Partager via

Préparer le réseau pour le déploiement d’infrastructure

  • Article

Dans ce guide pratique, vous allez apprendre à préparer un réseau virtuel pour déployer une infrastructure S/4 HANA à l’aide du Centre Azure pour les solutions SAP. Cet article apporte des conseils généraux sur la création d’un réseau virtuel. Votre environnement et votre cas d’usage particuliers déterminent comment configurer vos propres paramètres réseau à utiliser avec une ressource VIS (Virtual Instance for SAP).

Si vous disposez d’un réseau existant qui est prêt à être utilisé avec le Centre Azure pour les solutions SAP, consultez au guide de déploiement au lieu de suivre ce guide.

Prérequis

  • Un abonnement Azure.
  • Passez en revue les quotas de votre abonnement Azure. Si les quotas sont faibles, vous devrez peut-être créer une demande de support avant de créer votre déploiement d’infrastructure. Sinon, vous pouvez rencontrer des échecs de déploiement ou une erreur de quota insuffisant.
  • Il est recommandé d’avoir plusieurs adresses IP dans le sous-réseau ou les sous-réseaux avant de commencer le déploiement. Par exemple, il est toujours préférable d’avoir un masque /26 au lieu de /29.
  • Les noms AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet et GatewaySubnet sont des noms réservés dans Azure. Veillez à ne pas les utiliser comme noms de sous-réseau.
  • Notez la Norme de niveau de performance des applications SAP (SAPS) et la taille de mémoire de base de données que vous devez attribuer au Centre Azure pour les solutions SAP pour dimensionner votre système SAP. Si vous avez des doutes, vous pouvez également sélectionner les machines virtuelles, à savoir :
    • Une machine virtuelle unique ou un cluster de machines virtuelles ASCS, qui composent une seule instance ASCS dans le VIS.
    • Une machine virtuelle unique ou un cluster de machines virtuelles de base de données, qui composent une seule instance de base de données dans le VIS.
    • Une machine virtuelle de serveur d’applications unique, qui compose une instance d’application unique dans le VIS. Selon le nombre de serveurs d’applications déployés ou enregistrés, il peut y avoir plusieurs instances d’application.

Créer un réseau

Vous devez créer un réseau pour le déploiement d’infrastructure sur Azure. Veillez à créer le réseau dans la même région que celle où vous souhaitez déployer le système SAP.

Certains des composants réseau requis :

  • Un réseau virtuel
  • Sous-réseaux pour les serveurs d’applications et les serveurs de base de données. Votre configuration doit autoriser la communication entre ces sous-réseaux.
  • Groupes de sécurité réseau Azure
  • Tables de routage
  • Pare-feu (ou NAT Gateway)

Pour plus d’informations, consultez l’exemple de configuration réseau.

Connecter le réseau

Au minimum, le réseau doit disposer d’une connectivité Internet sortante pour réussir le déploiement d’infrastructure et l’installation logicielle. Les sous-réseaux d’application et de base de données doivent également être en mesure de communiquer entre eux.

Si la connectivité Internet n’est pas possible, établissez une liste d’autorisation avec les adresses IP des zones suivantes :

Ensuite, assurez-vous que toutes les ressources du réseau virtuel peuvent se connecter les unes aux autres. Par exemple, configurez un groupe de sécurité réseau pour autoriser les ressources au sein du réseau virtuel à communiquer en écoutant tous les ports.

  • Définissez les Plages de ports sources sur *.
  • Définissez les Plages de ports de destination sur *.
  • Définissez Action sur Autoriser

S’il n’est pas possible d’autoriser les ressources au sein du réseau virtuel à se connecter les unes aux autres, autorisez les connexions entre les sous-réseaux d’application et de base de données, et ouvrez plutôt des ports SAP importants dans le réseau virtuel.

Ajouter des points de terminaison SUSE ou Red Hat à la liste d’autorisation

Si vous utilisez SUSE pour les machines virtuelles, ajoutez les points de terminaison SUSE à la liste d’autorisation. Par exemple :

  1. Créez une machine virtuelle avec n’importe quel système d’exploitation à l’aide du Portail Azure ou de d’Azure Cloud Shell. Vous pouvez également installer openSUSE Leap à partir du Microsoft Store et activer WSL.
  2. Installez pip3 en exécutant zypper install python3-pip.
  3. Installez le package pip susepubliccloudinfo en exécutant pip3 install susepubliccloudinfo.
  4. Obtenez la liste des adresses IP à configurer dans le réseau et le pare-feu en exécutant pint microsoft servers --json --region avec le paramètre de région Azure correspondant.
  5. Ajoutez toutes ces adresses IP à la liste d’autorisation sur le pare-feu ou dans le groupe de sécurité réseau où vous envisagez d’attacher les sous-réseaux.

Si vous utilisez Red Hat pour les machines virtuelles, ajoutez les points de terminaison Red Hat à la liste d’autorisation en fonction des besoins. La liste d’autorisation par défaut comprend les adresses IP globales Azure. En fonction de votre cas d’usage, vous devrez peut-être également ajouter les adresses IP Azure Gouvernement Américain ou Azure Allemagne à la liste d’autorisation. Configurez toutes les adresses IP de votre liste sur le pare-feu ou dans le groupe de sécurité réseau où vous souhaitez attacher les sous-réseaux.

Ajouter des comptes de stockage à la liste d’autorisation

Le Centre Azure pour les solutions SAP a besoin d’accéder aux comptes de stockage suivants pour installer correctement le logiciel SAP :

  • Compte de stockage où vous stockez le support SAP requis lors de l’installation du logiciel.
  • Le compte de stockage créé par le Centre Azure pour les solutions SAP dans un groupe de ressources managé, que le Centre Azure pour les solutions SAP possède et gère également.

Plusieurs options permettent d’autoriser l’accès à ces comptes de stockage :

Ajouter Key Vault à la liste d’autorisation

Le Centre Azure pour les solutions SAP crée un coffre de clés pour stocker les clés secrètes et y accéder pendant l’installation du logiciel. Ce coffre de clés stocke également le mot de passe du système SAP. Pour autoriser l’accès à ce coffre de clés, vous pouvez :

Liste d'autorisation Microsoft Entra ID

Le Centre Azure pour les solutions SAP utilise Microsoft Entra ID pour obtenir le jeton d’authentification, afin de récupérer des secrets depuis un coffre de clés managé pendant l’installation de SAP. Pour autoriser l’accès à Microsoft Entra ID, vous pouvez :

Ajouter Azure Resource Manager à la liste d’autorisation

Le Centre Azure pour les solutions SAP utilise une identité managée pour l’installation de logiciels. L’authentification d’identité managée nécessite un appel au point de terminaison Azure Resource Manager. Pour autoriser l’accès à ce point de terminaison, vous pouvez :

Ouvrir des ports SAP importants

Si vous ne parvenez pas à autoriser la connexion entre toutes les ressources du réseau virtuel comme décrit précédemment, vous pouvez ouvrir des ports SAP importants dans le réseau virtuel à la place. Cette méthode permet aux ressources du réseau virtuel d’écouter ces ports à des fins de communication. Si vous utilisez plusieurs sous-réseaux, ces paramètres autorisent également la connectivité au sein des sous-réseaux.

Ouvrez les ports SAP répertoriés dans le tableau suivant. Remplacez les valeurs d’espace réservé (xx) dans les ports correspondants par votre numéro d’instance SAP. Par exemple, si votre numéro d’instance SAP est 01, 32xx devient alors 3201.

Service SAP Plage de ports Autoriser le trafic entrant Autoriser le trafic sortant Objectif
Agent hôte 1128, 1129 Oui Oui Port HTTP/S pour l’agent hôte SAP.
Web Dispatcher 32xx Oui Oui Communication SAPGUI et RFC.
Passerelle 33xx Oui Oui Communication RFC.
Passerelle (sécurisée) 48xx Oui Oui Communication RFC.
Internet Communication Manager (ICM) 80xx, 443xx Oui Oui Communication HTTP/S pour SAP Fiori, interface graphique web
Serveur de messagerie 36xx, 81xx, 444xx Oui Non Équilibrage de charge ; communication ASCS vers les serveurs d’applications ; connexion à l’interface utilisateur graphique ; trafic HTTP/S vers et depuis le serveur de messagerie.
Agent de contrôle 5xx13, 5xx14 Oui Non Arrêt, démarrage et obtention de l’état du système SAP.
Installation de SAP 4237 Oui Non Installation initiale de SAP.
HTTP et HTTPS 5xx00, 5xx01 Oui Oui Port du serveur HTTP/S.
IIOP 5xx02, 5xx03, 5xx07 Oui Oui Port de demande de service.
P4 5xx04-6 Oui Oui Port de demande de service.
Telnet 5xx08 Oui Non Port de service pour la gestion.
Communication SQL 3xx13, 3xx15, 3xx40-98 Oui Non Port de communication de base de données avec application, y compris sous-réseau ABAP ou JAVA.
Serveur SQL 1433 Oui Non Port par défaut pour MS-SQL dans SAP ; requis pour la communication de base de données ABAP ou JAVA.
Moteur HANA XS 43xx, 80xx Oui Oui Port de requête HTTP/S pour le contenu web.

Exemple de configuration réseau

Le processus de configuration d’un exemple de réseau peut inclure les étapes suivantes :

  1. Créez un réseau virtuel ou utilisez-en un qui existe déjà.

  2. Créez les sous-réseaux suivants au sein du réseau virtuel :

    1. Un sous-réseau de couche Application.

    2. Un sous-réseau de couche Base de données.

    3. Un sous-réseau à utiliser avec le pare-feu, nommé Azure FirewallSubnet.

  3. Créez une nouvelle ressource de pare-feu :

    1. Attachez le pare-feu au réseau virtuel.

    2. Créez une règle pour ajouter les points de terminaison RHEL ou SUSE à la liste d’autorisation. Veillez à autoriser toutes les adresses IP sources (*), définissez le port source sur Tous, autorisez les adresses IP de destination pour RHEL ou SUSE et définissez le port de destination sur Tous.

    3. Créez une règle pour autoriser les étiquettes de service. Veillez à autoriser toutes les adresses IP sources (*), définissez le type de destination sur Étiquette de service. Ensuite, autorisez les étiquettes Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager et Microsoft.AzureActiveDirectory.

  4. Créez une ressource de table de routage :

    1. Ajoutez une nouvelle route du type Appliance virtuelle.

    2. Définissez l’adresse IP sur l’adresse IP du pare-feu, que vous trouverez dans la vue d’ensemble de la ressource de pare-feu sur le Portail Azure.

  5. Mettez à jour les sous-réseaux des couches Application et Base de données pour utiliser la nouvelle table de routage.

  6. Si vous utilisez un groupe de sécurité réseau avec le réseau virtuel, ajoutez la règle de trafic entrant suivante. Cette règle assure la connectivité entre les sous-réseaux des couches Application et Base de données.

    Priorité Port Protocole Source Destination Action
    100 Quelconque Quelconque réseau virtuel réseau virtuel Autoriser

  7. Si vous utilisez un groupe de sécurité réseau au lieu d’un pare-feu, ajoutez des règles de trafic sortant pour autoriser l’installation.

    Priorité Port Protocole Source Destination Action
    110 Quelconque Quelconque Quelconque Points de terminaison SUSE ou Red Hat Autoriser
    115 Quelconque Quelconque Quelconque Azure Resource Manager Autoriser
    116 Quelconque Quelconque Tout Microsoft Entra ID Autoriser
    117 Quelconque Quelconque Quelconque Comptes de stockage Autoriser
    118 8080 Quelconque Quelconque Key vault Autoriser
    119 Quelconque Quelconque Quelconque réseau virtuel Autoriser

Étapes suivantes