Hálózat előkészítése az infrastruktúra üzembe helyezéséhez

Ebben az útmutatóban megtudhatja, hogyan készíthet elő virtuális hálózatot az S/4 HANA-infrastruktúra üzembe helyezésére az Azure Center for SAP-megoldásokkal. Ez a cikk általános útmutatást nyújt a virtuális hálózatok létrehozásáról. Az egyéni környezet és a használati eset határozza meg, hogyan kell konfigurálnia a saját hálózati beállításait az SAP (VIS) erőforrás virtuális példányával való használatra.

Ha már rendelkezik olyan hálózattal, amelyet készen áll az Azure Center for SAP-megoldások használatára, az útmutató követése helyett keresse fel az üzembe helyezési útmutatót .

Előfeltételek

• Azure-előfizetés.
• Tekintse át az Azure-előfizetés kvótáit. Ha a kvóták alacsonyak, előfordulhat, hogy az infrastruktúra üzembe helyezése előtt létre kell hoznia egy támogatási kérést. Ellenkező esetben üzembe helyezési hibák vagy elégtelen kvótahiba léphet fel.
• Az üzembe helyezés megkezdése előtt ajánlott több IP-címmel rendelkezni az alhálózatban vagy alhálózatokban. Például mindig jobb maszkot használni ahelyett/29, hogy maszkot /26 használnál.
• Az AzureFirewallSubnet, az AzureFirewallManagementSubnet, az AzureBastionSubnet és a GatewaySubnet nevek fenntartott nevek az Azure-ban. Ne használja ezeket alhálózatnevekként.
• Figyelje meg az SAP Application Performance Standard (SAPS) és az adatbázis memóriaméretét, amelyet engedélyeznie kell az Azure Center for SAP-megoldásoknak az SAP-rendszer méretezéséhez. Ha nem biztos benne, a virtuális gépeket is kiválaszthatja. A következők vannak:
  • Egy vagy több ASCS virtuális gépből álló fürt, amely egyetlen ASCS-példányt alkot a VIS-ben.
  • Adatbázis virtuális gépek egy vagy több fürtje, amelyek egyetlen adatbázispéldányt alkotnak a VIS-ben.
  • Egyetlen Application Server virtuális gép, amely egyetlen alkalmazáspéldányt alkot a VIS-ben. Az üzembe helyezett vagy regisztrált alkalmazáskiszolgálók számától függően több alkalmazáspéldány is lehet.

Hálózat létrehozása

Létre kell hoznia egy hálózatot az Infrastruktúra üzembe helyezéséhez az Azure-ban. Ügyeljen arra, hogy a hálózatot ugyanabban a régióban hozza létre, amelyben az SAP-rendszert üzembe szeretné helyezni.

Néhány szükséges hálózati összetevő:

• Egy virtuális hálózatot
• Az alkalmazáskiszolgálók és az adatbázis-kiszolgálók alhálózatai. A konfigurációnak engedélyeznie kell az alhálózatok közötti kommunikációt.
• Azure-beli hálózati biztonsági csoportok
• Útválasztási táblázatok
• Tűzfalak (vagy NAT Gateway)

További információkért lásd a példa hálózati konfigurációt.

Hálózat csatlakoztatása

A hálózatnak legalább kimenő internetkapcsolattal kell rendelkeznie ahhoz, hogy az infrastruktúra üzembe helyezése és a szoftvertelepítés sikeres legyen. Az alkalmazás- és az adatbázis-alhálózatoknak egymással is képesnek kell lenniük kommunikálni.

Ha az internetkapcsolat nem lehetséges, engedélyezze a következő területek IP-címeinek listáját:

• SUSE- vagy Red Hat-végpontok
• Azure Storage-fiókok
• Az Azure Key Vault engedélyezési listája
• Allowlist Microsoft Entra ID
• Az Azure Resource Manager engedélyezési listája

Ezután győződjön meg arról, hogy a virtuális hálózaton belüli összes erőforrás csatlakozni tud egymáshoz. Konfiguráljon például egy hálózati biztonsági csoportot, amely lehetővé teszi, hogy a virtuális hálózaton belüli erőforrások az összes port figyelésével kommunikáljanak.

• Állítsa a forrásporttartományokat a következőre *: .
• Állítsa be a célporttartományokat a következőre *: .
• A művelet engedélyezése

Ha nem lehet engedélyezni a virtuális hálózaton belüli erőforrások egymáshoz való csatlakozását, engedélyezze az alkalmazás és az adatbázis alhálózatai közötti kapcsolatokat, és nyisson meg fontos SAP-portokat a virtuális hálózaton .

Allowlist SUSE- vagy Red Hat-végpontok

Ha SUSE-t használ a virtuális gépekhez, engedélyezze a SUSE-végpontok listáját. Példa:

1. Virtuális gép létrehozása bármilyen operációs rendszerrel az Azure Portalon vagy az Azure Cloud Shell használatával. Vagy telepítse az openSUSE Ugrást a Microsoft Store áruházból, és engedélyezze a WSL-t.
2. Telepítse a pip3 elemet a futtatással zypper install python3-pip.
3. Telepítse a pip csomag susepubliccloudinfo futtatásával pip3 install susepubliccloudinfo.
4. A megfelelő Azure-régióparaméter futtatásával lekérheti a hálózaton és a tűzfalon pint microsoft servers --json --region konfigurálni kívánt IP-címek listáját.
5. Engedélyezze az összes IP-címet azon a tűzfalon vagy hálózati biztonsági csoportban, ahol az alhálózatokat szeretné csatolni.

Ha Red Hatot használ a virtuális gépekhez, szükség szerint engedélyezze a Red Hat-végpontok használatát. Az alapértelmezett engedélyezési lista az Azure Global IP-címek. A használati esettől függően előfordulhat, hogy engedélyeznie kell az Azure US Government vagy az Azure Germany IP-címeinek listáját is. Konfigurálja a listából az összes IP-címet a tűzfalon vagy a hálózati biztonsági csoporton, ahol az alhálózatokat csatolni szeretné.

Allowlist storage-fiókok

Az Sap-megoldásokhoz készült Azure Centernek a következő tárfiókokhoz kell hozzáférnie az SAP-szoftverek megfelelő telepítéséhez:

• Az a tárfiók, ahol a szoftvertelepítés során szükséges SAP-adathordozót tárolja.
• Az Azure Center által az SAP-megoldásokhoz létrehozott tárfiók egy felügyelt erőforráscsoportban, amelyet az Azure Center for SAP-megoldások is birtokolnak és kezelnek.

A tárfiókokhoz való hozzáférést több lehetőség is lehetővé teszi:

• Internetkapcsolat engedélyezése
• Storage-szolgáltatáscímke konfigurálása
• A Storage szolgáltatáscímkék konfigurálása regionális hatókörrel. Mindenképpen konfigurálja annak az Azure-régiónak a címkéit, ahol üzembe helyezi az infrastruktúrát, és hogy hol található a tárfiók az SAP-adathordozóval.
• Engedélyezze a regionális Azure IP-tartományok listáját.

Allowlist Key Vault

Az Azure Center for SAP-megoldások létrehoznak egy kulcstartót a titkos kulcsok tárolásához és eléréséhez a szoftvertelepítés során. Ez a kulcstartó az SAP-rendszer jelszavát is tárolja. A kulcstartóhoz való hozzáférés engedélyezéséhez az alábbiakat teheti lehetővé:

• Internetkapcsolat engedélyezése
• AzureKeyVault-szolgáltatáscímke konfigurálása
• AzureKeyVault szolgáltatáscímke konfigurálása regionális hatókörrel. Mindenképpen konfigurálja a címkét abban a régióban, ahol az infrastruktúrát üzembe helyezi.

Allowlist Microsoft Entra ID

Az Azure Center for SAP-megoldások a Microsoft Entra ID-val kérik le a hitelesítési jogkivonatot, amely titkos kulcsokat kér le egy felügyelt kulcstartóból az SAP telepítése során. A Microsoft Entra-azonosítóhoz való hozzáférés engedélyezéséhez az alábbiakat teheti lehetővé:

• Internetkapcsolat engedélyezése
• AzureActiveDirectory szolgáltatáscímke konfigurálása.

Az Azure Resource Manager engedélyezési listája

Az Azure Center for SAP-megoldások felügyelt identitást használnak a szoftvertelepítéshez. A felügyelt identitáshitelesítéshez az Azure Resource Manager végpontjának hívása szükséges. A végponthoz való hozzáférés engedélyezéséhez a következőket teheti:

• Internetkapcsolat engedélyezése
• AzureResourceManager szolgáltatáscímke konfigurálása.

Fontos SAP-portok megnyitása

Ha a korábban ismertetett módon nem tudja engedélyezni a kapcsolatot a virtuális hálózat összes erőforrása között, akkor ehelyett megnyithatja a fontos SAP-portokat a virtuális hálózaton. Ez a módszer lehetővé teszi, hogy a virtuális hálózaton belüli erőforrások kommunikációs célból figyelik ezeket a portokat. Ha egynél több alhálózatot használ, ezek a beállítások az alhálózatokon belüli kapcsolatot is lehetővé teszik.

Nyissa meg az alábbi táblázatban felsorolt SAP-portokat. Cserélje le a megfelelő portok helyőrző értékeit (xx) az SAP-példányszámra. Ha például az SAP-példány száma , 01akkor 32xx az lesz 3201.

SAP-szolgáltatás	Porttartomány	Bejövő forgalom engedélyezése	Kimenő forgalom engedélyezése	Cél
Gazdagépügynök	1128, 1129	Igen	Igen	HTTP/S-port az SAP-gazdagépügynökhöz.
Web diszpécser	32xx	Igen	Igen	SAPGUI és RFC kommunikáció.
Átjáró	33xx	Igen	Igen	RFC-kommunikáció.
Átjáró (biztonságos)	48xx	Igen	Igen	RFC-kommunikáció.
Internet Communication Manager (ICM)	80xx, 443xx	Igen	Igen	HTTP/S-kommunikáció az SAP Fiorihoz, WEB GUI
Üzenetkiszolgáló	36xx, 81xx, 444xx	Igen	Nem	Terheléselosztás; ASCS az alkalmazáskiszolgálók közötti kommunikációhoz; GUI-bejelentkezés; HTTP/S forgalom az üzenetkiszolgálóra és az üzenetkiszolgálóról.
Vezérlőügynök	5xx13, 5xx14	Igen	Nem	Az SAP-rendszer leállítása, elindítása és állapotának lekérése.
SAP-telepítés	4237	Igen	Nem	Kezdeti SAP-telepítés.
HTTP és HTTPS	5xx00, 5xx01	Igen	Igen	HTTP/S kiszolgálóport.
IIOP	5xx02, 5xx03, 5xx07	Igen	Igen	Szolgáltatáskérési port.
P4	5xx04-6	Igen	Igen	Szolgáltatáskérési port.
Telnet	5xx08	Igen	Nem	Szolgáltatásport a felügyelethez.
SQL-kommunikáció	3xx13, 3xx15, 3xx40-98	Igen	Nem	Adatbázis-kommunikációs port az alkalmazással, beleértve az ABAP-t vagy a JAVA-alhálózatot.
SQL server	1433	Igen	Nem	Az MS-SQL alapértelmezett portja az SAP-ban; az ABAP- vagy JAVA-adatbázis-kommunikációhoz szükséges.
HANA XS motor	43xx, 80xx	Igen	Igen	HTTP/S kérelemport webes tartalomhoz.

Példa hálózati konfigurációra

Egy példahálózat konfigurációs folyamata a következő lehet:

1. Hozzon létre egy virtuális hálózatot, vagy használjon egy meglévő virtuális hálózatot.

2. Hozza létre a következő alhálózatokat a virtuális hálózaton belül:

   1. Egy alkalmazásréteg alhálózata.

   2. Adatbázisszintű alhálózat.

   3. Egy azure firewallSubnet nevű alhálózat a tűzfallal való használathoz.

3. Új tűzfalerőforrás létrehozása:

   1. Csatlakoztassa a tűzfalat a virtuális hálózathoz.

   2. Hozzon létre egy szabályt az RHEL- vagy SUSE-végpontok engedélyezéséhez. Mindenképpen engedélyezze az összes forrás IP-címet (*), állítsa a forrásportot Bármely értékre, engedélyezze az RHEL vagy a SUSE cél IP-címét, és állítsa a célportot Any értékre.

   3. Hozzon létre egy szabályt a szolgáltatáscímkék engedélyezéséhez. Ügyeljen arra, hogy az összes forrás IP-cím (*) engedélyezve legyen, állítsa a céltípust szolgáltatáscímkére. Ezután engedélyezze a Microsoft.Storage, a Microsoft.KeyVault, az AzureResourceManager és a Microsoft.AzureActiveDirectory címkéket.

4. Útvonaltábla-erőforrás létrehozása:

   1. Adjon hozzá egy új útvonalat a Virtual Appliance típushoz.

   2. Állítsa be az IP-címet a tűzfal IP-címére, amelyet az Azure Portal tűzfalerőforrásának áttekintésében talál.

5. Frissítse az alkalmazás- és adatbázisszintek alhálózatait az új útvonaltábla használatához.

6. Ha hálózati biztonsági csoportot használ a virtuális hálózattal, adja hozzá a következő bejövő szabályt. Ez a szabály kapcsolatot biztosít az alkalmazás alhálózatai és az adatbázisszintek között.

   Prioritás	Kikötő	Protokoll	Forrás	Cél	Művelet
   100	Bármelyik	Bármelyik	virtuális hálózat	virtuális hálózat	Engedélyezés

7. Ha tűzfal helyett hálózati biztonsági csoportot használ, adjon hozzá kimenő szabályokat a telepítés engedélyezéséhez.

   Prioritás	Kikötő	Protokoll	Forrás	Cél	Művelet
   110	Bármelyik	Bármelyik	Bármelyik	SUSE- vagy Red Hat-végpontok	Engedélyezés
   115	Bármelyik	Bármelyik	Bármelyik	Azure Resource Manager	Engedélyezés
   116	Bármelyik	Bármelyik	Bármelyik	Microsoft Entra ID	Engedélyezés
   117	Bármelyik	Bármelyik	Bármelyik	Storage fiókok	Engedélyezés
   118	8080	Bármelyik	Bármelyik	Key Vault	Engedélyezés
   119	Bármelyik	Bármelyik	Bármelyik	virtuális hálózat	Engedélyezés

Következő lépések

• S/4HANA-infrastruktúra üzembe helyezése