية Azure، راجع نشر جدار حماية Azure وتكوينه.

سيبدو الهيكل كما يلي:

اتصال صادر مع Azure Firewall

اعتبارات هامة

  • جدار حماية Azure هو خدمة سحابية أصلية، مع توفر عالٍ مدمج ويدعم النشر القائم على المناطق.
  • يتطلب شبكة فرعية إضافية يجب تسميتها AzureFirewallSubnet.
  • إذا كان نقل مجموعات البيانات الكبيرة إلى الخارج من الشبكة الظاهرية حيث توجد أجهزة SAP الظاهرية أو إلى جهاز ظاهري في شبكة افتراضية أخرى أو إلى نقطة نهاية عامة، فقد لا يكون حلاً فعالاً من حيث التكلفة. أحد الأمثلة على ذلك هو عمل نسخ احتياطية كبيرة عبر الشبكات الافتراضية. للاطلاع على التفاصيل، راجع تسعير جدار حماية Azure.
  • إذا لم يكن حل جدار حماية الشركة هو جدار حماية Azure، وكانت لديك متطلبات أمان لتمرير جميع حركة المرور الصادرة من خلال حل الشركة المركزي، فقد لا يكون هذا الحل عملياً.

تلميح

حيثما أمكن، استخدم علامات الخدمة لتقليل تعقيد قواعد جدار حماية Azure.

خطوات النشر

  1. تفترض خطوات النشر أن لديك بالفعل شبكة ظاهرية وشبكة فرعية محددة للأجهزة الظاهرية الخاصة بك.

  2. أنشئ الشبكة الفرعية AzureFirewallSubnet في نفس الشبكة الظاهرية، حيث يتم نشر الأجهزة الظاهرية وموازن التحميل القياسي.

    1. في مدخل Azure، انتقل إلى الشبكة الظاهرية: انقر فوق كل الموارد، وابحث عن الشبكة الظاهرية، ثم انقر فوق الشبكة الظاهرية، وحدد الشبكات الفرعية.
    2. انقر فوق إضافة شبكة فرعية. أدخل AzureFirewallSubnet كاسم. أدخل نطاق العناوين المناسب. حفظ.
  3. أنشئ قواعد Azure Firewall.

    1. في مدخل Azure حدد كل الموارد، وانقر فوق إضافة، ثم جدار الحماية، ثم إنشاء. حدد مجموعة الموارد (حدد نفس مجموعة الموارد، حيث توجد الشبكة الظاهرية).
    2. أدخل اسم مورد جدار حماية Azure. على سبيل المثال، MyAzureFirewall.
    3. حدد المنطقة وحدد منطقتي توافر خدمات على الأقل، متوافقتين مع مناطق توافر الخدمات حيث يتم نشر الأجهزة الظاهرية.
    4. حدد شبكتك الظاهرية، حيث يتم نشر أجهزة SAP الظاهرية وموازن التحميل القياسي Azure.
    5. عنوان IP العام: انقر فوق إنشاء وأدخل اسماً. على سبيل المثال MyFirewallPublicIP.
  4. قم بإنشاء قاعدة جدار حماية Azure للسماح بالاتصال الصادر بنقاط النهاية العامة المحددة. يوضح المثال كيفية السماح بالوصول إلى نقطة النهاية العامة لواجهة برمجة تطبيقات إدارة Azure.

    1. حدد القواعد، ثم مجموعة قواعد الشبكة، ثم انقر فوق إضافة مجموعة قواعد الشبكة.
    2. الاسم: MyOutboundRule، أدخل الأولوية، صم ثم حدد إجراء السماح.
    3. الخدمة: اسم ToAzureAPI. البروتوكول: حدد أي. عنوان المصدر: أدخل نطاق الشبكة الفرعية، حيث يتم نشر الأجهزة الظاهرية وموازن التحميل القياسي على سبيل المثال: 11.97.0.0/24. منافذ الوجهة: أدخل *.
    4. حفظ
    5. نظراً لأنك لا تزال في وضع جدار حماية Azure، حدد نظرة عامة. دوّن عنوان IP الخاص لجدار حماية Azure.
  5. أنشئ مساراً إلى جدار حماية Azure

    1. في مدخل Azure، حدد كل الموارد، ثم انقر على إضافة، يليها جدول المسار، ثم إنشاء.
    2. أدخل الاسم MyRouteTable، وحدد الاشتراك ومجموعة الموارد والموقع (مطابقة موقع الشبكة الافتراضية وجدار الحماية).
    3. حفظ

    ستبدو قاعدة جدار الحماية هكذا: شكل يوضح ما سيبدو جدار الحماية عليه.

  6. قم بإنشاء مسار معرف من قبل المستخدم من الشبكة الفرعية للأجهزة الظاهرية إلى عنوان IP الخاص بـ MyAzureFirewall.

    1. أثناء وضعك على جدول المسارات، انقر فوق المسارات. حدد ⁧⁩إضافة⁧⁩.
    2. اسم المسار: ToMyAzureFirewall، بادئة العنوان: 0.0.0.0/0. Next hop type: حدد Virtual Appliance. عنوان القفزة التالية: أدخل عنوان IP الخاص لجدار الحماية الذي قمت بتكوينه: 11.97.1.4.
    3. حفظ

الخيار 3: استخدام الوكيل لاستدعاءات Pacemaker إلى واجهة برمجة تطبيقات إدارة Azure

يمكنك استخدام الوكيل للسماح باستدعاءات Pacemaker إلى نقطة النهاية العامة لواجهة برمجة تطبيقات إدارة Azure.

اعتبارات هامة

  • إذا كان هناك بالفعل وكيل للشركة في مكانه، فيمكنك توجيه المكالمات الصادرة إلى نقاط النهاية العامة من خلاله. ستمر المكالمات الصادرة إلى نقاط النهاية العامة عبر نقطة التحكم في الشركة.
  • تأكد من أن تكوين الوكيل يسمح بالاتصال الصادر بواجهة برمجة تطبيقات إدارة Azure: https://management.azure.com و https://login.microsoftonline.com
  • تأكد من وجود مسار من الأجهزة الظاهرية إلى الوكيل
  • سيتعامل الوكيل مع استدعاءات HTTP/HTTPS فقط. إذا كانت هناك حاجة إضافية لإجراء مكالمات صادرة إلى نقطة النهاية العامة عبر بروتوكولات مختلفة (مثل RFC)، فستكون هناك حاجة إلى حل بديل
  • يجب أن يكون حل الوكيل متاحاً بشكل كبير، لتجنب عدم الاستقرار في نظام مجموعة Pacemaker
  • استناداً إلى موقع الوكيل، قد يؤدي ذلك إلى إدخال زمن انتقال إضافي في المكالمات من عامل Azure Fence إلى واجهة برمجة تطبيقات إدارة Azure. إذا كان وكيل شركتك لا يزال موجوداً في المبنى، أثناء وجود نظام مجموعة Pacemaker في Azure، فقم بقياس زمن الوصول وفكر فيما إذا كان هذا الحل مناسباً لك
  • إذا لم يكن هناك بالفعل وكيل شركة متاح بشكل كبير، فإننا لا نوصي بهذا الخيار لأن العميل سيتكبد تكلفة إضافية وتعقيداً. ومع ذلك، إذا قررت نشر حل وكيل إضافي، لغرض السماح بالاتصال الصادر من Pacemaker إلى واجهة برمجة التطبيقات العامة لإدارة Azure، فتأكد من توفر الوكيل بشكل كبير، وأن زمن الوصول من الأجهزة الظاهرية إلى الوكيل منخفض.

تكوين Pacemaker مع الوكيل

هناك العديد من خيارات الوكيل المختلفة المتاحة في هذا المجال. اتبع الإرشادات خطوة بخطوة لنشر الوكيل خارج نطاق هذا المستند. في المثال أدناه، نفترض أن الوكيل الخاص بك يستجيب لـ MyProxyService ويستمع إلى منفذ MyProxyPort.
للسماح لـ pacemaker بالاتصال بواجهة برمجة تطبيقات إدارة Azure، قم بتنفيذ الخطوات التالية على كل عقد نظام المجموعة:

  1. قم بتحرير ملف تكوين pacemaker /etc/sysconfig/pacemaker وأضف الأسطر التالية (جميع عقد الكتلة):

    sudo vi /etc/sysconfig/pacemaker
    # Add the following lines
    http_proxy=http://MyProxyService:MyProxyPort
    https_proxy=http://MyProxyService:MyProxyPort
    
  2. أعد تشغيل خدمة pacemaker على جميع العقد العنقودية.

  • SUSE

    # Place the cluster in maintenance mode
    sudo crm configure property maintenance-mode=true
    #Restart on all nodes
    sudo systemctl restart pacemaker
    # Take the cluster out of maintenance mode
    sudo crm configure property maintenance-mode=false
    
  • Red Hat

    # Place the cluster in maintenance mode
    sudo pcs property set maintenance-mode=true
    #Restart on all nodes
    sudo systemctl restart pacemaker
    # Take the cluster out of maintenance mode
    sudo pcs property set maintenance-mode=false
    

خيارات أخرى

إذا تم توجيه حركة المرور الصادرة عبر جهة خارجية، فإن وكيل جدار الحماية المستند إلى عنوان URL:

  • في حال استخدام عامل سياج Azure، تأكد من أن تكوين جدار الحماية يسمح بالاتصال الصادر بواجهة برمجة تطبيقات إدارة Azure: https://management.azure.com و https://login.microsoftonline.com
  • إذا كنت تستخدم البنية الأساسية لتحديث السحابة العامة Azure من SUSE لتطبيق التحديثات والتصحيحات، فراجع البنية الأساسية 101 لتحديث السحابة العامة من Azure

الخطوات التالية