Preparar a rede para implantação de infraestrutura
Neste guia de instruções, você aprenderá a preparar uma rede virtual para implantar a infraestrutura do S/4 HANA usando o Centro do Azure para soluções SAP. Este artigo fornece diretrizes gerais sobre como criar uma rede virtual. Seu ambiente individual e o caso de uso determinarão como você precisa definir suas próprias configurações de rede para uso com um recurso da Instância Virtual para SAP (VIS).
Se você tiver uma rede existente que está pronta para usar com o Centro do Azure para soluções SAP, vá para o guia de implantação em vez de seguir este guia.
Pré-requisitos
- Uma assinatura do Azure.
- Examine as cotas de sua assinatura do Azure. Se as cotas forem baixas, talvez seja necessário criar uma solicitação de suporte antes de criar sua implantação de infraestrutura. Caso contrário, você poderá sofrer falhas de implantação ou um erro de cota insuficiente.
- É recomendável ter vários endereços IP na sub-rede ou sub-redes antes de iniciar a implantação. Por exemplo, é sempre melhor ter uma máscara
/26em vez de/29. - Os nomes incluindo AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet e GatewaySubnet são nomes reservados no Azure. Não os use como nomes de sub-rede.
- Observe o SAPS (SAP Application Performance Standard) e o tamanho da memória do banco de dados que você precisa para permitir que o Centro do Azure para soluções SAP dimensione o sistema SAP. Se você não tiver certeza, também poderá selecionar as VMs. Existem:
- Um único ou cluster de VMs ASCS, que compõem uma única instância do ASCS no VIS.
- Um único ou cluster de VMs de banco de dados, que compõem uma única instância de Banco de Dados no VIS.
- Uma única VM do Application Server, que compõe uma única instância de aplicativo no VIS. Dependendo do número de Servidores de Aplicativos sendo implantados ou registrados, pode haver várias instâncias de aplicativo.
Criar rede
Você deve criar uma rede para a implantação de infraestrutura no Azure. Crie a rede na mesma região que você deseja implantar o sistema SAP.
Alguns dos componentes de rede necessários são:
- Uma rede virtual
- Sub-redes para servidores de aplicativos e servidores de banco de dados. Sua configuração precisa permitir a comunicação entre essas sub-redes.
- Grupos de segurança de rede do Azure
- Tabelas de rotas
- Firewalls (ou Gateway da NAT)
Para obter mais informações, confira exemplos de configuração de rede.
Conectar rede
No mínimo, a rede precisa ter conectividade com a Internet de saída para implantação bem-sucedida de infraestrutura e instalação de software. As sub-redes do aplicativo e do banco de dados também precisam ser capazes de se comunicar entre si.
Se a conectividade com a Internet não for possível, permita a lista de endereços IP para as seguintes áreas:
- Pontos de extremidade SUSE ou Red Hat
- Contas de Armazenamento do Azure
- Lista de permitidos do Azure Key Vault
- Lista de permissões do Microsoft Entra ID
- Lista de permitidos do Azure Resource Manager
Em seguida, verifique se todos os recursos dentro da rede virtual podem se conectar entre si. Por exemplo, configure um grupo de segurança de rede para permitir que os recursos dentro da rede virtual se comuniquem escutando em todas as portas.
- Defina os intervalos de porta de origem como *.
- Defina o Intervalo de porta de destino como *.
- Defina aAção como Permitir
Se não for possível permitir que os recursos dentro da rede virtual se conectem entre si, permita conexões entre o aplicativo e as sub-redes de banco de dados e abra portas SAP importantes na rede virtual.
Pontos de extremidade SUSE ou Red Hat da lista de permissões
Se você estiver usando o SUSE para as VMs, permita a lista de pontos de extremidade do SUSE. Por exemplo:
- Crie uma VM com qualquer sistema operacional usando o portal do Azure ou usando o Cloud Shell do Azure. Ou instale o openSUSE Leap da Microsoft Store e habilite o WSL.
- Instale o pip3 executando
zypper install python3-pip. - Instale o pacote pipsusepubliccloudinfo executando
pip3 install susepubliccloudinfo. - Obtenha uma lista de endereços IP a serem configurados na rede e no firewall executando
pint microsoft servers --json --regioncom o parâmetro de região do Azure apropriado. - Lista de permissões todos esses endereços IP no firewall ou no grupo de segurança de rede em que você está planejando anexar as sub-redes.
Se você estiver usando o Red Hat para as VMs, permita a lista de pontos de extremidade do Red Hat conforme necessário. A lista de permissões padrão são os endereços IP globais do Azure. Dependendo do seu caso de uso, talvez você também precise permitir endereços IP do Azure US Government ou do Azure Alemanha. Configure todos os endereços IP de sua lista no firewall ou no grupo de segurança de rede em que você deseja anexar as sub-redes.
Contas de armazenamento da lista de permissões
O Centro do Azure para soluções SAP precisa de acesso às seguintes contas de armazenamento para instalar o software SAP corretamente:
- A conta de armazenamento em que você está armazenando a mídia SAP necessária durante a instalação do software.
- A conta de armazenamento criada pelo Centro do Azure para soluções SAP em um grupo de recursos gerenciado, que o Centro do Azure para soluções SAP também possui e gerencia.
Há várias opções para permitir o acesso a essas contas de armazenamento:
- Permitir a conectividade com a Internet
- Configurar uma marca de serviço de armazenamento
- Configurar marcas de serviço de armazenamento com escopo regional. Configure marcas para a região do Azure em que você está implantando a infraestrutura e onde a conta de armazenamento com a mídia SAP existe.
- Lista de permitidos dos intervalos regionais do IP do Azure.
Key Vault da lista de permitidos
O Centro do Azure para soluções SAP cria um cofre de chaves para armazenar e acessar as chaves secretas durante a instalação do software. Esse cofre de chaves também armazena a senha do sistema SAP. Para permitir o acesso a este cofre de chaves, você pode:
- Permitir a conectividade com a Internet
- Configurar uma marca de serviço do AzureKeyVault
- Configure uma marca de serviço do AzureKeyVault com escopo regional. Configure a marca na região em que você está implantando a infraestrutura.
Lista de permissões do Microsoft Entra ID
O Centro do Azure para soluções SAP utiliza o Microsoft Entra ID para obter o token de autenticação necessário para acessar segredos de um cofre de chaves gerenciado durante a instalação do SAP. Para permitir o acesso ao Microsoft Entra ID, você pode:
- Permitir a conectividade com a Internet
- Configurar uma marca de serviço do AzureActiveDirectory.
Lista de permitidos do Azure Resource Manager
O Centro do Azure para soluções SAP usa uma identidade gerenciada para instalação de software. A autenticação de identidade gerenciada requer uma chamada para o ponto de extremidade Resource Manager do Azure. Para permitir o acesso a este ponto de extremidade, você pode:
- Permitir a conectividade com a Internet
- Configure uma marca de serviço do AzureResourceManager.
Abrir portas SAP importantes
Se você não conseguir permitir a conexão entre todos os recursos na rede virtual, conforme descrito anteriormente, poderá abrir portas SAP importantes na rede virtual. Esse método permite que os recursos dentro da rede virtual ouçam essas portas para fins de comunicação. Se você estiver usando mais de uma sub-rede, essas configurações também permitirão conectividade dentro das sub-redes.
Abra as portas SAP listadas na tabela a seguir. Substitua os valores de espaço reservado (xx) nas portas aplicáveis pelo número da instância SAP. Por exemplo, se o número da instância SAP for 01, então 32xx se tornará 3201.
| Serviço SAP | Intervalo de portas | Permitir tráfego de entrada | Permitir tráfego de saída | Finalidade |
|---|---|---|---|---|
| Agente de Host | 1128, 1129 | Sim | Sim | Porta HTTP/S para o agente host SAP. |
| Web Dispatcher | 32xx | Sim | Sim | Comunicação SAPGUI e RFC. |
| Gateway | 33xx | Sim | Sim | Comunicação RFC. |
| Gateway (protegido) | 48xx | Sim | Sim | Comunicação RFC. |
| ICM (Internet Communication Manager) | 80xx, 443xx | Sim | Sim | Comunicação HTTP/S para SAP Fiori, GUI web |
| Servidor de mensagens | 36xx, 81xx, 444xx | Sim | No | Balanceamento de carga; Comunicação do ASCS para servidores de aplicativo; Entrada da GUI; Tráfego HTTP/S de e para o servidor de mensagens. |
| Agente de controle | 5xx13, 5xx14 | Sim | No | Pare, inicie e obtenha o status do sistema SAP. |
| Instalação do SAP | 4237 | Sim | No | Instalação inicial do SAP. |
| HTTP e HTTPS | 5xx00, 5xx01 | Sim | Sim | Porta do servidor HTTP/S. |
| IIOP | 5xx02, 5xx03, 5xx07 | Sim | Sim | Porta de solicitação de serviço. |
| P4 | 5xx04-6 | Sim | Sim | Porta de solicitação de serviço. |
| Telnet | 5xx08 | Sim | No | Porta de serviço para gerenciamento. |
| Comunicação SQL | 3xx13, 3xx15, 3xx40-98 | Sim | No | Porta de comunicação de banco de dados com aplicativo, incluindo a sub-rede ABAP ou JAVA. |
| Servidor SQL | 1433 | Sim | No | Porta padrão para MS-SQL no SAP; necessário para comunicação de banco de dados ABAP ou JAVA. |
| Mecanismo XS do HANA | 43xx, 80xx | Sim | Sim | Porta de solicitação HTTP/S para conteúdo da Web. |
Exemplo de configuração de rede
O processo de configuração de uma rede de exemplo pode incluir:
Criar uma rede virtual ou usar uma existente.
Criar as seguintes sub-redes dentro da rede virtual:
Uma sub-rede da camada de aplicativo.
Uma sub-rede da camada de banco de dados.
Uma sub-rede para uso com o firewall, chamada FirewallSubnet do Azure.
Criar um novo recurso de firewall:
Anexe o firewall à rede virtual.
Crie uma regra para permitir pontos de extremidade RHEL ou SUSE da lista de permissões. Certifique-se de permitir todos os endereços IP de origem (
*), definir a porta de origem como Any, permitir os endereços IP de destino para RHEL ou SUSE e definir a porta de destino como Qualquer.Crie uma regra para permitir marcas de serviço. Certifique-se de permitir todos os endereços IP de origem (
*), defina o tipo de destino como marca de serviço. Em seguida, permita as marcas Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager e Microsoft.AzureActiveDirectory.
Crie um recurso de tabela de rotas:
Adicione uma nova rota do tipo Virtual Appliance.
Defina o endereço IP para o endereço IP do firewall, que você pode encontrar na visão geral do recurso de firewall no portal do Azure.
Atualize as sub-redes para que as camadas de aplicativo e banco de dados usem a nova tabela de rotas.
Se você estiver usando um grupo de segurança de rede com a rede virtual, adicione a seguinte regra de entrada. Essa regra fornece conectividade entre as sub-redes para as camadas de aplicativo e banco de dados.
Prioridade Porta Protocolo Origem Destino Ação 100 Qualquer Qualquer rede virtual rede virtual Allow Se você estiver usando um grupo de segurança de rede em vez de um firewall, adicione regras de saída para permitir a instalação.
Prioridade Porta Protocolo Origem Destino Ação 110 Qualquer Qualquer Qualquer Pontos de extremidade SUSE ou Red Hat Allow 115 Qualquer Qualquer Qualquer Azure Resource Manager Allow 116 Qualquer Qualquer Qualquer ID do Microsoft Entra Allow 117 Qualquer Qualquer Qualquer Contas de armazenamento Allow 118 8080 Qualquer Qualquer Key vault Allow 119 Qualquer Qualquer Qualquer rede virtual Allow