Udostępnij za pośrednictwem

Przygotowywanie sieci do wdrożenia infrastruktury

  • Artykuł

W tym przewodniku z instrukcjami dowiesz się, jak przygotować sieć wirtualną do wdrożenia infrastruktury S/4 HANA przy użyciu usługi Azure Center dla rozwiązań SAP. Ten artykuł zawiera ogólne wskazówki dotyczące tworzenia sieci wirtualnej. Poszczególne środowiska i przypadek użycia określi, jak należy skonfigurować własne ustawienia sieciowe do użycia z zasobem usługi Virtual Instance dla systemu SAP (VIS).

Jeśli masz istniejącą sieć, która jest gotowa do użycia z usługą Azure Center dla rozwiązań SAP, przejdź do przewodnika wdrażania zamiast tego przewodnika.

Wymagania wstępne

  • Subskrypcja platformy Azure.
  • Przejrzyj limity przydziału subskrypcji platformy Azure. Jeśli limity przydziału są niskie, może być konieczne utworzenie wniosku o pomoc techniczną przed utworzeniem wdrożenia infrastruktury. W przeciwnym razie mogą wystąpić błędy wdrażania lub błąd niewystarczającego limitu przydziału .
  • Przed rozpoczęciem wdrażania zaleca się posiadanie wielu adresów IP w podsieci lub podsieci. Na przykład zawsze lepiej jest mieć maskę /26 zamiast /29.
  • Nazwy, w tym AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet i GatewaySubnet, są nazwami zarezerwowanymi na platformie Azure. Nie należy ich używać jako nazw podsieci.
  • Zwróć uwagę na rozmiar pamięci sap Application Performance Standard (SAPS) i pamięci bazy danych, które należy zezwolić usłudze Azure Center dla rozwiązań SAP na rozmiar systemu SAP. Jeśli nie masz pewności, możesz również wybrać maszyny wirtualne. Istnieją:
    • Pojedynczy lub klaster maszyn wirtualnych USŁUGI ASCS, które tworzą pojedyncze wystąpienie usługi ASCS w systemie VIS.
    • Pojedynczy lub klaster maszyn wirtualnych bazy danych, które tworzą pojedyncze wystąpienie bazy danych w systemie VIS.
    • Pojedyncza maszyna wirtualna serwera aplikacji, która tworzy pojedyncze wystąpienie aplikacji w systemie VIS. W zależności od liczby wdrożonych lub zarejestrowanych serwerów aplikacji może istnieć wiele wystąpień aplikacji.

Tworzenie sieci

Należy utworzyć sieć na potrzeby wdrożenia infrastruktury na platformie Azure. Pamiętaj, aby utworzyć sieć w tym samym regionie, w którym chcesz wdrożyć system SAP.

Niektóre z wymaganych składników sieciowych to:

  • Sieć wirtualna
  • Podsieci serwerów aplikacji i serwerów baz danych. Konfiguracja musi zezwalać na komunikację między tymi podsieciami.
  • Sieciowe grupy zabezpieczeń platformy Azure
  • Tabele tras
  • Zapory (lub brama translatora adresów sieciowych)

Aby uzyskać więcej informacji, zobacz przykład konfiguracji sieci.

Łączenie sieci

W celu pomyślnego wdrożenia infrastruktury i instalacji oprogramowania sieć musi obsługiwać co najmniej internetowe połączenia dla ruchu wychodzącego. Podsieci aplikacji i bazy danych muszą być również w stanie komunikować się ze sobą.

Jeśli łączność z Internetem nie jest możliwa, dodaj adresy IP do listy dozwolonych dla następujących obszarów:

Następnie upewnij się, że wszystkie zasoby w sieci wirtualnej mogą łączyć się ze sobą. Na przykład skonfiguruj sieciową grupę zabezpieczeń, aby zezwolić zasobom w sieci wirtualnej na komunikację przez nasłuchiwanie na wszystkich portach.

  • Ustaw zakresy portów źródłowych na *.
  • Ustaw zakresy portów docelowych na *.
  • Ustaw akcję na Zezwalaj

Jeśli nie można zezwolić zasobom w sieci wirtualnej na łączenie się ze sobą, zezwalaj na połączenia między podsieciami aplikacji i bazy danych, a zamiast tego otwórz ważne porty SAP w sieci wirtualnej.

Punkty końcowe allowlist SUSE lub Red Hat

Jeśli używasz systemu SUSE dla maszyn wirtualnych, na liście dozwolonych punktów końcowych SUSE. Na przykład:

  1. Utwórz maszynę wirtualną z dowolnym systemem operacyjnym przy użyciu witryny Azure Portal lub usługi Azure Cloud Shell. Możesz też zainstalować program openSUSE Leap ze sklepu Microsoft Store i włączyć program WSL.
  2. Zainstaluj narzędzie pip3 , uruchamiając polecenie zypper install python3-pip.
  3. Zainstaluj pakiet susepubliccloudinfo, uruchamiając polecenie pip3 install susepubliccloudinfo.
  4. Pobierz listę adresów IP do skonfigurowania w sieci i zaporze, uruchamiając polecenie pint microsoft servers --json --region z odpowiednim parametrem regionu platformy Azure.
  5. Lista dozwolonych wszystkich tych adresów IP w zaporze lub sieciowej grupie zabezpieczeń, w której planujesz dołączyć podsieci.

Jeśli używasz oprogramowania Red Hat dla maszyn wirtualnych, w razie potrzeby dodaj punkty końcowe rozwiązania Red Hat do listy dozwolonych . Domyślna lista dozwolonych to globalne adresy IP platformy Azure. W zależności od przypadku użycia może być również konieczne dodanie dozwolonych adresów IP platformy Azure dla instytucji rządowych USA lub Platformy Azure (Niemcy). Skonfiguruj wszystkie adresy IP z listy w zaporze lub sieciowej grupie zabezpieczeń, w której chcesz dołączyć podsieci.

Zezwalaj na konta magazynu

Usługa Azure Center dla rozwiązań SAP wymaga dostępu do następujących kont magazynu w celu poprawnego zainstalowania oprogramowania SAP:

  • Konto magazynu, na którym przechowujesz nośnik SAP wymagany podczas instalacji oprogramowania.
  • Konto magazynu utworzone przez usługę Azure Center dla rozwiązań SAP w zarządzanej grupie zasobów, która jest właścicielem rozwiązań SAP w centrum azure dla rozwiązań SAP i zarządza nimi.

Istnieje wiele opcji zezwalania na dostęp do tych kont magazynu:

  • Zezwalaj na łączność z Internetem
  • Konfigurowanie tagu usługi Storage
  • Konfigurowanie tagów usługi Storage z zakresem regionalnym. Upewnij się, że skonfigurować tagi dla regionu świadczenia usługi Azure, w którym wdrażasz infrastrukturę i gdzie istnieje konto magazynu z nośnikiem SAP.
  • Lista dozwolonych regionalnych zakresów adresów IP platformy Azure.

Allowlist Key Vault

Usługa Azure Center dla rozwiązań SAP tworzy magazyn kluczy do przechowywania kluczy tajnych i uzyskiwania do ich dostępu podczas instalacji oprogramowania. Ten magazyn kluczy przechowuje również hasło systemu SAP. Aby zezwolić na dostęp do tego magazynu kluczy, możesz:

  • Zezwalaj na łączność z Internetem
  • Konfigurowanie tagu usługi AzureKeyVault
  • Skonfiguruj tag usługi AzureKeyVault z zakresem regionalnym. Pamiętaj, aby skonfigurować tag w regionie, w którym wdrażasz infrastrukturę.

Allowlist Microsoft Entra ID

Usługa Azure Center dla rozwiązań SAP używa identyfikatora Entra firmy Microsoft do uzyskania tokenu uwierzytelniania na potrzeby uzyskiwania wpisów tajnych z zarządzanego magazynu kluczy podczas instalacji oprogramowania SAP. Aby zezwolić na dostęp do identyfikatora Entra firmy Microsoft, możesz:

  • Zezwalaj na łączność z Internetem
  • Skonfiguruj tag usługi AzureActiveDirectory.

Lista dozwolonych usługi Azure Resource Manager

Usługa Azure Center dla rozwiązań SAP używa tożsamości zarządzanej do instalacji oprogramowania. Uwierzytelnianie tożsamości zarządzanej wymaga wywołania punktu końcowego usługi Azure Resource Manager. Aby zezwolić na dostęp do tego punktu końcowego, możesz:

  • Zezwalaj na łączność z Internetem
  • Skonfiguruj tag usługi AzureResourceManager.

Otwieranie ważnych portów SAP

Jeśli nie możesz zezwolić na połączenie między wszystkimi zasobami w sieci wirtualnej zgodnie z wcześniejszym opisem, możesz otworzyć ważne porty SAP w sieci wirtualnej. Ta metoda umożliwia zasobom w sieci wirtualnej nasłuchiwanie tych portów w celach komunikacyjnych. Jeśli używasz więcej niż jednej podsieci, te ustawienia zezwalają również na łączność w podsieciach.

Otwórz porty SAP wymienione w poniższej tabeli. Zastąp wartości symboli zastępczych (xx) odpowiednimi portami numerem wystąpienia SAP. Jeśli na przykład numer wystąpienia SAP to 01, 32xx staje się wartością 3201.

Usługa SAP Zakres portów Zezwalaj na ruch przychodzący Zezwalaj na ruch wychodzący Purpose
Agent hosta 1128, 1129 Tak Tak Port HTTP/S dla agenta hosta SAP.
Dyspozytor sieci Web 32xx Tak Tak Komunikacja SAPGUI i RFC.
Brama 33xx Tak Tak Komunikacja RFC.
Brama (zabezpieczona) 48xx Tak Tak Komunikacja RFC.
Internet Communication Manager (ICM) 80xx, 443xx Tak Tak Komunikacja HTTP/S dla oprogramowania SAP Fiori, internetowego interfejsu użytkownika
Serwer komunikatów 36xx, 81xx, 444xx Tak Nie. Równoważenie obciążenia; Komunikacja usługi ASCS z serwerami aplikacji; Logowanie za pomocą graficznego interfejsu użytkownika; Ruch HTTP/S do i z serwera komunikatów.
Agent kontroli 5xx13, 5xx14 Tak Nie. Zatrzymywanie, uruchamianie i uzyskiwanie stanu systemu SAP.
Instalacja oprogramowania SAP 4237 Tak Nie. Początkowa instalacja sap.
HTTP i HTTPS 5xx00, 5xx01 Tak Tak Port serwera HTTP/S.
IIOP 5xx02, 5xx03, 5xx07 Tak Tak Port żądania obsługi.
P4 5xx04-6 Tak Tak Port żądania obsługi.
Telnet 5xx08 Tak Nie. Port usługi do zarządzania.
Komunikacja SQL 3xx13, 3xx15, 3xx40-98 Tak Nie. Port komunikacji bazy danych z aplikacją, w tym podsieć ABAP lub JAVA.
SQL Server 1433 Tak Nie. Domyślny port ms-SQL w oprogramowaniu SAP; wymagane do komunikacji z bazą danych ABAP lub JAVA.
Aparat XS platformy HANA 43xx, 80xx Tak Tak Port żądania HTTP/S dla zawartości internetowej.

Przykładowa konfiguracja sieci

Proces konfiguracji przykładowej sieci może obejmować:

  1. Utwórz sieć wirtualną lub użyj istniejącej sieci wirtualnej.

  2. Utwórz następujące podsieci wewnątrz sieci wirtualnej:

    1. Podsieć warstwy aplikacji.

    2. Podsieć warstwy bazy danych.

    3. Podsieć do użycia z zaporą o nazwie Azure FirewallSubnet.

  3. Utwórz nowy zasób zapory:

    1. Dołącz zaporę do sieci wirtualnej.

    2. Utwórz regułę zezwalającą na punkty końcowe RHEL lub SUSE. Upewnij się, że zezwalaj na wszystkie źródłowe adresy IP (*), ustaw port źródłowy na Dowolny, zezwalaj na docelowe adresy IP dla systemu RHEL lub SUSE i ustaw port docelowy na Dowolny.

    3. Utwórz regułę zezwalaną na tagi usług. Pamiętaj, aby zezwolić na wszystkie źródłowe adresy IP (*), ustaw typ docelowy na Tag usługi. Następnie zezwól na tagi Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager i Microsoft.AzureActiveDirectory.

  4. Utwórz zasób tabeli tras:

    1. Dodaj nową trasę typu Urządzenie wirtualne.

    2. Ustaw adres IP na adres IP zapory, który można znaleźć w przeglądzie zasobu zapory w witrynie Azure Portal.

  5. Zaktualizuj podsieci dla warstw aplikacji i bazy danych, aby użyć nowej tabeli tras.

  6. Jeśli używasz sieciowej grupy zabezpieczeń z siecią wirtualną, dodaj następującą regułę ruchu przychodzącego. Ta reguła zapewnia łączność między podsieciami dla warstw aplikacji i bazy danych.

    Priorytet Port Protokół Element źródłowy Element docelowy Akcja
    100 Dowolne Dowolne sieć wirtualna sieć wirtualna Zezwalaj

  7. Jeśli używasz sieciowej grupy zabezpieczeń zamiast zapory, dodaj reguły ruchu wychodzącego, aby zezwolić na instalację.

    Priorytet Port Protokół Element źródłowy Element docelowy Akcja
    110 Dowolne Dowolne Dowolne Punkty końcowe SUSE lub Red Hat Zezwalaj
    210 Dowolne Dowolne Dowolne Azure Resource Manager Zezwalaj
    116 Dowolne Dowolne Dowolne Microsoft Entra ID Zezwalaj
    117 Dowolne Dowolne Dowolne Konta magazynu Zezwalaj
    118 8080 Dowolne Dowolne Magazyn kluczy Zezwalaj
    119 Dowolne Dowolne Dowolne sieć wirtualna Zezwalaj

Następne kroki