Delen via

Netwerk voorbereiden voor infrastructuurimplementatie

  • Artikel

In deze handleiding leert u hoe u een virtueel netwerk voorbereidt om een S/4 HANA-infrastructuur te implementeren met behulp van Azure Center voor SAP-oplossingen. Dit artikel bevat algemene richtlijnen voor het maken van een virtueel netwerk. Uw afzonderlijke omgeving en use-case bepalen hoe u uw eigen netwerkinstellingen moet configureren voor gebruik met een VIRTUAL Instance for SAP-resource (VIS).

Als u een bestaand netwerk hebt dat u wilt gebruiken met Azure Center voor SAP-oplossingen, gaat u naar de implementatiehandleiding in plaats van deze handleiding te volgen.

Vereisten

  • Een Azure-abonnement.
  • Bekijk de quota voor uw Azure-abonnement. Als de quota laag zijn, moet u mogelijk een ondersteuningsaanvraag maken voordat u uw infrastructuurimplementatie maakt. Anders kan er sprake zijn van implementatiefouten of een fout met onvoldoende quotum .
  • Het is raadzaam om meerdere IP-adressen in het subnet of subnetten te hebben voordat u begint met de implementatie. Het is bijvoorbeeld altijd beter om een /26 masker te hebben in plaats van /29.
  • De namen, waaronder AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet en GatewaySubnet, zijn gereserveerde namen binnen Azure. Gebruik deze niet als subnetnamen.
  • Let op de SAP Application Performance Standard (SAPS) en databasegeheugengrootte die u nodig hebt om Azure Center voor SAP-oplossingen de grootte van uw SAP-systeem te laten aanpassen. Als u het niet zeker weet, kunt u ook de VIRTUELE machines selecteren. Er is:
    • Eén of cluster van ASCS-VM's, waaruit één ASCS-exemplaar in het VIS bestaat.
    • Eén of cluster van database-VM's, waaruit één database-exemplaar in het VIS bestaat.
    • Eén Application Server-VM, die één toepassingsexemplaren in het VIS vormt. Afhankelijk van het aantal toepassingsservers dat wordt geïmplementeerd of geregistreerd, kunnen er meerdere toepassingsexemplaren zijn.

Netwerk maken

U moet een netwerk maken voor de implementatie van de infrastructuur in Azure. Zorg ervoor dat u het netwerk maakt in dezelfde regio waarin u het SAP-systeem wilt implementeren.

Enkele van de vereiste netwerkonderdelen zijn:

  • Een virtueel netwerk
  • Subnetten voor de toepassingsservers en databaseservers. Uw configuratie moet communicatie tussen deze subnetten toestaan.
  • Netwerkbeveiligingsgroepen in Azure
  • Routetabellen
  • Firewalls (of NAT-gateway)

Zie de voorbeeldnetwerkconfiguratie voor meer informatie.

Netwerk verbinden

Het netwerk moet minimaal een uitgaande internetverbinding hebben voor een geslaagde implementatie van de infrastructuur en software-installatie. De toepassings- en databasesubnetten moeten ook met elkaar kunnen communiceren.

Als de internetverbinding niet mogelijk is, staat u de IP-adressen voor de volgende gebieden toe:

Zorg er vervolgens voor dat alle resources in het virtuele netwerk verbinding met elkaar kunnen maken. Configureer bijvoorbeeld een netwerkbeveiligingsgroep om resources binnen het virtuele netwerk te laten communiceren door op alle poorten te luisteren.

  • Stel de bronpoortbereiken in op *.
  • Stel de doelpoortbereiken in op *.
  • De actie instellen op Toestaan

Als het niet mogelijk is om de resources in het virtuele netwerk verbinding met elkaar te laten maken, maakt u verbindingen tussen de subnetten van de toepassing en de database mogelijk en opent u in plaats daarvan belangrijke SAP-poorten in het virtuele netwerk .

Toegestane SUSE- of Red Hat-eindpunten

Als u SUSE voor de VM's gebruikt, staat u de SUSE-eindpunten toe. Voorbeeld:

  1. Maak een VIRTUELE machine met elk besturingssysteem met behulp van Azure Portal of met behulp van Azure Cloud Shell. Of installeer openSUSE Leap vanuit de Microsoft Store en schakel WSL in.
  2. Installeer pip3 door uit te voeren zypper install python3-pip.
  3. Installeer het pip-pakket susepubliccloudinfo door uit te voeren pip3 install susepubliccloudinfo.
  4. Haal een lijst met IP-adressen op die moeten worden geconfigureerd in het netwerk en de firewall door uit te voeren pint microsoft servers --json --region met de juiste Azure-regioparameter.
  5. Hiermee staat u al deze IP-adressen toe op de firewall of netwerkbeveiligingsgroep waar u de subnetten wilt koppelen.

Als u Red Hat gebruikt voor de VM's, moet u de Red Hat-eindpunten indien nodig toestaan. De standaard acceptatielijst is de globale IP-adressen van Azure. Afhankelijk van uw gebruiksscenario moet u mogelijk ook IP-adressen van Azure US Government of Azure Duitsland toestaan. Configureer alle IP-adressen uit uw lijst op de firewall of de netwerkbeveiligingsgroep waaraan u de subnetten wilt koppelen.

Opslagaccounts toestaan

Azure Center voor SAP-oplossingen heeft toegang nodig tot de volgende opslagaccounts om SAP-software correct te installeren:

  • Het opslagaccount waarin u de SAP-media opslaat die is vereist tijdens de software-installatie.
  • Het opslagaccount dat is gemaakt door Azure Center for SAP-oplossingen in een beheerde resourcegroep, waarvan Azure Center voor SAP-oplossingen ook eigenaar is en beheert.

Er zijn meerdere opties om toegang tot deze opslagaccounts toe te staan:

Allowlist Key Vault

Azure Center voor SAP-oplossingen maakt een sleutelkluis voor het opslaan en openen van de geheime sleutels tijdens de software-installatie. In deze sleutelkluis wordt ook het SAP-systeemwachtwoord opgeslagen. Als u toegang tot deze sleutelkluis wilt toestaan, kunt u het volgende doen:

Allowlist Microsoft Entra-id

Azure Center voor SAP-oplossingen maakt gebruik van Microsoft Entra ID om het verificatietoken op te halen voor het verkrijgen van geheimen uit een beheerde sleutelkluis tijdens de SAP-installatie. Als u toegang tot Microsoft Entra-id wilt toestaan, kunt u het volgende doen:

Acceptatielijst voor Azure Resource Manager

Azure Center voor SAP-oplossingen maakt gebruik van een beheerde identiteit voor software-installatie. Verificatie van beheerde identiteit vereist een aanroep naar het Azure Resource Manager-eindpunt. U kunt het volgende doen om toegang tot dit eindpunt toe te staan:

Belangrijke SAP-poorten openen

Als u geen verbinding kunt toestaan tussen alle resources in het virtuele netwerk zoals eerder beschreven, kunt u in plaats daarvan belangrijke SAP-poorten in het virtuele netwerk openen. Met deze methode kunnen resources binnen het virtuele netwerk luisteren naar deze poorten voor communicatiedoeleinden. Als u meer dan één subnet gebruikt, staan deze instellingen ook connectiviteit binnen de subnetten toe.

Open de SAP-poorten in de volgende tabel. Vervang de tijdelijke aanduidingen (xx) in toepasselijke poorten door het SAP-exemplaarnummer. Als uw SAP-exemplaarnummer bijvoorbeeld is01, wordt 3201dit 32xx .

SAP-service Poortbereik Binnenkomend verkeer toestaan Uitgaand verkeer toestaan Doel
Hostagent 1128, 1129 Ja Ja HTTP/S-poort voor de SAP-hostagent.
Web Dispatcher 32xx Ja Ja SAPGUI- en RFC-communicatie.
Gateway 33xx Ja Ja RFC-communicatie.
Gateway (beveiligd) 48xx Ja Ja RFC-communicatie.
Internet Communication Manager (ICM) 80xx, 443xx Ja Ja HTTP/S-communicatie voor SAP Fiori, WEB-GUI
Berichtenserver 36xx, 81xx, 444xx Ja Nr. Taakverdeling; ASCS-communicatie naar app-servers; GUI-aanmelding; HTTP/S-verkeer naar en van berichtserver.
Agent beheren 5xx13, 5xx14 Ja Nr. Stop, start en haal de status van het SAP-systeem op.
SAP-installatie 4237 Ja Nr. Eerste SAP-installatie.
HTTP en HTTPS 5xx00, 5xx01 Ja Ja HTTP/S-serverpoort.
IIOP 5xx02, 5xx03, 5xx07 Ja Ja Poort voor serviceaanvraag.
P4 5xx04-6 Ja Ja Poort voor serviceaanvraag.
Telnet 5xx08 Ja Nr. Servicepoort voor beheer.
SQL-communicatie 3xx13, 3xx15, 3xx40-98 Ja Nr. Databasecommunicatiepoort met toepassing, inclusief ABAP- of JAVA-subnet.
SQL-server 1433 Ja Nr. Standaardpoort voor MS-SQL in SAP; vereist voor ABAP- of JAVA-databasecommunicatie.
HANA XS-engine 43xx, 80xx Ja Ja HTTP/S-aanvraagpoort voor webinhoud.

Voorbeeld van netwerkconfiguratie

Het configuratieproces voor een voorbeeldnetwerk kan het volgende omvatten:

  1. Maak een virtueel netwerk of gebruik een bestaand virtueel netwerk.

  2. Maak de volgende subnetten in het virtuele netwerk:

    1. Een subnet van de toepassingslaag.

    2. Een subnet van de databaselaag.

    3. Een subnet voor gebruik met de firewall, met de naam Azure FirewallSubnet.

  3. Maak een nieuwe firewallresource:

    1. Koppel de firewall aan het virtuele netwerk.

    2. Maak een regel om RHEL- of SUSE-eindpunten toe te staan. Zorg ervoor dat u alle bron-IP-adressen toestaat (*), stel de bronpoort in op Any, sta de doel-IP-adressen voor RHEL of SUSE toe en stel de doelpoort in op Any.

    3. Maak een regel om servicetags toe te staan. Zorg ervoor dat alle bron-IP-adressen (*) zijn toegestaan, stel het doeltype in op servicetag. Sta vervolgens de tags Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager en Microsoft.AzureActiveDirectory toe.

  4. Een routetabelresource maken:

    1. Voeg een nieuwe route toe van het type Virtueel apparaat.

    2. Stel het IP-adres in op het IP-adres van de firewall, die u kunt vinden in het overzicht van de firewallresource in Azure Portal.

  5. Werk de subnetten voor de toepassings- en databaselagen bij om de nieuwe routetabel te gebruiken.

  6. Als u een netwerkbeveiligingsgroep met het virtuele netwerk gebruikt, voegt u de volgende regel voor inkomend verkeer toe. Deze regel biedt connectiviteit tussen de subnetten voor de toepassings- en databaselagen.

    Prioriteit Poort Protocol Bron Doel Bewerking
    100 Alle Alle virtueel netwerk virtueel netwerk Toestaan

  7. Als u een netwerkbeveiligingsgroep gebruikt in plaats van een firewall, voegt u uitgaande regels toe om installatie toe te staan.

    Prioriteit Poort Protocol Bron Doel Actie
    110 Alle Alle Alle SUSE- of Red Hat-eindpunten Toestaan
    115 Alle Alle Alle Azure Resource Manager Toestaan
    116 Alle Alle Alle Microsoft Entra ID Toestaan
    117 Alle Alle Alle Opslagaccounts Toestaan
    118 8080 Alle Alle Sleutelkluis Toestaan
    119 Alle Alle Alle virtueel netwerk Toestaan

Volgende stappen