Preparare la rete per la distribuzione dell'infrastruttura
Questa guida pratica illustra come preparare una rete virtuale per distribuire l'infrastruttura S/4 HANA usando Il Centro di Azure per le soluzioni SAP. Questo articolo fornisce indicazioni generali sulla creazione di una rete virtuale. Il singolo ambiente e il caso d'uso determineranno come è necessario configurare le proprie impostazioni di rete per l'uso con una risorsa Virtual Instance for SAP (VIS).
Se si dispone di una rete esistente che si è pronti per l'uso con Il Centro di Azure per le soluzioni SAP, passare alla guida alla distribuzione invece di seguire questa guida.
Prerequisiti
- Una sottoscrizione di Azure.
- Esaminare le quote per la sottoscrizione di Azure. Se le quote sono basse, potrebbe essere necessario creare una richiesta di supporto prima di creare la distribuzione dell'infrastruttura. In caso contrario, potrebbero verificarsi errori di distribuzione o un errore di Quota insufficiente.
- È consigliabile avere più indirizzi IP nella subnet o nelle subnet prima di iniziare la distribuzione. Ad esempio, è sempre meglio avere una
/26
maschera anziché/29
. - I nomi che includono AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet e GatewaySubnet sono nomi riservati all'interno di Azure. Non usarli come nomi di subnet.
- Prendere nota delle dimensioni di SAP Application Performance Standard (S piattaforma di strumenti analitici) e della memoria del database necessarie per consentire al Centro di Azure per le soluzioni SAP di ridimensionare il sistema SAP. Se non si è certi, è anche possibile selezionare le macchine virtuali. Ci sono:
- Un singolo cluster o di macchine virtuali ASCS, che costituiscono una singola istanza ASCS nel VIS.
- Un singolo cluster o di macchine virtuali di database, che costituiscono una singola istanza di database nel vis.
- Una singola macchina virtuale del server applicazioni, che costituisce una singola istanza dell'applicazione nel vis. A seconda del numero di server applicazioni da distribuire o registrare, possono essere presenti più istanze dell'applicazione.
Creare una rete
È necessario creare una rete per la distribuzione dell'infrastruttura in Azure. Assicurarsi di creare la rete nella stessa area in cui si vuole distribuire il sistema SAP.
Alcuni dei componenti di rete necessari sono:
- Una rete virtuale
- Subnet per server applicazioni e server di database. La configurazione deve consentire la comunicazione tra queste subnet.
- Gruppi di sicurezza di rete di Azure
- Tabelle di route
- Firewall (o gateway NAT)
Per altre informazioni, vedere l'esempio di configurazione di rete.
Connessione rete
Per la corretta distribuzione dell'infrastruttura e installazione del software, la rete deve avere almeno connettività Internet in uscita. Anche le subnet dell'applicazione e del database devono essere in grado di comunicare tra loro.
Se la connettività Internet non è possibile, consente di elencare gli indirizzi IP per le aree seguenti:
- SU edizione Standard o endpoint Red Hat
- account Archiviazione di Azure
- Elenco elementi consentiti di Azure Key Vault
- Allowlist Microsoft Entra ID
- Elenco elementi consentiti di Azure Resource Manager
Assicurarsi quindi che tutte le risorse all'interno della rete virtuale possano connettersi tra loro. Ad esempio, configurare un gruppo di sicurezza di rete per consentire alle risorse all'interno della rete virtuale di comunicare ascoltando su tutte le porte.
- Impostare gli intervalli di porte di origine su *.
- Impostare gli intervalli di porte di destinazione su *.
- Impostare l'azione su Consenti
Se non è possibile consentire alle risorse all'interno della rete virtuale di connettersi tra loro, consentire le connessioni tra le subnet dell'applicazione e del database e aprire invece porte SAP importanti nella rete virtuale.
Allowlist SU edizione Standard o Endpoint Red Hat
Se si usa SU edizione Standard per le macchine virtuali, consentire gli endpoint su edizione Standard. Ad esempio:
- Creare una macchina virtuale con qualsiasi sistema operativo usando il portale di Azure o Azure Cloud Shell. In alternativa, installare openSU edizione Standard Leap da Microsoft Store e abilitare WSL.
- Installare pip3 eseguendo
zypper install python3-pip
. - Installare il pacchetto pip susepubliccloudinfo eseguendo
pip3 install susepubliccloudinfo
. - Ottenere un elenco di indirizzi IP da configurare nella rete e nel firewall eseguendo
pint microsoft servers --json --region
con il parametro dell'area di Azure appropriato. - Consenti tutti questi indirizzi IP nel firewall o nel gruppo di sicurezza di rete in cui si prevede di collegare le subnet.
Se si usa Red Hat per le macchine virtuali, consentire gli endpoint Red Hat in base alle esigenze. L'elenco di indirizzi consentiti predefinito è costituito dagli indirizzi IP globali di Azure. A seconda del caso d'uso, potrebbe anche essere necessario consentire gli indirizzi IP di Azure US Government o Azure Germania. Configurare tutti gli indirizzi IP dall'elenco nel firewall o nel gruppo di sicurezza di rete in cui si vogliono collegare le subnet.
Consenti account di archiviazione consentiti
Il Centro di Azure per le soluzioni SAP deve accedere agli account di archiviazione seguenti per installare correttamente il software SAP:
- Account di archiviazione in cui si archiviano i supporti SAP necessari durante l'installazione del software.
- L'account di archiviazione creato dal Centro di Azure per soluzioni SAP in un gruppo di risorse gestite, che il Centro di Azure per le soluzioni SAP possiede e gestisce.
Sono disponibili più opzioni per consentire l'accesso a questi account di archiviazione:
- Consenti connettività Internet
- Configurare un tag del servizio Archiviazione
- Configurare i tag del servizio Archiviazione con ambito a livello di area. Assicurarsi di configurare i tag per l'area di Azure in cui si distribuisce l'infrastruttura e dove è presente l'account di archiviazione con il supporto SAP.
- Consenti gli intervalli IP di Azure a livello di area.
Allowlist Key Vault
Centro di Azure per soluzioni SAP crea un insieme di credenziali delle chiavi per archiviare e accedere alle chiavi segrete durante l'installazione del software. Questo insieme di credenziali delle chiavi archivia anche la password del sistema SAP. Per consentire l'accesso a questo insieme di credenziali delle chiavi, è possibile:
- Consenti connettività Internet
- Configurare un tag del servizio AzureKeyVault
- Configurare un tag del servizio AzureKeyVault con ambito a livello di area. Assicurarsi di configurare il tag nell'area in cui si distribuisce l'infrastruttura.
Allowlist Microsoft Entra ID
Centro di Azure per soluzioni SAP usa l'ID Microsoft Entra per ottenere il token di autenticazione per ottenere i segreti da un insieme di credenziali delle chiavi gestito durante l'installazione di SAP. Per consentire l'accesso a Microsoft Entra ID, è possibile:
- Consenti connettività Internet
- Configurare un tag del servizio AzureActiveDirectory.
Elenco elementi consentiti di Azure Resource Manager
Centro di Azure per soluzioni SAP usa un'identità gestita per l'installazione del software. L'autenticazione dell'identità gestita richiede una chiamata all'endpoint di Azure Resource Manager. Per consentire l'accesso a questo endpoint, è possibile:
- Consenti connettività Internet
- Configurare un tag di servizio AzureResourceManager.
Aprire porte SAP importanti
Se non è possibile consentire la connessione tra tutte le risorse nella rete virtuale come descritto in precedenza, è possibile aprire invece porte SAP importanti nella rete virtuale. Questo metodo consente alle risorse all'interno della rete virtuale di restare in ascolto su queste porte a scopo di comunicazione. Se si usano più subnet, queste impostazioni consentono anche la connettività all'interno delle subnet.
Aprire le porte SAP elencate nella tabella seguente. Sostituire i valori segnaposto (xx
) nelle porte applicabili con il numero di istanza SAP. Ad esempio, se il numero di istanza SAP è 01
, 32xx
diventa 3201
.
Servizio SAP | Intervallo di porte | Consenti traffico in ingresso | Consenti traffico in uscita | Scopo |
---|---|---|---|---|
Agente host | 1128, 1129 | Sì | Sì | Porta HTTP/S per l'agente host SAP. |
Web Dispatcher | 32xx | Sì | Sì | Comunicazione SAPGUI e RFC. |
Gateway | 33xx | Sì | Sì | Comunicazione RFC. |
Gateway (protetto) | 48xx | Sì | Sì | Comunicazione RFC. |
Internet Communication Manager (ICM) | 80xx, 443xx | Sì | Sì | Comunicazione HTTP/S per SAP Fiori, GUI WEB |
Server messaggi | 36xx, 81xx, 444xx | Sì | No | Bilanciamento del carico; Comunicazione da ASCS a server app; Accesso con interfaccia utente grafica; Traffico HTTP/S da e verso il server messaggi. |
Agente di controllo | 5xx13, 5xx14 | Sì | No | Arrestare, avviare e ottenere lo stato del sistema SAP. |
Installazione di SAP | 4237 | Sì | No | Installazione iniziale di SAP. |
HTTP e HTTPS | 5xx00, 5xx01 | Sì | Sì | Porta del server HTTP/S. |
IIOP | 5xx02, 5xx03, 5xx07 | Sì | Sì | Porta della richiesta di servizio. |
P4 | 5xx04-6 | Sì | Sì | Porta della richiesta di servizio. |
Telnet | 5xx08 | Sì | No | Porta del servizio per la gestione. |
Comunicazione SQL | 3xx13, 3xx15, 3xx40-98 | Sì | No | Porta di comunicazione del database con l'applicazione, inclusa la subnet ABAP o JAVA. |
SQL server | 1433 | Sì | No | Porta predefinita per MS-SQL in SAP; obbligatorio per la comunicazione tra database ABAP o JAVA. |
Motore XS DI HANA | 43xx, 80xx | Sì | Sì | Porta di richiesta HTTP/S per il contenuto Web. |
Configurazione di rete di esempio
Il processo di configurazione per una rete di esempio può includere:
Creare una rete virtuale o usare una rete virtuale esistente.
Creare le subnet seguenti all'interno della rete virtuale:
Una subnet del livello applicazione.
Una subnet del livello di database.
Una subnet da usare con il firewall, denominata Firewall di Azure Subnet.
Creare una nuova risorsa firewall:
Collegare il firewall alla rete virtuale.
Creare una regola per consentire gli endpoint RHEL o SU edizione Standard. Assicurarsi di consentire tutti gli indirizzi IP di origine (
*
), impostare la porta di origine su Any, consentire gli indirizzi IP di destinazione per RHEL o SU edizione Standard e impostare la porta di destinazione su Any.Creare una regola per consentire i tag del servizio. Assicurarsi di consentire tutti gli indirizzi IP di origine (
*
), impostare il tipo di destinazione su Tag servizio. Consentire quindi i tag Microsoft.Archiviazione, Microsoft.KeyVault, AzureResourceManager e Microsoft.AzureActiveDirectory.
Creare una risorsa tabella di route:
Aggiungere una nuova route del tipo Appliance virtuale.
Impostare l'indirizzo IP sull'indirizzo IP del firewall, disponibile nella panoramica della risorsa firewall nel portale di Azure.
Aggiornare le subnet per i livelli dell'applicazione e del database per usare la nuova tabella di route.
Se si usa un gruppo di sicurezza di rete con la rete virtuale, aggiungere la regola in ingresso seguente. Questa regola fornisce la connettività tra le subnet per i livelli dell'applicazione e del database.
Priorità Porta Protocollo Source (Sorgente) Destination Azione 100 Qualsiasi Qualsiasi rete virtuale rete virtuale Consenti Se si usa un gruppo di sicurezza di rete anziché un firewall, aggiungere regole in uscita per consentire l'installazione.
Priorità Porta Protocollo Source (Sorgente) Destination Azione 110 Qualsiasi Qualsiasi Qualsiasi SU edizione Standard o endpoint Red Hat Consenti 115 Qualsiasi Qualsiasi Qualsiasi Azure Resource Manager Consenti 116 Qualsiasi Qualsiasi Qualsiasi Microsoft Entra ID Consenti 117 Qualsiasi Qualsiasi Qualsiasi Account di archiviazione Consenti 118 8080 Qualsiasi Qualsiasi Key Vault Consenti 119 Qualsiasi Qualsiasi Qualsiasi rete virtuale Consenti
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per