Prozkoumání směrování SAP HANA v Azure (velké instance) v Azure
Existuje několik pravidel, která určují chování směrování pro SAP HANA v Azure (velké instance):
- Sap HANA v Azure (velké instance) je ve výchozím nastavení přístupný jenom prostřednictvím virtuálních počítačů Azure a vyhrazeného připojení ExpressRoute, nikoli přímo z místního prostředí. Omezení tranzitivního směrování jsou způsobená aktuální architekturou sítě Azure používanou pro velké instance SAP HANA. Někteří klienti pro správu a všechny aplikace, které potřebují přímý přístup, jako je SAP Solution Manager spuštěný místně, se ve výchozím nastavení nebudou moct připojit k databázi SAP HANA.
- Pokud máte jednotky velké instance HANA nasazené ve dvou různých oblastech Azure pro zotavení po havárii, platí stejná přechodná omezení směrování v minulosti. Jinými slovy, IP adresy jednotky velké instance HANA v jedné oblasti (například USA – západ) nebyly směrovány do jednotky velké instance HANA nasazené v jiné oblasti (například USA – východ). Toto omezení bylo nezávislé na použití partnerského vztahu sítí Azure napříč oblastmi nebo křížovým propojením okruhů ExpressRoute, které propojují jednotky velkých instancí HANA s virtuálními sítěmi. Toto omezení, které bylo součástí nasazené architektury, zakázalo okamžité použití systémové replikace HANA jako funkce zotavení po havárii.
- Jednotky SAP HANA v Azure (velké instance) mají přiřazenou IP adresu z rozsahu adres fondu IP adres serveru, který jste odeslali při žádosti o nasazení velké instance HANA. Tato IP adresa je přístupná prostřednictvím předplatných Azure a okruhu, který propojuje virtuální sítě Azure s velkými instancemi HANA. IP adresa přiřazená z rozsahu adres fondu IP adres serveru je přímo přiřazena k hardwarové jednotce. Už není přiřazený prostřednictvím překladu adres (NAT), jak tomu bylo v prvních nasazeních tohoto řešení.
Jak je popsáno výše, tranzitní směrování mezi jednotkami velké instance HANA a místními jednotkami nebo mezi směrováním velké instance HANA, které jsou nasazené ve dvou různých oblastech, nefunguje. Existuje několik možností, jak takové tranzitní směrování povolit.
- ExpressRoute Global Reach
- Reverzní proxy server pro směrování dat do a z SAP HANA v Azure (velké instance). Může to být například F5 BIG-IP nebo NGINX s Traffic Managerem nasazeným ve virtuální síti Azure.
- Pravidla IPTables na virtuálním počítači s Linuxem umožňují směrování mezi místními umístěními a jednotkami velkých instancí HANA nebo mezi jednotkami velké instance HANA v různých oblastech. Virtuální počítač, na kterém běží IPTables, musí být nasazený ve virtuální síti Azure, který se připojuje k velkým instancím HANA k místní síti. Virtuální počítač musí mít odpovídající velikost, takže propustnost sítě virtuálního počítače stačí pro očekávaný síťový provoz.
- Azure Firewall pro směrování provozu mezi místními a velkými jednotkami instance HANA.
U reverzního proxy serveru, IPTables a služby Azure Firewall může být provoz směrovaný přes virtuální síť Azure navíc filtrován skupinami zabezpečení sítě Azure, aby se určité IP adresy nebo rozsahy IP adres z místního prostředí mohly blokovat nebo explicitně povolit pro přístup k velkým instancím HANA. Mějte na paměti, že Microsoft neposkytuje implementaci a podporu vlastních řešení, která zahrnují síťová zařízení třetích stran nebo tabulky IPTable. Podpora musí být poskytována dodavatelem použité komponenty nebo integrátorem.
Prozkoumání SAP HANA v Azure (velké instance) ExpressRoute Global Reach
Díky službě ExpressRoute Global Reach můžou zákazníci propojit okruhy ExpressRoute, aby vytvořili privátní síť mezi místními sítěmi. Global Reach se dá použít pro velké instance HANA ve dvou scénářích:
- Povolte přímý přístup z místního prostředí k jednotkám velké instance HANA nasazeným v různých oblastech.
- Povolte přímou komunikaci mezi jednotkami velké instance HANA nasazenými v různých oblastech.
Prozkoumání přímého přístupu SAP HANA v Azure (velké instance) z místního prostředí
V oblastech Azure, kde je nabízena služba Global Reach, můžete požádat o povolení funkce Global Reach pro váš okruh ExpressRoute, který připojuje vaši místní síť k virtuální síti Azure, která se připojuje i k vašim jednotkám velké instance HANA. Na místní straně okruhu ExpressRoute platí určité náklady. S okruhem, který připojuje jednotky velké instance HANA k Azure, nejsou žádné další náklady.
V případě použití služby Global Reach k povolení přímého přístupu mezi jednotkami velké instance HANA a místními prostředky se síťová data a tok řízení nesměrují přes virtuální sítě Azure, ale přímo mezi směrovači podnikové výměny Microsoftu. Výsledkem je, že žádná pravidla skupiny zabezpečení sítě nebo asg nebo jakýkoli typ brány firewall, síťového virtuálního zařízení nebo proxy serveru, které jste nasadili ve virtuální síti Azure, nemají vliv na připojení. Pokud používáte ExpressRoute Global Reach k povolení přímého přístupu z místního prostředí k jednotkám velké instance HANA, musí být omezení přístupu k jednotkám velkých instancí HANA definována v místních branách firewall.
Prozkoumání víceregionálního připojení SAP HANA v Azure (velké instance)
ExpressRoute Global Reach se dá použít také k propojení tenantů hana Large Instances nasazených ve dvou různých oblastech. Toto připojení využívá okruhy ExpressRoute, které tenanti velké instance HANA používají pro připojení k Azure v obou oblastech. Za připojení dvou tenantů velké instance HANA nasazených ve dvou různých oblastech se neúčtují žádné další poplatky.
Tok dat a tok řízení síťového provozu mezi různými tenanty velké instance HANA nebude směrován přes virtuální sítě Azure. V důsledku toho nemůžete použít skupiny zabezpečení sítě Azure k použití omezení připojení mezi vašimi dvěma tenanty hana Large Instances.
Rozpoznávání připojení k internetu k SAP HANA v Azure (velké instance)
Velké instance HANA nemají přímé připojení k internetu. Toto omezení vám zabrání v registraci instancí operačního systému přímo u dodavatele operačního systému. Jako alternativní řešení můžete použít nástroj pro správu předplatného SUSE Linux Enterprise Server nebo Správce předplatného Red Hat Enterprise Linux.