Připojení k veřejnému koncovému bodu pro Virtual Machines s využitím Azure Standard Load Balancer ve scénářích vysoké dostupnosti SAP

Oborem tohoto článku je popis konfigurací, které umožní odchozí připojení k veřejným koncovým bodům. Konfigurace jsou hlavně v souvislosti s vysokou dostupností s Pacemakerem pro SUSE/RHEL.

Pokud v řešení s vysokou dostupností používáte Pacemaker s agentem plotu Azure, virtuální počítače musí mít odchozí připojení k rozhraní API pro správu Azure. Tento článek obsahuje několik možností, které vám umožní vybrat možnost, která je pro váš scénář nejvhodnější.

Přehled

Při implementaci vysoké dostupnosti pro řešení SAP prostřednictvím clusteringu je jedna z nezbytných komponent Azure Load Balancer. Azure nabízí dvě skladové položky nástroje pro vyrovnávání zatížení: Standard a Basic.

Nástroj pro vyrovnávání zatížení Azure úrovně Standard nabízí některé výhody oproti nástroji pro vyrovnávání zatížení úrovně Basic. Funguje například napříč zónami dostupnosti Azure, má lepší možnosti monitorování a protokolování pro snadnější řešení potíží a nižší latenci. Funkce "Porty vysoké dostupnosti" pokrývá všechny porty, to znamená, že už není nutné vypisovat všechny jednotlivé porty.

Mezi skladovou položkou Basic a Standard nástroje pro vyrovnávání zatížení Azure existují některé důležité rozdíly. Jedním z nich je zpracování odchozího provozu do veřejného koncového bodu. Úplné porovnání SKU Basic a Standard pro vyrovnávání zatížení najdete v tématu porovnání Load Balancer SKU.

Pokud jsou virtuální počítače bez veřejných IP adres umístěny do back-endového fondu interního nástroje pro vyrovnávání zatížení Azure úrovně Standard (bez veřejné IP adresy), není k dispozici žádné odchozí připojení k veřejným koncovým bodům, pokud není provedena další konfigurace.

Pokud má virtuální počítač přiřazenou veřejnou IP adresu nebo je v back-endovém fondu nástroje pro vyrovnávání zatížení s veřejnou IP adresou, bude mít odchozí připojení k veřejným koncovým bodům.

Systémy SAP často obsahují citlivá obchodní data. Pro virtuální počítače hostující systémy SAP je zřídka přijatelné, aby byly přístupné přes veřejné IP adresy. Zároveň existují scénáře, které by vyžadovaly odchozí připojení z virtuálního počítače k veřejným koncovým bodům.

Příklady scénářů vyžadujících přístup k veřejnému koncovému bodu Azure jsou:

• Agent Azure Fence vyžaduje přístup k management.azure.com a login.microsoftonline.com
• Azure Backup
• Azure Site Recovery
• Použití veřejného úložiště pro opravy operačního systému
• Tok dat aplikace SAP může vyžadovat odchozí připojení k veřejnému koncovému bodu.

Pokud vaše nasazení SAP nevyžaduje odchozí připojení k veřejným koncovým bodům, nemusíte implementovat další konfiguraci. Pro scénář vysoké dostupnosti stačí vytvořit interní standardní skladovou položku Azure Load Balancer za předpokladu, že není potřeba příchozí připojení z veřejných koncových bodů.

Poznámka

Pokud jsou virtuální počítače bez veřejných IP adres umístěny do back-endového fondu interního nástroje pro vyrovnávání zatížení Azure úrovně Standard (bez veřejné IP adresy), nebude k dispozici žádné odchozí připojení k internetu, pokud se neprovede další konfigurace umožňující směrování do veřejných koncových bodů.
Pokud virtuální počítače mají veřejné IP adresy nebo jsou už v back-endovém fondu Nástroje pro vyrovnávání zatížení Azure s veřejnou IP adresou, virtuální počítač už bude mít odchozí připojení k veřejným koncovým bodům.

Nejprve si přečtěte následující články:

• Azure Standard Load Balancer
  • Přehled Azure Standard Load Balancer – komplexní přehled nástroje pro vyrovnávání zatížení Azure Standard, důležité principy, koncepty a kurzy
  • Odchozí připojení v Azure – scénáře, jak dosáhnout odchozího připojení v Azure
  • Odchozí pravidla nástroje pro vyrovnávání zatížení – vysvětluje koncepty odchozích pravidel nástroje pro vyrovnávání zatížení a způsob vytváření odchozích pravidel.
• Brána Azure Firewall
  • Azure Firewall – přehled Azure Firewall
  • Kurz: Nasazení a konfigurace Azure Firewall – pokyny ke konfiguraci Azure Firewall prostřednictvím Azure Portal
• Virtuální sítě – Uživatelem definovaná pravidla – Koncepty a pravidla směrování Azure
• Značky služby skupiny zabezpečení – jak zjednodušit konfiguraci skupin zabezpečení sítě a brány firewall pomocí značek služeb

Možnost 1: Další externí Standard Load Balancer Azure pro odchozí připojení k internetu

Jednou z možností, jak dosáhnout odchozího připojení k veřejným koncovým bodům bez povolení příchozího připojení k virtuálnímu počítači z veřejného koncového bodu, je vytvořit druhý nástroj pro vyrovnávání zatížení s veřejnou IP adresou, přidat virtuální počítače do back-endového fondu druhého nástroje pro vyrovnávání zatížení a definovat pouze odchozí pravidla.
Pomocí skupin zabezpečení sítě můžete řídit veřejné koncové body, které jsou přístupné pro odchozí volání z virtuálního počítače.
Další informace najdete v tématu Scénář 2 v dokumentu Odchozí připojení.
Konfigurace by vypadala takto:

Důležité informace

• Pro více virtuálních počítačů ve stejné podsíti můžete použít jednu další veřejnou Load Balancer, abyste dosáhli odchozího připojení k veřejnému koncovému bodu a optimalizovali náklady.
• Pomocí skupin zabezpečení sítě můžete řídit, které veřejné koncové body budou z virtuálních počítačů přístupné. Skupinu zabezpečení sítě můžete přiřadit buď k podsíti, nebo ke každému virtuálnímu počítači. Pokud je to možné, použijte značky služeb ke snížení složitosti pravidel zabezpečení.
• Azure Standard Load Balancer s veřejnou IP adresou a odchozími pravidly umožňuje přímý přístup k veřejnému koncovému bodu. Pokud máte podnikové požadavky na zabezpečení, aby veškerý odchozí provoz procházel prostřednictvím centralizovaného podnikového řešení pro účely auditování a protokolování, možná tento požadavek nebudete moct splnit v tomto scénáři.

Tip

Pokud je to možné, použijte značky služeb ke snížení složitosti skupiny zabezpečení sítě .

Kroky nasazení

1. Vytvoření Load Balancer

   1. V Azure Portal klikněte na Všechny prostředky, Přidat a vyhledejte Load Balancer
   2. Klikněte na Vytvořit.
   3. název Load Balancer MyPublicILB
   4. Jako typ vyberte Veřejné , standardní jako skladovou položku.
   5. Vyberte Vytvořit veřejnou IP adresu a jako název zadejte MyPublicILBFrondEndIP.
   6. Jako zónu dostupnosti vyberte Zónově redundantní .
   7. Klikněte na Zkontrolovat a vytvořit a pak na Vytvořit.

2. Vytvořte back-endový fond MyBackendPoolOfPublicILB a přidejte virtuální počítače.

   1. Vyberte virtuální síť.
   2. Vyberte virtuální počítače a jejich IP adresy a přidejte je do back-endového fondu.

3. Vytvoření pravidel odchozích přenosů

    az network lb outbound-rule create --address-pool MyBackendPoolOfPublicILB --frontend-ip-configs MyPublicILBFrondEndIP --idle-timeout 30 --lb-name MyPublicILB --name MyOutBoundRules  --outbound-ports 10000 --enable-tcp-reset true --protocol All --resource-group MyResourceGroup
   
   

4. Vytvořte pravidla skupiny zabezpečení sítě, která omezí přístup ke konkrétním veřejným koncovým bodům. Pokud existuje skupina zabezpečení sítě, můžete ji upravit. Následující příklad ukazuje, jak povolit přístup k rozhraní API pro správu Azure:

   1. Přejděte do skupiny zabezpečení sítě.
   2. Klikněte na Odchozí pravidla zabezpečení.
   3. Přidejte pravidlo pro Odepření veškerého odchozího přístupu k internetu.
   4. Přidejte pravidlo do části Povolit přístup k AzureCloudu s prioritou nižší, než je priorita pravidla, aby se odepřel veškerý přístup k internetu.

   Odchozí pravidla zabezpečení by vypadala takto:

   

   Další informace o skupinách zabezpečení sítě Azure najdete v tématu Skupiny zabezpečení .

Možnost 2: Azure Firewall pro odchozí připojení k internetu

Další možností, jak dosáhnout odchozího připojení k veřejným koncovým bodům bez povolení příchozího připojení k virtuálnímu počítači z veřejných koncových bodů, je Azure Firewall. Azure Firewall je spravovaná služba s integrovanou vysokou dostupností, která může zahrnovat několik Zóny dostupnosti.
Abyste mohli směrovat provoz přes Azure Firewall, budete také muset nasadit trasu definovanou uživatelem přidruženou k podsíti, ve které jsou nasazené virtuální počítače a nástroj pro vyrovnávání zatížení Azure, která odkazuje na bránu Azure Firewall.
Podrobnosti o nasazení Azure Firewall najdete v tématu Nasazení a konfigurace Azure Firewall.

Architektura by vypadala takto:

Důležité informace

• Azure Firewall je nativní cloudová služba s integrovanou vysokou dostupností a podporuje zónové nasazení.
• Vyžaduje další podsíť s názvem AzureFirewallSubnet.
• Při odchozím přenosu velkých datových sad z virtuální sítě, ve které se nacházejí virtuální počítače SAP, do virtuálního počítače v jiné virtuální síti nebo do veřejného koncového bodu, nemusí to být nákladově efektivní řešení. Jedním z takových příkladů je kopírování rozsáhlých záloh napříč virtuálními sítěmi. Podrobnosti najdete v Azure Firewall cenách.
• Pokud podnikové řešení brány firewall není Azure Firewall a máte požadavky na zabezpečení, aby veškerý odchozí provoz procházel přes centralizované podnikové řešení, nemusí být toto řešení praktické.

Tip

Pokud je to možné, použijte značky služeb ke snížení složitosti pravidel Azure Firewall.

Kroky nasazení

1. Kroky nasazení předpokládají, že pro virtuální počítače už máte definovanou virtuální síť a podsíť.

2. Vytvořte podsíť AzureFirewallSubnet ve stejném Virtual Network, kde jsou nasazené virtuální počítače a Standard Load Balancer.

   1. V Azure Portal přejděte na Virtual Network: Klikněte na Všechny prostředky, vyhledejte Virtual Network, klikněte na Virtual Network a vyberte podsítě.
   2. Klikněte na Přidat podsíť. Jako Název zadejte AzureFirewallSubnet . Zadejte odpovídající rozsah adres. Uložte.

3. Vytvořit Azure Firewall.

   1. V Azure Portal vyberte Všechny prostředky, klikněte na Přidat, Brána firewall, Vytvořit. Vyberte Skupina prostředků (vyberte stejnou skupinu prostředků, kde je Virtual Network).
   2. Zadejte název prostředku Azure Firewall. Například MyAzureFirewall.
   3. Vyberte Oblast a vyberte alespoň dvě zóny dostupnosti v souladu se zónami dostupnosti, ve kterých jsou vaše virtuální počítače nasazené.
   4. Vyberte Virtual Network, kde se nasadí virtuální počítače SAP a Azure Standard Load Balancer.
   5. Veřejná IP adresa: Klikněte na Vytvořit a zadejte název. Například MyFirewallPublicIP.

4. Vytvořte pravidlo Azure Firewall, které povolí odchozí připojení k zadaným veřejným koncovým bodům. Příklad ukazuje, jak povolit přístup k veřejnému koncovému bodu rozhraní API služby Azure Management.

   1. Vyberte Pravidla, Kolekce pravidel sítě a pak klikněte na Přidat kolekci pravidel sítě.
   2. Název: MyOutboundRule, zadejte Priorita a vyberte Akce Povolit.
   3. Služba: Název DoAzureAPI. Protokol: Vyberte Libovolný. Zdrojová adresa: Zadejte rozsah vaší podsítě, kde se nasadí virtuální počítače a Standard Load Balancer, například: 11.97.0.0/24. Cílové porty: Zadejte *.
   4. Uložit
   5. Když jste stále umístěni na Azure Firewall, vyberte Přehled. Poznamenejte si privátní IP adresu Azure Firewall.

5. Vytvoření trasy do Azure Firewall

   1. V Azure Portal vyberte Všechny prostředky a pak klikněte na Přidat, Směrovací tabulka, Vytvořit.
   2. Zadejte Název MyRouteTable a vyberte Předplatné, Skupina prostředků a Umístění (odpovídající umístění virtuální sítě a brány firewall).
   3. Uložit

   Pravidlo brány firewall by vypadalo takto:

6. Vytvořte trasu definovanou uživatelem z podsítě virtuálních počítačů do privátní IP adresy MyAzureFirewall.

   1. Jakmile budete umístěni ve směrovací tabulce, klikněte na Trasy. Vyberte Přidat.
   2. Název trasy: ToMyAzureFirewall, předpona adresy: 0.0.0.0/0. Typ dalšího segmentu směrování: Vyberte Virtuální zařízení. Adresa dalšího segmentu směrování: Zadejte privátní IP adresu brány firewall, kterou jste nakonfigurovali: 11.97.1.4.
   3. Uložit

Možnost 3: Použití proxy serveru pro volání Pacemakeru do rozhraní API služby Azure Management

Proxy server můžete použít k povolení volání Pacemakeru do veřejného koncového bodu rozhraní API pro správu Azure.

Důležité informace

• Pokud už existuje podnikový proxy server, můžete přes něj směrovat odchozí volání do veřejných koncových bodů. Odchozí volání do veřejných koncových bodů budou procházet podnikovým řídicím bodem.
• Ujistěte se, že konfigurace proxy serveru umožňuje odchozí připojení k rozhraní API pro správu Azure: https://management.azure.com a https://login.microsoftonline.com
• Ujistěte se, že existuje trasa z virtuálních počítačů do proxy serveru.
• Proxy bude zpracovávat pouze volání HTTP/HTTPS. Pokud je potřeba provádět odchozí volání do veřejného koncového bodu přes různé protokoly (například RFC), bude potřeba alternativní řešení.
• Aby se zabránilo nestabilitě clusteru Pacemaker, musí být řešení proxy serveru vysoce dostupné.
• V závislosti na umístění proxy serveru může způsobit další latenci volání z agenta Azure Fence do rozhraní API služby Azure Management. Pokud je váš podnikový proxy server stále v místním prostředí a cluster Pacemaker je v Azure, změřte latenci a zvažte, jestli je toto řešení pro vás vhodné.
• Pokud ještě neexistuje vysoce dostupný podnikový proxy server, nedoporučujeme tuto možnost, protože zákazníkovi by se účtovaly další náklady a složitost. Pokud se ale rozhodnete nasadit další řešení proxy serveru, za účelem povolení odchozího připojení z Pacemakeru do veřejného rozhraní API služby Azure Management se ujistěte, že je proxy server vysoce dostupný a latence z virtuálních počítačů do proxy serveru je nízká.

Konfigurace Pacemakeru s proxy serverem

V oboru je k dispozici mnoho různých možností proxy serveru. Podrobné pokyny pro nasazení proxy serveru jsou mimo rozsah tohoto dokumentu. V následujícím příkladu předpokládáme, že váš proxy server reaguje na službu MyProxyService a naslouchá portu MyProxyPort.
Pokud chcete pacemakeru umožnit komunikaci s rozhraním API pro správu Azure, proveďte na všech uzlech clusteru následující kroky:

1. Upravte konfigurační soubor pacemakeru /etc/sysconfig/pacemaker a přidejte následující řádky (všechny uzly clusteru):

   sudo vi /etc/sysconfig/pacemaker
   # Add the following lines
   http_proxy=http://MyProxyService:MyProxyPort
   https_proxy=http://MyProxyService:MyProxyPort
   

2. Restartujte službu Pacemaker na všech uzlech clusteru.

• SUSE

  # Place the cluster in maintenance mode
  sudo crm configure property maintenance-mode=true
  #Restart on all nodes
  sudo systemctl restart pacemaker
  # Take the cluster out of maintenance mode
  sudo crm configure property maintenance-mode=false
  

• Red Hat

  # Place the cluster in maintenance mode
  sudo pcs property set maintenance-mode=true
  #Restart on all nodes
  sudo systemctl restart pacemaker
  # Take the cluster out of maintenance mode
  sudo pcs property set maintenance-mode=false
  

Další možnosti

Pokud se odchozí provoz směruje přes proxy brány firewall na základě adresy URL třetí strany:

• Pokud používáte agenta azure plotu, ujistěte se, že konfigurace brány firewall umožňuje odchozí připojení k rozhraní API pro správu Azure: https://management.azure.com a https://login.microsoftonline.com
• Pokud k instalaci aktualizací a oprav používáte infrastrukturu aktualizací veřejného cloudu SUSE, přečtěte si téma Azure Public Cloud Update Infrastructure 101.

Další kroky

• Informace o konfiguraci Pacemakeru v SUSE v Azure
• Informace o konfiguraci Pacemakeru v Red Hatu v Azure