Vorbereiten des Netzwerks für die Infrastrukturbereitstellung

  • Artikel

In diesem Anleitungshandbuch erfahren Sie, wie Sie ein virtuelles Netzwerk vorbereiten, um S/4 HANA-Infrastruktur mithilfe von Azure Center for SAP solutions bereitzustellen. Dieser Artikel enthält allgemeine Anleitungen zum Erstellen eines virtuellen Netzwerks. Ihre individuelle Umgebung und Ihr Anwendungsfall bestimmt, wie Sie Ihre eigenen Netzwerkeinstellungen für die Verwendung mit einer virtuellen Instanz für SAP (VIS)-Ressource konfigurieren müssen.

Wenn Sie über ein vorhandenes Netzwerk verfügen, das Sie mit Azure Center for SAP solutions verwenden möchten, wechseln Sie zum Bereitstellungshandbuch, anstatt diesem Leitfaden zu folgen.

Voraussetzungen

  • Ein Azure-Abonnement.
  • Überprüfen Sie die Kontingente für Ihr Azure-Abonnement. Wenn die Kontingente niedrig sind, müssen Sie möglicherweise eine Supportanfrage erstellen, bevor Sie Ihre Infrastrukturbereitstellung erstellen. Andernfalls treten möglicherweise Bereitstellungsfehler oder der Fehler Nicht ausreichendes Kontingent auf.
  • Es wird empfohlen, mehrere IP-Adressen im Subnetz oder in den Subnetzen zu haben, bevor Sie mit der Bereitstellung beginnen. Beispielsweise ist es immer besser, eine /26-Maske anstelle von /29 zu haben.
  • Die Namen einschließlich AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet und GatewaySubnet sind reservierte Namen in Azure. Verwenden Sie diese nicht als Subnetznamen.
  • Beachten Sie den SAP Application Performance Standard (SAPS) und die Datenbankspeichergröße, die Sie benötigen, damit Azure Center for SAP solutions die Größe Ihres SAP-Systems bestimmen kann. Wenn Sie nicht sicher sind, können Sie auch die VMs auswählen. Es gibt:
    • eine einzelne oder ein Cluster von ASCS-VMs, die eine einzelne ASCS-Instanz im VIS bilden.
    • eine einzelne oder ein Cluster von Datenbank-VMs, die eine einzelne Datenbankinstanz im VIS bilden.
    • eine einzelne Anwendungsserver-VM, die eine einzelne Anwendungsinstanz im VIS darstellt. Abhängig von der Anzahl der bereitgestellten oder registrierten Anwendungsserver kann es mehrere Anwendungsinstanzen geben.

Netzwerk erstellen

Sie müssen ein Netzwerk für die Infrastrukturbereitstellung in Azure erstellen. Stellen Sie sicher, dass Sie das Netzwerk in derselben Region erstellen, in der Sie das SAP-System bereitstellen möchten.

Einige der erforderlichen Netzwerkkomponenten sind:

  • Ein virtuelles Netzwerk
  • Subnetze für die Anwendungsserver und Datenbankserver. Ihre Konfiguration muss die Kommunikation zwischen diesen Subnetzen zulassen.
  • Azure-Netzwerksicherheitsgruppen
  • Routentabellen
  • Firewalls (oder NAT-Gateway)

Weitere Informationen finden Sie unter Beispiel für eine Netzwerkkonfiguration.

Netzwerk verbinden

Mindestens muss das Netzwerk über ausgehende Internetkonnektivität für erfolgreiche Infrastrukturbereitstellung und Softwareinstallation verfügen. Die Anwendungs- und Datenbank-Subnetze müssen auch in der Lage sein, miteinander zu kommunizieren.

Wenn die Internetverbindung nicht möglich ist, können Sie die IP-Adressen für die folgenden Bereiche auflisten:

Stellen Sie dann sicher, dass alle Ressourcen innerhalb des virtuellen Netzwerks eine Verbindung miteinander herstellen können. Konfigurieren Sie beispielsweise eine Netzwerksicherheitsgruppe, um die Kommunikation von Ressourcen innerhalb des virtuellen Netzwerks zu ermöglichen, indem sie auf allen Ports mithören.

  • Setzen Sie die Quellenportbereiche auf *.
  • Setzen Sie die Zielportbereiche auf *.
  • Setzen Sie Aktion auf Zulassen

Wenn es nicht möglich ist, zuzulassen, dass die Ressourcen innerhalb des virtuellen Netzwerks miteinander kommunizieren, lassen Sie Verbindungen zwischen der Anwendung und Datenbanksubnetzen zu und öffnen Sie stattdessen wichtige SAP-Ports im virtuellen Netzwerk.

Zulassen von SUSE- oder Red Hat-Endpunkten

Wenn Sie SUSE für die VMs verwenden, setzen Sie die SUSE-Endpunkte auf die Positivliste. Beispiel:

  1. Erstellen Sie einen virtuellen Computer mit einem beliebigen Betriebssystem mit dem Azure-Portal oder mit Azure Cloud Shell. Oder installieren Sie openSUSE Leap aus dem Microsoft Store, und aktivieren Sie WSL.
  2. Installieren Sie pip3, indem Sie zypper install python3-pip ausführen.
  3. Installieren Sie das Pip-Paket susepubliccloudinfo, indem Sie pip3 install susepubliccloudinfo ausführen.
  4. Rufen Sie eine Liste der IP-Adressen ab, die im Netzwerk und in der Firewall konfiguriert werden sollen, indem Sie pint microsoft servers --json --region mit dem entsprechenden Azure-Regionsparameter ausführen.
  5. Setzen Sie alle diese IP-Adressen in der Firewall- oder Netzwerksicherheitsgruppe, in der Sie die Subnetze anfügen möchten, auf die Positivliste.

Wenn Sie Red Hat für die VMs verwenden, können Sie die Red Hat-Endpunkte nach Bedarf auflisten. Die Standard-Positivliste besteht aus den globalen Azure-IP-Adressen. Je nach Ihrem Anwendungsfall müssen Sie möglicherweise auch Azure US Government- oder Azure Deutschland-IP-Adressen zulassen. Konfigurieren Sie alle IP-Adressen aus Ihrer Liste in der Firewall oder der Netzwerksicherheitsgruppe, in der Sie die Subnetze anfügen möchten.

Zulassen von Speicherkonten

Azure Center for SAP solutions benötigt Zugriff auf die folgenden Speicherkonten, um SAP-Software ordnungsgemäß zu installieren:

  • Das Speicherkonto, in dem Sie die SAP-Medien speichern, die während der Softwareinstallation erforderlich sind.
  • Das Speicherkonto, das von Azure Center for SAP solutions in einer verwalteten Ressourcengruppe erstellt wurde, die Azure Center for SAP solutions auch besitzt und verwaltet.

Es gibt mehrere Optionen, um den Zugriff auf diese Speicherkonten zu ermöglichen:

  • Internetverbindung zulassen
  • Konfigurieren eines Speicher-Service-Tags
  • Konfigurieren Sie Speicher-Service-Tags mit regionalem Bereich. Stellen Sie sicher, dass Sie Tags für die Azure-Region konfigurieren, in der Sie die Infrastruktur bereitstellen und in der das Speicherkonto mit den SAP-Medien vorhanden ist.
  • Zulassen der regionalen Azure-IP-Bereiche.

Zulassen von Key Vault

Azure Center for SAP solutions erstellt einen Schlüsseltresor zum Speichern und Zugreifen auf die geheimen Schlüssel während der Softwareinstallation. Dieser Schlüsseltresor speichert auch das SAP-Systemkennwort. Um den Zugriff auf diesen Schlüsseltresor zu ermöglichen, können Sie Folgendes ausführen:

  • Internetverbindung zulassen
  • Konfigurieren eines AzureKeyVault-Service-Tags
  • Konfigurieren Sie ein AzureKeyVault-Service-Tag mit regionalem Bereich. Stellen Sie sicher, dass Sie das Tag in der Region konfigurieren, in der Sie die Infrastruktur bereitstellen.

Allowlist Microsoft Entra ID

Azure Center für SAP-Lösungen verwendet Microsoft Entra-ID, um das Authentifizierungstoken zum Abrufen von Geheimschlüsseln aus einem verwalteten Schlüsseltresor während der SAP-Installation abzurufen. Um den Zugriff auf die Microsoft Entra-ID zu ermöglichen, können Sie:

Zulassen von Azure Resource Manager

Azure Center for SAP solutions verwendet eine verwaltete Identität für die Softwareinstallation. Die verwaltete Identitätsauthentifizierung erfordert einen Aufruf des Azure Resource Manager-Endpunkts. Um den Zugriff auf diesen Endpunkt zuzulassen, können Sie Folgendes ausführen:

Öffnen wichtiger SAP-Ports

Wenn Sie die Verbindung zwischen allen Ressourcen im virtuellen Netzwerk nicht zulassen können, wie zuvor beschrieben, können Sie stattdessen wichtige SAP-Ports im virtuellen Netzwerk öffnen. Diese Methode ermöglicht Ressourcen im virtuellen Netzwerk, diese Ports für Kommunikationszwecke abzuhören. Wenn Sie mehrere Subnetze verwenden, ermöglichen diese Einstellungen auch die Konnektivität innerhalb der Subnetze.

Öffnen Sie die in der folgenden Tabelle aufgeführten SAP-Ports. Ersetzen Sie die Platzhalterwerte (xx) in den entsprechenden Ports durch Ihre SAP-Instanznummer. Wenn beispielsweise Ihre SAP-Instanznummer 01 ist, wird 32xx zu 3201.

SAP-Service Portbereich Zulassen von eingehendem Datenverkehr Zulassen von ausgehendem Datenverkehr Zweck
Host-Agent 1128, 1129 Ja Ja HTTP/S-Port für den SAP-Host-Agent.
Web Dispatcher 32xx Ja Ja SAPGUI und RFC-Kommunikation.
Gateway 33xx Ja Ja RFC-Kommunikation.
Gateway (gesichert) 48xx Ja Ja RFC-Kommunikation.
Internet Communication Manager (ICM) 80xx, 443xx Ja Ja HTTP/S-Kommunikation für SAP Fiori, WEB GUI
Nachrichtenserver 36xx, 81xx, 444xx Ja Nein Lastenausgleich; Kommunikation von ASCS zu App-Servern; GUI-Anmeldung; HTTP/S-Datenverkehr an und vom Nachrichtenserver.
Steuerungs-Agent 5xx13, 5xx14 Ja Nein Beenden, Starten und Abrufen des Status des SAP-Systems.
SAP-Installation 4237 Ja Nein Anfängliche SAP-Installation.
HTTP und HTTPS 5xx00, 5xx01 Ja Ja HTTP/S-Serverport.
IIOP 5xx02, 5xx03, 5xx07 Ja Ja Dienstanforderungsport.
P4 5xx04-6 Ja Ja Dienstanforderungsport.
Telnet 5xx08 Ja Nein Dienstport für die Verwaltung.
SQL-Kommunikation 3xx13, 3xx15, 3xx40-98 Ja Nein Datenbankkommunikationsport mit Anwendung, einschließlich ABAP oder JAVA-Subnetz.
Datenbank importieren 1433 Ja Nein Standardport für MS-SQL in SAP; erforderlich für die ABAP- oder JAVA-Datenbankkommunikation.
HANA XS-Engine 43xx, 80xx Ja Ja HTTP/S-Anforderungsport für Webinhalte.

Beispielnetzwerkkonfiguration

Der Konfigurationsprozess für ein Beispielnetzwerk kann folgendes umfassen:

  1. Sie können ein neues virtuelles Netzwerk erstellen oder ein bereits vorhandenes virtuelles Netzwerk auswählen.

  2. Erstellen Sie die folgenden Subnetze im virtuellen Netzwerk:

    1. Ein Subnetz für die Anwendungsebene.

    2. Ein Datenbankebenen-Subnetz.

    3. Ein Subnetz für die Verwendung mit der Firewall namens Azure FirewallSubnet.

  3. Erstellen einer neuen Firewallregel:

    1. Fügen Sie die Firewall an das virtuelle Netzwerk an.

    2. Erstellen Sie eine Regel zum Zulassen von RHEL- oder SUSE-Endpunkten. Stellen Sie sicher, dass alle Quell-IP-Adressen (*) zugelassen sind, setzen Sie den Quellport auf Alle, lassen Sie die Ziel-IP-Adressen für RHEL oder SUSE zu und setzen Sie den Zielport auf Alle festlegen.

    3. Erstellen Sie eine Regel zum Zulassen von Diensttags. Stellen Sie sicher, dass alle Quell-IP-Adressen (*) zulässig sind, legen Sie den Zieltyp auf Diensttag fest. Lassen Sie dann die Tags Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager und Microsoft.AzureActiveDirectory zu.

  4. Erstellen Sie eine Routingtabellenressource:

    1. Fügen Sie eine neue Route des Typs Virtuelles Gerät hinzu.

    2. Legen Sie die IP-Adresse der Firewall auf die IP-Adresse der Firewall fest, die Sie auf der Übersicht der Firewallressource im Azure-Portal finden können.

  5. Aktualisieren Sie die Subnetze für die Anwendungs- und Datenbankebenen, um die neue Routingtabelle zu verwenden.

  6. Wenn Sie eine Netzwerksicherheitsgruppe mit dem virtuellen Netzwerk verwenden, fügen Sie die folgende eingehende Regel hinzu. Diese Regel stellt die Konnektivität zwischen den Subnetzen für die Anwendungs- und Datenbankebene bereit.

    Priorität Port Protokoll Quelle Ziel Aktion
    100 Any Any Virtuelles Netzwerk Virtuelles Netzwerk Allow

  7. Wenn Sie eine Netzwerksicherheitsgruppe anstelle einer Firewall verwenden, fügen Sie Ausgangsregeln hinzu, um die Installation zuzulassen.

    Priorität Port Protokoll Quelle Ziel Aktion
    110 Any Any Any SUSE- oder Red Hat-Endpunkte Allow
    115 Any Any Any Azure Resource Manager Allow
    116 Any Any Any Microsoft Entra ID Zulassen
    117 Any Any Any Speicherkonten Allow
    118 8080 Any Any Schlüsseltresor Allow
    119 Any Any Any Virtuelles Netzwerk Allow

Nächste Schritte