Esplorare il routing di SAP HANA in Azure (istanze Large) in Azure
Esistono diverse regole che dettano il comportamento del routing applicabile a SAP HANA in Azure (istanze Large):
- Per impostazione predefinita, SAP HANA in Azure (istanze Large) è accessibile solo tramite le macchine virtuali di Azure e la connessione ExpressRoute dedicata, non direttamente dall'ambiente locale. Le restrizioni relative al routing temporaneo sono dovute all'attuale architettura di rete di Azure usata per SAP HANA in istanze Large. Alcuni client di amministrazione e le applicazioni che richiedono l'accesso diretto, ad esempio SAP Solution Manager in esecuzione in locale, non possono connettersi al database SAP HANA per impostazione predefinita.
- Se si hanno unità di HANA in istanze Large distribuite in due diverse aree di Azure per il ripristino di emergenza, vengono usate le stesse restrizioni relative al routing temporaneo applicate in passato. In altre parole, gli indirizzi IP di un'unità di HANA in istanze Large in un'area, ad esempio gli Stati Uniti occidentali, non venivano instradati a un'unità di HANA in istanze Large distribuita in un'altra area, ad esempio gli Stati Uniti orientali. Questa restrizione era indipendente dall'uso del peering di rete di Azure tra le aree o del collegamento incrociato dei circuiti ExpressRoute che connettono le unità di HANA in istanze Large alle reti virtuali. Questa restrizione, integrata nell'architettura distribuita, impediva l'uso immediato della replica del sistema HANA come funzionalità di ripristino di emergenza.
- Le unità di SAP HANA in Azure (istanze Large) hanno un indirizzo IP assegnato dall'intervallo di indirizzi del pool IP del server che veniva inviato quando si richiedeva la distribuzione di HANA in istanze Large. Questo indirizzo IP è accessibile tramite le sottoscrizioni di Azure e il circuito che connette le reti virtuali di Azure ad HANA in istanze Large. L'indirizzo IP assegnato al di fuori dell'intervallo di indirizzi del pool IP del server viene assegnato direttamente all'unità hardware. Non viene più assegnato tramite NAT, come avveniva nelle prime distribuzioni di questa soluzione.
Come descritto in precedenza, per impostazione predefinita il routing transitivo tra le unità di istanze Large di HANA e l'ambiente locale o tra il routing di istanze Large di HANA distribuite in due aree diverse non funziona. Sono disponibili diverse possibilità per abilitare questo routing transitivo.
- Copertura globale di ExpressRoute
- Un proxy inverso per instradare i dati, da e verso SAP HANA in Azure (istanze Large). Può trattarsi, ad esempio, di F5 BIG-IP o NGINX con Gestione traffico distribuito nella rete virtuale di Azure.
- Regole IPTables in una macchina virtuale Linux per abilitare il routing tra le posizioni locali e le unità di istanze Large di HANA o tra le unità di istanze Large di HANA in aree diverse. La macchina virtuale che esegue IPTables deve essere distribuita nella rete virtuale di Azure che connette HANA in istanze Large alla rete locale. La macchina virtuale deve essere ridimensionata di conseguenza, in modo che la velocità effettiva di rete della macchina virtuale sia sufficiente per il traffico di rete previsto.
- Firewall di Azure per indirizzare il traffico tra l'ambiente locale e unità di istanze Large di HANA.
Con un proxy inverso, IPTables e Firewall di Azure, il traffico instradato attraverso una rete virtuale di Azure potrebbe essere filtrato in base ai gruppi di sicurezza di rete di Azure, in modo che determinati indirizzi IP o intervalli di indirizzi IP dall'ambiente locale possano essere bloccati o autorizzati in modo esplicito ad accedere ad HANA in istanze Large. Tenere presente che Microsoft non fornisce l'implementazione e il supporto per soluzioni personalizzate che riguardano IPTables o appliance di rete di terze parti. Il supporto deve essere reso disponibile dal fornitore del componente usato o dall'integratore.
Esplorare Copertura globale di ExpressRoute per SAP HANA in Azure (istanze Large)
Con Copertura globale di ExpressRoute, i clienti possono collegare i circuiti ExpressRoute per creare una rete privata tra le reti locali. Copertura globale può essere usata per HANA in istanze Large in due scenari:
- Abilitare l'accesso diretto dall'ambiente locale alle unità di HANA in istanze Large distribuite in aree diverse.
- Abilitare le comunicazioni dirette tra le unità di HANA in istanze Large distribuite in aree diverse.
Esaminare l'accesso diretto a SAP HANA in Azure (istanze Large) dall'ambiente locale
Nelle aree di Azure in cui è disponibile Copertura globale è possibile richiedere di abilitare la funzionalità Copertura globale per il circuito ExpressRoute che connette la rete locale alla rete virtuale di Azure di conseguenza anche alle unità di HANA in istanze Large. Per il lato locale del circuito ExpressRoute sono previsti dei costi. Non vengono addebitati costi aggiuntivi per il circuito che connette le unità di HANA in istanze Large ad Azure.
Quando si usa Copertura globale per abilitare l'accesso diretto tra le unità di HANA in istanze Large e gli asset locali, i dati di rete e il flusso di controllo non vengono instradati attraverso le reti virtuali di Azure, ma direttamente tra i router di scambio aziendali Microsoft. Pertanto, le regole del gruppo di sicurezza di rete o del gruppo di sicurezza delle applicazioni o di qualsiasi tipo di firewall, appliance virtuale di rete o proxy distribuito in una rete virtuale di Azure non influiscono sulla connettività. Se si usa Copertura globale di ExpressRoute per abilitare l'accesso diretto dall'ambiente locale alle unità di HANA in istanze Large, è necessario definire restrizioni sull'accesso alle unità di HANA in istanze Large nei firewall locali.
Esplorare la connettività su più aree di SAP HANA in Azure (istanze Large)
Copertura globale di ExpressRoute può essere usato anche per connettere tenant di HANA in istanze Large distribuiti in due aree diverse. Questa connettività si avvale dei circuiti ExpressRoute che i tenant di istanze Large di HANA usano per connettersi ad Azure in entrambe le aree. Non sono previsti costi aggiuntivi per la connessione di due tenant di istanze Large di HANA distribuiti in due aree diverse.
Il flusso di dati e il flusso di controllo del traffico di rete tra i diversi tenant di HANA in istanze Large non verranno instradati attraverso le reti virtuali di Azure. Di conseguenza, non è possibile usare i gruppi di sicurezza di rete di Azure per applicare le restrizioni di connettività tra i due tenant di istanze Large di HANA.
Riconoscere la connettività Internet di SAP HANA in Azure (istanze Large)
HANA in istanze Large non dispone di connettività Internet diretta. Questa limitazione impedisce la registrazione delle istanze del sistema operativo direttamente con il fornitore del sistema operativo. Come soluzione alternativa, è possibile usare SUSE Linux Enterprise Server Subscription Management Tool o Red Hat Enterprise Linux Subscription Manager.