Tento článek obsahuje sadu osvědčených postupů pro zlepšení zabezpečení příchozích a odchozích internetových připojení pro vaši infrastrukturu SAP v Azure.
Architektura
Stáhněte si soubor Visia s architekturami v tomto článku.
Toto řešení znázorňuje běžné produkční prostředí. Velikost a rozsah konfigurace můžete zmenšit tak, aby vyhovovala vašim požadavkům. Toto snížení se může vztahovat na šířku SAP: méně virtuálních počítačů, žádné vysoké dostupnosti ani vložené webové dispečery SAP místo samostatných virtuálních počítačů. Může se také použít na alternativy návrhu sítě, jak je popsáno dále v tomto článku.
Požadavky zákazníků založené na obchodních zásadách budou vyžadovat přizpůsobení architektury, zejména návrhu sítě. Pokud je to možné, zahrnuli jsme alternativy. Řada řešení je realizovatelná. Zvolte přístup, který je pro vaši firmu správný. Musí vám pomoct zabezpečit prostředky Azure, ale přesto poskytovat výkonné řešení.
Zotavení po havárii (DR) se v této architektuře nevztahuje. Pro návrh sítě platí stejné principy a návrh, které platí pro primární produkční oblasti. V návrhu sítě zvažte povolení zotavení po havárii v závislosti na aplikacích chráněných zotavením po havárii v jiné oblasti Azure. Další informace najdete v článku Přehled zotavení po havárii a pokyny pro infrastrukturu pro úlohy SAP.
Workflow
- Místní síť se připojuje k centrálnímu centru přes Azure ExpressRoute. Virtuální síť centra obsahuje podsíť brány, podsíť služby Azure Firewall, podsíť sdílených služeb a podsíť brány Aplikace Azure lication Gateway.
- Centrum se připojí k produkčnímu předplatnému SAP prostřednictvím partnerského vztahu virtuálních sítí. Toto předplatné obsahuje dvě paprskové virtuální sítě:
- Hraniční virtuální síť SAP obsahuje podsíť hraniční aplikace SAP.
- Produkční virtuální síť SAP obsahuje podsíť aplikace a podsíť databáze.
- Předplatné centra a produkční předplatné SAP se připojují k internetu prostřednictvím veřejných IP adres.
Komponenty
Předplatná Tato architektura implementuje přístup k cílové zóně Azure. Pro každou úlohu se používá jedno předplatné Azure. Jedno nebo více předplatných se používá pro centrální IT služby, které obsahují centrum sítě a centrální sdílené služby, jako jsou brány firewall nebo služby Active Directory a DNS. Pro produkční úlohu SAP se používá jiné předplatné. K určení nejlepší strategie předplatného pro váš scénář použijte průvodce rozhodováním v rámci architektury přechodu na cloud pro Azure.
Virtuální sítě. Azure Virtual Network propojuje prostředky Azure s rozšířeným zabezpečením. V této architektuře se virtuální síť připojuje k místnímu prostředí prostřednictvím brány ExpressRoute nebo virtuální privátní sítě (VPN), která je nasazená v centru hvězdicové topologie. Produkční prostředí SAP používá své vlastní paprskové virtuální sítě. Dvě různé paprskové virtuální sítě provádějí různé úlohy a podsítě poskytují oddělení sítě.
Rozdělení do podsítí podle úloh usnadňuje používání skupin zabezpečení sítě (NSG) k nastavení pravidel zabezpečení pro virtuální počítače aplikací nebo služby Azure, které jsou nasazené.
Zónově redundantní brána. Brána propojuje jedinečné sítě a rozšiřuje vaši místní síť do virtuální sítě Azure. Doporučujeme používat ExpressRoute k vytváření privátních připojení, která nepoužívají veřejný internet. Můžete také použít připojení typu site-to-site . K ochrany před selháními zón použijte zónově redundantní brány Azure ExpressRoute nebo VPN. Vysvětlení rozdílů mezi zónovým nasazením a zónově redundantním nasazením virtuální sítě najdete v tématu Brány zónově redundantní virtuální sítě . Pro nasazení zón bran musíte použít IP adresy skladové položky Standard.
Skupiny NSG: Pokud chcete omezit síťový provoz do a z virtuální sítě, vytvořte skupiny zabezpečení sítě a přiřaďte je konkrétním podsítím. Zajištění zabezpečení jednotlivých podsítí pomocí skupin zabezpečení sítě specifických pro úlohy
Skupiny zabezpečení aplikací Pokud chcete definovat jemně odstupňované zásady zabezpečení sítě ve skupinách zabezpečení sítě na základě úloh, které jsou zaměřené na aplikace, použijte místo explicitních IP adres skupiny zabezpečení aplikací. Pomocí skupin zabezpečení aplikací můžete virtuální počítače seskupit podle účelu, například SAP SID. Skupiny zabezpečení aplikací pomáhají zabezpečit aplikace filtrováním provozu z důvěryhodných segmentů vaší sítě.
Privátní koncový bod. Mnoho služeb Azure funguje jako veřejné služby díky návrhu přístupnému přes internet. Pokud chcete povolit privátní přístup přes rozsah privátní sítě, můžete pro některé služby použít privátní koncové body. Privátní koncové body jsou síťová rozhraní ve vaší virtuální síti. Efektivně přinesou službu do vašeho privátního síťového prostoru.
Aplikace Azure lication Gateway. Application Gateway je nástroj pro vyrovnávání zatížení webového provozu. Díky funkci Firewallu webových aplikací je ideální službou zpřístupnit webové aplikace na internetu s lepším zabezpečením. Služba Application Gateway může v závislosti na konfiguraci obsluhovat buď veřejné (internetové) nebo privátní klienty, nebo obojí.
V architektuře služba Application Gateway s použitím veřejné IP adresy umožňuje příchozí připojení k prostředí SAP přes HTTPS. Back-endový fond je dva nebo více virtuálních počítačů SAP Web Dispatcher, které mají přístup k kruhovým dotazování a poskytují vysokou dostupnost. Aplikační brána je reverzní proxy server a nástroj pro vyrovnávání zatížení webového provozu, ale nenahrazuje sap Web Dispatcher. SAP Web Dispatcher poskytuje integraci aplikací s vašimi systémy SAP a zahrnuje funkce, které služba Application Gateway sama neposkytuje. Ověřování klientů, když dosáhne systémů SAP, provádí aplikační vrstva SAP nativně nebo prostřednictvím jednotného přihlašování. Když povolíte ochranu Před útoky Azure DDoS, zvažte použití skladové položky ochrany sítě DDoS, protože se zobrazí slevy pro firewall webových aplikací služby Application Gateway.
Pro zajištění optimálního výkonu povolte podporu HTTP/2 pro Application Gateway, SAP Web Dispatcher a SAP NetWeaver.
Azure Load Balancer: Azure Standard Load Balancer poskytuje síťové prvky pro návrh systémů SAP s vysokou dostupností. Pro clusterované systémy poskytuje Load Balancer úrovně Standard virtuální IP adresu pro clusterovou službu, jako jsou instance ASCS/SCS a databáze spuštěné na virtuálních počítačích. Můžete také použít Load Balancer úrovně Standard k poskytnutí IP adresy pro virtuální název hostitele SAP ne clusterovaných systémů, pokud sekundární IP adresy na síťových kartách Azure nejsou možné. Použití Load Balanceru úrovně Standard místo služby Application Gateway k adresování odchozího internetového přístupu je popsáno dále v tomto článku.
Návrh sítě
Architektura používá dvě samostatné virtuální sítě, obě paprskové virtuální sítě, které jsou v partnerském vztahu k centrální virtuální síti centra. Neexistuje žádný partnerský vztah mezi paprsky. Používá se hvězdicová topologie, ve které komunikace prochází centrem. Oddělení sítí pomáhá chránit aplikace před porušením zabezpečení.
Hraniční síť specifická pro aplikaci (označovaná také jako DMZ) obsahuje internetové aplikace, jako jsou SAProuter, SAP Cloud Connector, SAP Analytics Cloud Agent a další. V diagramu architektury se hraniční síť jmenuje OBVOD SAP – paprsková virtuální síť. Vzhledem k závislostem na systémech SAP tým SAP obvykle nasadí, konfiguraci a správu těchto služeb. Proto se tyto hraniční služby SAP často nenacházejí v centrálním předplatném a síti centra. Problémy organizace jsou často způsobené tím, že centrální centrum umísťuje konkrétní aplikace nebo služby pro konkrétní úlohy.
Toto jsou některé výhody použití samostatné hraniční virtuální sítě SAP:
- Rychlá a okamžitá izolace ohrožených služeb v případě zjištění porušení zabezpečení Odebrání partnerského vztahu virtuálních sítí z hraniční sítě SAP do centra okamžitě izoluje hraniční úlohy SAP a aplikace virtuální sítě SAP od internetu. Změna nebo odebrání pravidla NSG, které povoluje přístup, má vliv jenom na nová připojení a nevyřízá existující připojení.
- Přísnější kontroly virtuální sítě a podsítě s těsným uzamčením komunikačních partnerů v hraniční síti SAP a sítích aplikací SAP. Rozšířené řízení můžete rozšířit na autorizované uživatele a metody přístupu v hraničních aplikacích SAP s různými back-endy autorizace, privilegovaným přístupem nebo přihlašovacími údaji pro hraniční aplikace SAP.
Nevýhody jsou zvýšené složitosti a další náklady na partnerský vztah virtuálních sítí pro přenosy SAP vázané na internet (protože komunikace musí projít přes partnerský vztah virtuálních sítí dvakrát). Dopad latence na provoz partnerského vztahu paprskového hvězdicového paprsku závisí na libovolné bráně firewall, která je na místě, a je potřeba ji změřit.
Zjednodušená architektura
Pokud chcete vyřešit doporučení v tomto článku, ale omezit nevýhody, můžete pro hraniční i aplikace SAP použít jednu paprskovou virtuální síť. Následující architektura obsahuje všechny podsítě v jedné produkční virtuální síti SAP. Výhoda okamžité izolace ukončením partnerského vztahu virtuálních sítí s hraniční sítí SAP, pokud není ohrožená, není k dispozici. V tomto scénáři ovlivní změny skupin zabezpečení sítě pouze nová připojení.
Stáhněte si soubor Visia s architekturami v tomto článku.
Pro nasazení, která jsou menší velikostí a rozsahem, může být zjednodušená architektura vhodnější a stále dodržuje principy složitější architektury. Tento článek, pokud není uvedeno jinak, odkazuje na složitější architekturu.
Zjednodušená architektura používá bránu NAT v hraniční podsíti SAP. Tato brána poskytuje odchozí připojení pro konektor SAP Cloud a aktualizace cloudového agenta SAP Analytics a operačního systému pro nasazené virtuální počítače. Vzhledem k tomu, že SAProuter vyžaduje příchozí i odchozí připojení, komunikační cesta SAProuter prochází bránou firewall místo brány NAT Gateway. Zjednodušená architektura také umístí službu Application Gateway s vlastní určenou podsítí v hraniční virtuální síti SAP jako alternativní přístup k virtuální síti centra.
NaT Gateway je služba, která poskytuje statické veřejné IP adresy pro odchozí připojení. Brána NAT je přiřazená k podsíti. Veškerá odchozí komunikace používá IP adresy služby NAT Gateway pro přístup k internetu. Příchozí připojení nepoužívají bránu NAT Gateway. Aplikace jako SAP Cloud Connector nebo aktualizační služby operačního systému virtuálního počítače, které přistupují k úložištím na internetu, můžou místo směrování veškerého odchozího provozu přes centrální bránu firewall používat bránu NAT Gateway. Pravidla definovaná uživatelem se často implementují ve všech podsítích, aby provoz směřující na internet ze všech virtuálních sítí přes centrální bránu firewall vynutil.
V závislosti na vašich požadavcích můžete bránu NAT gateway používat jako alternativu k centrální bráně firewall pro odchozí připojení. Tímto způsobem můžete snížit zatížení centrální brány firewall při komunikaci s veřejnými koncovými body s povolenými skupinami zabezpečení sítě. Získáte také řízení odchozích IP adres, protože můžete nakonfigurovat pravidla cílové brány firewall v nastaveném seznamu IP adres brány NAT. Mezi příklady patří dosažení veřejných koncových bodů Azure, které používají veřejné služby, úložiště oprav operačního systému nebo rozhraní třetích stran.
V případě konfigurace s vysokou dostupností mějte na paměti, že služba NAT Gateway je nasazená jenom v jedné zóně a v současné době není redundantní mezi zónami. U jedné brány NAT není ideální pro nasazení SAP, která pro virtuální počítače používají zónově redundantní nasazení (mezi zónami).
Použití síťových komponent v prostředí SAP
Dokument architektury obvykle znázorňuje pouze jeden systém SAP nebo na šířku. Díky tomu budou snadněji pochopitelné. Výsledkem je, že často větší obrázek, jak architektura zapadá do větší krajiny SAP, která obsahuje několik systémových stop a vrstev, není vyřešena.
Centrální síťové služby, jako je brána firewall, brána NAT a proxy servery, pokud jsou nasazené, se nejlépe používají v celé krajině SAP všech úrovní: produkční, předprodukční, vývoj a sandbox. V závislosti na vašich požadavcích, velikosti vaší organizace a obchodních zásadách můžete zvážit samostatné implementace na úrovni nebo jednu produkční a jednu sandboxovou/testovací prostředí.
Služby, které obvykle obsluhují systém SAP, jsou nejlépe oddělené, jak je popsáno zde:
- Nástroje pro vyrovnávání zatížení by měly být vyhrazené pro jednotlivé služby. Zásady společnosti určují pojmenování a seskupení prostředků. Pro ASCS/SCS a ERS a druhý pro databázi doporučujeme jeden nástroj pro vyrovnávání zatížení oddělený pro každý identifikátor SID SAP. Alternativně je vhodný také jeden nástroj pro vyrovnávání zatížení pro clustery SCS (A)SCS, ERS a DB jednoho systému SAP. Tato konfigurace pomáhá zajistit, aby řešení potíží nebylo složité, s mnoha front-endovými a back-endovými fondy a pravidly vyrovnávání zatížení na jednom nástroji pro vyrovnávání zatížení. Jeden nástroj pro vyrovnávání zatížení na SAP SID také zajišťuje, aby umístění ve skupinách prostředků odpovídalo umístění v jiných komponentách infrastruktury.
- Application Gateway, jako je nástroj pro vyrovnávání zatížení, umožňuje více back-endů, front-endů, nastavení HTTP a pravidel. Rozhodnutí o použití jedné aplikační brány pro více použití je tady častější, protože ne všechny systémy SAP v prostředí vyžadují veřejný přístup. Více použití v tomto kontextu zahrnuje různé porty webového dispečeru pro stejné systémy SAP S/4HANA nebo různá prostředí SAP. Pokud není složitost a počet připojených systémů příliš vysoký, doporučujeme alespoň jednu aplikační bránu na úrovni (produkční, neprodukční a sandbox).
- Služby SAP, jako jsou SAProuter, Cloud Connector a Analytický cloudový agent, se nasazují na základě požadavků aplikací, a to centrálně nebo rozdělené. Rozdělení produkce a neprodukčního prostředí je často žádoucí.
Určení velikosti a návrhu podsítě
Při návrhu podsítí pro prostředí SAP nezapomeňte dodržovat zásady velikosti a návrhu:
- Několik služeb PaaS (Platforma jako služba) Azure vyžaduje vlastní určené podsítě.
- Application Gateway doporučuje podsíť /24 pro škálování. Pokud se rozhodnete omezit škálování služby Application Gateway na menší podsíť, můžete použít minimálně /26 nebo větší. Ve stejné podsíti nemůžete používat obě verze služby Application Gateway (1 i 2).
- Pokud pro sdílené složky NFS/SMB nebo databázové úložiště používáte Azure NetApp Files, je nutná určená podsíť. Výchozí podsíť /24. Použijte své požadavky k určení správné velikosti.
- Pokud používáte názvy virtuálních hostitelů SAP, potřebujete ve svých podsítích SAP více adresního prostoru, včetně hraniční sítě SAP.
- Centrální služby, jako je Azure Bastion nebo Azure Firewall, obvykle spravované centrálním IT týmem, vyžadují vlastní vyhrazené podsítě s dostatečnou velikostí.
Pomocí vyhrazených podsítí pro databáze a aplikace SAP můžete nastavit skupiny zabezpečení sítě tak, aby byly přísnější, což pomáhá chránit oba typy aplikací pomocí vlastních sad pravidel. Přístup k databázím k aplikacím SAP pak můžete snadněji omezit, aniž byste se museli uchylovat ke skupinám zabezpečení aplikací pro podrobné řízení. Oddělení podsítí aplikace a databáze SAP usnadňuje správu pravidel zabezpečení v NSG.
Služby SAP
SAProuter
SAProuter můžete použít k povolení přístupu k systému SAP třetím stranám, jako je podpora SAP nebo vaši partneři. SAProuter běží na jednom virtuálním počítači v Azure. Oprávnění ke směrování pro použití SAProuter jsou uložená v plochém souboru s názvem saprouttab. Položky saprouttab umožňují připojení z libovolného portu TCP/IP k síťovému cíli za SAProuter, obvykle systémové virtuální počítače SAP. Vzdálený přístup od podpory SAP spoléhá na SAProuter. Hlavní architektura používá návrh, který je popsaný výše, s virtuálním počítačem SAProuter spuštěným v rámci určené hraniční virtuální sítě SAP. Prostřednictvím partnerského vztahu virtuálních sítí pak SAProuter komunikuje se servery SAP, které běží ve své vlastní paprskové virtuální síti a podsítích.
SAProuter je tunel pro SAP nebo pro vaše partnery. Tato architektura popisuje použití SAProuter s SNC k vytvoření šifrovaného aplikačního tunelu (síťová vrstva 7) pro SAP/partnery. Použití tunelu založeného na protokolu IPSEC se v současné době v této architektuře nezabývá.
Následující funkce pomáhají chránit komunikační cestu přes internet:
- Azure Firewall nebo síťové virtuální zařízení třetí strany poskytuje vstupní bod veřejné IP adresy do sítí Azure. Pravidla brány firewall omezují komunikaci jenom na autorizované IP adresy. Pro vaše připojení k podpoře SAP SAP poznámka 48243 – Integrace softwaru SAProuter do prostředí brány firewall dokumentuje IP adresy směrovačů SAP.
- Podobně jako pravidla brány firewall pravidla zabezpečení sítě umožňují komunikaci na portu SAProuter, obvykle 3299 s určeným cílem.
- Pravidla povolení/zamítnutí SAProuter udržujete v souboru saprouttab a určíte, kdo může kontaktovat SAProuter a ke kterému systému SAP se dostanete.
- Další pravidla NSG jsou na příslušných podsítích v produkční podsíti SAP, která obsahuje systémy SAP.
Postup konfigurace služby SAProuter se službou Azure Firewall najdete v tématu Konfigurace SAProuter se službou Azure Firewall.
Aspekty zabezpečení SAProuter
Vzhledem k tomu, že SAProuter nefunguje ve stejné podsíti aplikace jako systémy SAP, můžou se mechanismy přihlašování pro operační systém lišit. V závislosti na vašich zásadách můžete pro SAProuter použít samostatnou přihlašovací doménu nebo výhradně přihlašovací údaje uživatele jen pro hostitele. Pokud dojde k narušení zabezpečení, kaskádový přístup k interním systémům SAP není možný kvůli odlišnému základu přihlašovacích údajů. Oddělení sítě v takovém případě, jak je popsáno výše, může oddělit další přístup od ohroženého SAProuter do podsítí aplikace. Tuto izolaci můžete provést odpojením partnerského vztahu hraniční virtuální sítě SAP.
Důležité informace o vysoké dostupnosti SAProuter
Vzhledem k tomu, že SAProuter je jednoduchý spustitelný soubor s tabulkou oprávnění směrování na základě souboru, můžete ji snadno spustit. Aplikace nemá žádnou integrovanou vysokou dostupnost. Pokud dojde k selhání virtuálního počítače nebo aplikace, musí služba spustit na jiném virtuálním počítači. Použití názvu virtuálního hostitele pro službu SAProuter je ideální. Název virtuálního hostitele je vázán na IP adresu, která je přiřazená jako sekundární konfigurace IP s síťovým rozhraním virtuálního počítače nebo s interním nástrojem pro vyrovnávání zatížení připojeným k virtuálnímu počítači. Pokud je v této konfiguraci potřeba přesunout službu SAProuter do jiného virtuálního počítače, můžete konfiguraci IP adresy virtuálního hostitele služby odebrat. Pak přidáte název virtuálního hostitele na jiný virtuální počítač, aniž byste museli měnit směrovací tabulky nebo konfiguraci brány firewall. Všechny jsou nakonfigurované tak, aby používaly virtuální IP adresu. Další informace najdete v tématu Použití názvů virtuálních hostitelů SAP s Linuxem v Azure.
Kaskádové SAProuters
Pokud chcete implementovat kaskádové SAProuters, můžete definovat tolik jako dva SAProutery pro připojení podpory SAP. První SAProuter, který běží v podsíti hraniční aplikace SAP, poskytuje přístup z centrální brány firewall a ze SAP nebo partnerských SAProuters. Jedinými povolenými cíli jsou další cíle SAProuter, které běží s konkrétními úlohami. Kaskádové SAProuters můžou v závislosti na vaší architektuře používat oddělení podle jednotlivých vrstev, oblastí nebo podle sid. Druhý SAProuter přijímá pouze interní připojení z prvního SAProuteru a poskytuje přístup k jednotlivým systémům SAP a virtuálním počítačům. Tento návrh umožňuje oddělit přístup a správu mezi různými týmy, pokud potřebujete. Příklad kaskádových SAProuters najdete v tématu Konfigurace SAProuter pomocí služby Azure Firewall.
SAP Fiori a WebGui
SAP Fiori a další front-endy HTTPS pro aplikace SAP se často využívají mimo interní podnikovou síť. Potřeba být k dispozici na internetu vyžaduje vysoce zabezpečené řešení, které pomáhá chránit aplikaci SAP. Služba Application Gateway s firewallem webových aplikací je pro tento účel ideální službou.
U uživatelů a aplikací, které přistupují k veřejnému názvu hostitele veřejné IP adresy, která je svázaná se službou Application Gateway, se relace HTTPS ukončí ve službě Application Gateway. Back-endový fond dvou nebo více virtuálních počítačů SAP Web Dispatcher získá relace kruhového dotazování ze služby Application Gateway. Tato interní služba Application Gateway provozu do služby Web Dispatcher může být v závislosti na požadavcích http nebo HTTPS. S protokolem HTTPS mezi virtuálními počítači Application Gateway a Web Dispatcher použijte certifikát a řetěz certifikátů známý pro tým SAP pro každou pravidelnou obměnu certifikátů. Firewall webových aplikací pomáhá chránit SAP Web Dispatcher před útoky přicházejícími přes internet pomocí základní sady pravidel OWASP. SAP NetWeaver, často svázaný s Microsoft Entra ID prostřednictvím jednotného přihlašování (SSO), provádí ověřování uživatelů. Kroky potřebné ke konfiguraci jednotného přihlašování pro Fiori pomocí služby Application Gateway najdete v tématu Jednotné přihlašování Konfigurace pomocí SAML a Microsoft Entra ID pro veřejné a interní adresy URL.
Mějte na paměti, že v jakékoli situaci potřebujete zabezpečit SAP Web Dispatcher, a to i v případě, že je otevřený pouze interně, přístupný prostřednictvím služby Application Gateway prostřednictvím veřejné IP adresy nebo přístupné jinými síťovými prostředky. Další informace naleznete v tématu Informace o zabezpečení pro SAP Web Dispatcher.
Azure Firewall a Application Gateway
Veškerý webový provoz poskytovaný službou Application Gateway je založený na protokolu HTTPS a zašifrovaný pomocí poskytnutého certifikátu TLS. Azure Firewall můžete použít jako vstupní bod k podnikové síti přes jeho veřejnou IP adresu a pak směrovat provoz SAP Fiori z brány firewall do služby Application Gateway prostřednictvím interní IP adresy. Další informace najdete v tématu Application Gateway po bráně firewall. Vzhledem k tomu, že šifrování protokolu TCP/IP vrstvy 7 je již zavedeno přes protokol TLS, je v tomto scénáři omezené využití brány firewall a nemůžete provádět kontrolu paketů. Fiori komunikuje přes stejnou externí IP adresu pro příchozí i odchozí provoz, což se obvykle nevyžaduje pro nasazení SAP Fiori.
Existuje několik výhod tandemového nasazení služby Application Gateway a brány firewall vrstvy 4:
- Možná integrace se správou zásad zabezpečení na podnikové úrovni
- Síťový provoz, který porušuje pravidla zabezpečení, se už zahodí, takže nevyžaduje kontrolu.
Toto kombinované nasazení je dobrou architekturou. Způsob zpracování příchozího internetového provozu závisí na celkové podnikové architektuře. Musíte také zvážit, jak celková síťová architektura odpovídá metodám přístupu z interního adresního prostoru IP adres, jako jsou místní klienti. Tento faktor je popsaný v další části.
Application Gateway pro interní IP adresy (volitelné)
Tato architektura se zaměřuje na internetové aplikace. Existují různé možnosti pro klienty, kteří přistupují k SAP Fiori, webovému uživatelskému rozhraní systému SAP NetWeaver nebo jinému rozhraní SAP HTTPS prostřednictvím interní privátní IP adresy. Jedním ze scénářů je zacházení se všemi přístupy k Fiori jako s veřejným přístupem prostřednictvím veřejné IP adresy. Další možností je použití přímého síťového přístupu prostřednictvím privátní sítě k dispečerům SAP Web Dispatchers, které zcela obcházejí službu Application Gateway. Třetí možností je použití privátních i veřejných IP adres ve službě Application Gateway, která poskytuje přístup k internetu i privátní síti.
Podobnou konfiguraci můžete použít s privátní IP adresou ve službě Application Gateway pro přístup k privátní síti do prostředí SAP. Veřejná IP adresa se v tomto případě používá jenom pro účely správy a nemá k němu přidružený naslouchací proces.
Jako alternativu k používání služby Application Gateway můžete použít nástroj pro vyrovnávání zatížení interně. Standardní interní nástroj pro vyrovnávání zatížení můžete použít s virtuálními počítači Web Dispatcher nakonfigurovanými jako back-end kruhového dotazování. V tomto scénáři se standardní nástroj pro vyrovnávání zatížení umístí s virtuálními počítači Web Dispatcheru v podsíti produkční aplikace SAP a poskytuje vyrovnávání zatížení mezi virtuálními počítači Web Dispatcheru.
U internetových nasazení doporučujeme službu Application Gateway s firewallem webových aplikací místo nástroje pro vyrovnávání zatížení s veřejnou IP adresou.
SAP Business Technology Platform (BTP)
SAP BTP je velká sada aplikací SAP, SaaS nebo PaaS, ke které se obvykle přistupuje prostřednictvím veřejného koncového bodu přes internet. Cloudový konektor SAP se často používá k poskytování komunikace pro aplikace běžící v privátních sítích, jako je systém SAP S/4HANA běžící v Azure. Sap Cloud Connector běží jako aplikace na virtuálním počítači. K vytvoření tunelu HTTPS šifrovaného protokolem TLS pomocí SAP BTP vyžaduje odchozí přístup k internetu. Funguje jako reverzní vyvolání proxy mezi rozsahem privátních IP adres ve vaší virtuální síti a aplikacemi SAP BTP. Z důvodu podpory zpětného vyvolání není nutné otevírat porty brány firewall ani jiný přístup pro příchozí připojení, protože připojení z vaší virtuální sítě je odchozí.
Ve výchozím nastavení mají virtuální počítače nativně odchozí internetový přístup v Azure. Veřejná IP adresa, která se používá pro odchozí provoz, pokud k virtuálnímu počítači není přidružená žádná vyhrazená veřejná IP adresa, se náhodně vybírá z fondu veřejných IP adres v konkrétní oblasti Azure. Nemůžete ho ovládat. Pokud chcete zajistit, aby odchozí připojení byla provedena prostřednictvím řízené a identifikovatelné služby a IP adresy, můžete použít jednu z následujících metod:
- Brána NAT, která je přidružená k podsíti nebo nástroji pro vyrovnávání zatížení a jeho veřejné IP adrese.
- Proxy servery HTTP, které provozujete.
- Trasa definovaná uživatelem, která vynutí tok síťového provozu do síťového zařízení, jako je brána firewall.
Diagram architektury znázorňuje nejběžnější scénář: směrování provozu vázaného na internet do virtuální sítě centra a přes centrální bránu firewall. Abyste se mohli připojit ke svému účtu SAP BTP, musíte nakonfigurovat další nastavení v konektoru SAP Cloud Connector.
Vysoká dostupnost pro konektor SAP Cloud
Vysoká dostupnost je integrovaná do konektoru SAP Cloud Connector. Cloud Connector je nainstalovaný na dvou virtuálních počítačích. Hlavní instance je aktivní a stínová instance je k ní připojená. Sdílí konfiguraci a nativně se synchronizují. Pokud není hlavní instance dostupná, sekundární virtuální počítač se pokusí převzít hlavní roli a znovu vytvořit tunel TLS pro SAP BTP. V architektuře se zobrazuje prostředí cloudového konektoru s vysokou dostupností. Pro konfiguraci nepotřebujete žádné jiné technologie Azure, jako je nástroj pro vyrovnávání zatížení nebo software clusteru. Podrobnosti o konfiguraci a operaci najdete v dokumentaci k SAP.
Cloudový agent SAP Analytics
V některých scénářích aplikací je cloudový agent SAP Analytics aplikace nainstalovaná na virtuálním počítači. Používá cloudový konektor SAP pro připojení SAP BTP. V této architektuře běží virtuální počítač cloudového agenta SAP Analytics v podsíti hraniční aplikace SAP společně s virtuálními počítači sap Cloud Connectoru. Informace o toku provozu z privátních sítí, jako je virtuální síť Azure, do SAP BTP prostřednictvím cloudového agenta SAP Analytics najdete v dokumentaci k SAP.
Služba SAP Private Link v Azure
SAP poskytuje službu Private Link pro SAP BTP. Umožňuje privátní připojení mezi vybranými službami SAP BTP a vybranými službami ve vašem předplatném Azure a virtuální sítí. Když používáte službu Private Link, komunikace se nesměruje přes veřejný internet. Zůstává na páteřní síti Azure s vysokým zabezpečením. Komunikace se službami Azure probíhá prostřednictvím privátního adresního prostoru. Vylepšená ochrana před exfiltrací dat je integrovaná při použití služby Private Link, protože privátní koncový bod mapuje konkrétní službu Azure na IP adresu. Přístup je omezený na mapovanou službu Azure.
U některých scénářů integrace SAP BTP je upřednostňovaný přístup ke službě Private Link. Pro ostatní je konektor SAP Cloud Lepší. Informace, které vám pomůžou při rozhodování, které použít, najdete v tématu Souběžné spuštění cloudového konektoru a SAP Private Linku.
SAP RISE/ECS
Pokud SAP provozuje váš systém SAP pod kontraktem SAP RISE/ECS, je SAP partnerem spravovaných služeb. Prostředí SAP nasadí SAP. V architektuře SAP se zde uvedená architektura nevztahuje na vaše systémy, které běží ve službě RISE se SAP/ECS. Informace o integraci tohoto typu prostředí SAP se službami Azure a vaší sítí najdete v dokumentaci k Azure.
Další požadavky na komunikaci SAP
Další aspekty týkající se komunikace vázané na internet se můžou vztahovat na prostředí SAP provozující v Azure. Tok provozu v této architektuře používá pro tento odchozí provoz centrální bránu Azure Firewall. Uživatelsky definovaná pravidla v paprskových virtuálních sítích směrují požadavky na provoz vázaný na internet do brány firewall. Alternativně můžete použít brány NAT pro konkrétní podsítě, výchozí odchozí komunikaci Azure , veřejné IP adresy na virtuálních počítačích (nedoporučuje se) nebo veřejný nástroj pro vyrovnávání zatížení s odchozími pravidly. Typické scénáře se dostanou k veřejným koncovým bodům Microsoft Entra ID, rozhraní API pro správu Azure na management.azure.com a službám aplikací třetích stran nebo aplikací státní správy prostřednictvím odchozího síťového přístupu.
Vzhledem ke změnám výchozího odchozího přístupu v Azure se ujistěte, že je definovaný škálovatelný odchozí přístup. U virtuálních počítačů, které jsou za standardním interním nástrojem pro vyrovnávání zatížení, jako jsou virtuální počítače v clusterovaných prostředích, mějte na paměti, že Load Balancer úrovně Standard upravuje chování pro veřejné připojení. Další informace najdete v tématu Připojení k veřejnému koncovému bodu pro virtuální počítače pomocí Azure Standard Load Balanceru ve scénářích s vysokou dostupností SAP.
Další informace o výchozím odchozím připojení z virtuálních počítačů najdete v tématu Možnosti směrování virtuálních počítačů z privátních podsítí na blogu sítě Azure.
Aktualizace operačního systému
Aktualizace operačního systému se často nacházejí za veřejným koncovým bodem a používají se přes internet. Pokud není k dispozici žádné podnikové úložiště a správa aktualizací, zrcadlení aktualizací operačního systému od dodavatelů na privátních IP adresách nebo virtuálních počítačích, musí vaše úloha SAP přistupovat k úložištím aktualizací dodavatelů.
V případě operačních systémů Linux máte přístup k následujícím úložištím, pokud získáte licenci operačního systému z Azure. Pokud licence zakoupíte přímo a přenesete je do Azure (BYOS), obraťte se na dodavatele operačního systému, kde se dozvíte, jak se připojit k úložištím operačního systému a jejich příslušným rozsahům IP adres.
- Pro SUSE Enterprise Linux udržuje SUSE seznam serverů v každé oblasti Azure.
- Pro Red Hat Enterprise Linux je zde zdokumentovaná infrastruktura aktualizací Red Hat.
- Pro Windows je služba Windows Update k dispozici prostřednictvím značek plně kvalifikovaného názvu domény pro službu Azure Firewall.
Správa clusteru s vysokou dostupností
Vysoce dostupné systémy, jako jsou clusterované SAP ASCS/SCS nebo databáze, můžou jako zařízení STONITH používat správce clusteru s agentem azure plotu. Tyto systémy závisí na dosažení Azure Resource Manageru. Resource Manager se používá k dotazům na stav prostředků Azure a operacím pro zastavení a spuštění virtuálních počítačů. Vzhledem k tomu, že Resource Manager je veřejný koncový bod dostupný v části management.azure.com
Odchozí komunikace virtuálního počítače, musí se k němu dostat. Tato architektura spoléhá na centrální bránu firewall s uživatelsky definovanými pravidly směrování provozu z virtuálních sítí SAP. Alternativy najdete v předchozích částech.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autoři:
- Robert Biro | Vedoucí architekt
- Dennis Padia | Vedoucí architekt SAP
Další přispěvatel:
- Mick Alberts | Technický spisovatel
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Komunity
Zvažte použití těchto komunit k získání odpovědí na otázky a pomoc s nastavením nasazení:
Další kroky
- Blogy SAP | SAP v Azure: Nastavení firewallu webových aplikací brány Aplikace Azure lication Gateway v2 pro internetové aplikace SAP Fiori
- Blogy SAP | Začínáme se službou BTP Private Link pro Azure
- Blogy SAP | BTP private linky přísahá s Azure – spuštění cloudového konektoru a SAP Private Linku vedle sebe
- Blog o sítích Azure | Možnosti směrování pro virtuální počítače z privátních podsítí
- SAP v technické komunitě Azure | Konfigurace SAProuter s využitím služby Azure Firewall
- SAP v technické komunitě Azure | Použití názvů virtuálních hostitelů SAP s Linuxem v Azure
- Dokumentace k SAP | Co je Cloud Connector?
- Dokumentace k SAP | Co je cloudový agent SAP Analytics?
- Výchozí odchozí přístup ve službě Azure
- Připojení veřejného koncového bodu pro virtuální počítače využívající Azure Standard Load Balancer ve scénářích s vysokou dostupností SAP
- Průvodce rozhodováním o předplatném
- YouTube | Nasazení Fiori ve velkém měřítku