Поделиться через


Подготовка сети к развертыванию инфраструктуры

В этом руководстве вы узнаете, как подготовить виртуальную сеть для развертывания инфраструктуры S/4 HANA с помощью Центра Azure для решений SAP. В этой статье приводятся общие рекомендации по созданию виртуальной сети. Ваша отдельная среда и вариант использования определяют, как необходимо настроить собственные параметры сети для использования с ресурсом Виртуального экземпляра для SAP (VIS).

Если у вас есть существующая сеть, которую вы готовы использовать с решениями SAP Для Центра Azure, перейдите в руководство по развертыванию вместо этого руководства.

Необходимые компоненты

  • Подписка Azure.
  • Просмотрите квоты для подписки Azure. Если квоты низки, перед созданием развертывания инфраструктуры может потребоваться создать запрос на поддержку. В противном случае могут возникнуть сбои развертывания или ошибка с недостаточной квотой .
  • Перед началом развертывания рекомендуется иметь несколько IP-адресов в подсети или подсетях. Например, вместо маски всегда лучше иметь маску /26 /29.
  • Имена, включая AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet и GatewaySubnet, являются зарезервированными именами в Azure. Не используйте их в качестве имен подсети.
  • Обратите внимание, что размер памяти приложений SAP (SAPS) и объем памяти базы данных, необходимый для решения SAP для размера системы SAP. Если вы не уверены, вы также можете выбрать виртуальные машины. Имеются:
    • Один или кластер виртуальных машин ASCS, составляющий один экземпляр ASCS в VIS.
    • Один или кластер виртуальных машин базы данных, составляющий один экземпляр базы данных в VIS.
    • Одна виртуальная машина сервера приложений, которая состоит из одного экземпляра приложения в VIS. В зависимости от количества развернутых или зарегистрированных серверов приложений может быть несколько экземпляров приложений.

Создать сетевой

Необходимо создать сеть для развертывания инфраструктуры в Azure. Создайте сеть в том же регионе, в который вы хотите развернуть систему SAP.

Ниже перечислены некоторые необходимые сетевые компоненты:

  • виртуальная сеть;
  • Подсети для серверов приложений и серверов баз данных. Конфигурация должна разрешить обмен данными между этими подсетями.
  • Группы безопасности сети Azure
  • Таблицы маршрутов
  • Брандмауэры (или шлюз NAT)

Дополнительные сведения см. в примере конфигурации сети.

Подключение сети

Как минимум, сеть должна иметь исходящее подключение к Интернету для успешного развертывания инфраструктуры и установки программного обеспечения. Подсети приложения и базы данных также должны иметь возможность взаимодействовать друг с другом.

Если подключение к Интернету невозможно, укажите IP-адреса для следующих областей:

Затем убедитесь, что все ресурсы в виртуальной сети могут подключаться друг к другу. Например, настройте группу безопасности сети, чтобы разрешить ресурсам в виртуальной сети взаимодействовать, прослушивая все порты.

  • Задайте для диапазонов *портов источника значение .
  • Задайте для диапазонов *портов назначения значение .
  • Задайте для действия разрешение

Если невозможно разрешить ресурсам в виртуальной сети подключаться друг к другу, разрешить подключения между приложением и подсетями базы данных и открыть важные порты SAP в виртуальной сети .

Разрешенные конечные точки SUSE или Red Hat

Если вы используете SUSE для виртуальных машин, укажите список конечных точек SUSE. Например:

  1. Создайте виртуальную машину с любой ОС с помощью портал Azure или с помощью Azure Cloud Shell. Или установите openSUSE Leap из Microsoft Store и включите WSL.
  2. Установите pip3 , выполнив команду zypper install python3-pip.
  3. Установите пакет pip susepubliccloudinfo, выполнив команду pip3 install susepubliccloudinfo.
  4. Получите список IP-адресов для настройки в сети и брандмауэре, выполнив pint microsoft servers --json --region соответствующий параметр региона Azure.
  5. Список всех этих IP-адресов в брандмауэре или группе безопасности сети, в которой планируется подключить подсети.

Если вы используете Red Hat для виртуальных машин, укажите список конечных точек Red Hat по мере необходимости. Список разрешений по умолчанию — глобальные IP-адреса Azure. В зависимости от варианта использования может потребоваться также разрешить список IP-адресов Azure для государственных организаций США или Azure Для Германии. Настройте все IP-адреса из списка в брандмауэре или группе безопасности сети, в которой необходимо подключить подсети.

Учетные записи хранения allowlist

Для правильной установки программного обеспечения SAP в Центре Azure для решений SAP требуется доступ к следующим учетным записям хранения:

  • Учетная запись хранения, в которой хранится носитель SAP, необходимый во время установки программного обеспечения.
  • Учетная запись хранения, созданная Центром Azure для решений SAP в управляемой группе ресурсов, которой Центр Azure для решений SAP также владеет и управляет ею.

Существует несколько способов разрешить доступ к этим учетным записям хранения:

  • Разрешить подключение к Интернету
  • Настройка тега службы хранилища
  • Настройте теги службы хранилища с региональной областью. Обязательно настройте теги для региона Azure, в котором развертывается инфраструктура, и где существует учетная запись хранения с носителем SAP.
  • Список разрешенных диапазонов IP-адресов Azure.

Allowlist Key Vault

Центр Azure для решений SAP создает хранилище ключей для хранения и доступа к секретным ключам во время установки программного обеспечения. Это хранилище ключей также сохраняет системный пароль SAP. Чтобы разрешить доступ к этому хранилищу ключей, можно:

Идентификатор microsoft entra allowlist

Центр Azure для решений SAP использует идентификатор Microsoft Entra для получения маркера проверки подлинности для получения секретов из управляемого хранилища ключей во время установки SAP. Чтобы разрешить доступ к идентификатору Microsoft Entra, можно:

  • Разрешить подключение к Интернету
  • Настройка тега службы AzureActiveDirectory.

Allowlist Azure Resource Manager

В Центре Azure для решений SAP используется управляемое удостоверение для установки программного обеспечения. Для проверки подлинности управляемого удостоверения требуется вызов конечной точки Azure Resource Manager. Чтобы разрешить доступ к этой конечной точке, можно:

  • Разрешить подключение к Интернету
  • Настройте тег службы AzureResourceManager.

Открытие важных портов SAP

Если вы не можете разрешить подключение между всеми ресурсами в виртуальной сети , как описано ранее, можно открыть важные порты SAP в виртуальной сети. Этот метод позволяет ресурсам в виртуальной сети прослушивать эти порты в целях обмена данными. Если вы используете несколько подсетей, эти параметры также позволяют подключаться в подсетях.

Откройте порты SAP, перечисленные в следующей таблице. Замените значения заполнителей (xx) в применимых портах номером экземпляра SAP. Например, если номер экземпляра SAP равен 01, то 32xx становится 3201.

Служба SAP Диапазон портов Разрешить входящий трафик Разрешить исходящий трафик Характер использования
Агент узла 1128, 1129 Да Да Порт HTTP/S для агента узла SAP.
Веб-диспетчер 32xx Да Да Взаимодействие SAPGUI и RFC.
Шлюз 33xx Да Да Связь RFC.
Шлюз (защищенный) 48xx Да Да Связь RFC.
Internet Communication Manager (ICM) 80xx, 443xx Да Да Обмен данными HTTP/S для SAP Fiori, WEB GUI
Сервер сообщений 36xx, 81xx, 444xx Да Нет Балансировка нагрузки; СВЯЗЬ ASCS с серверами приложений; Вход с графическим интерфейсом пользователя; Трафик HTTP/S к серверу сообщений и с сервера сообщений.
Агент управления 5x13, 5xx14 Да Нет Остановка, запуск и получение состояния системы SAP.
Установка SAP 4237 Да Нет Начальная установка SAP.
HTTP и HTTPS 5xx00, 5xx01 Да Да Порт сервера HTTP/S.
IIOP 5xx02, 5xx03, 5xx07 Да Да Порт запроса службы.
P4 5xx04-6 Да Да Порт запроса службы.
Telnet 5xx08 Да Нет Порт службы для управления.
Обмен данными SQL 3xx13, 3xx15, 3xx40-98 Да Нет Порт связи базы данных с приложением, включая подсеть ABAP или JAVA.
Сервер SQL Server 1433 Да Нет Порт по умолчанию для MS-SQL в SAP; требуется для связи с базой данных ABAP или JAVA.
Подсистема XS HANA 43xx, 80xx Да Да Порт запроса HTTP/S для веб-содержимого.

Пример конфигурации сети

Процесс конфигурации для примера сети может включать:

  1. Создайте виртуальную сеть или используйте существующую виртуальную сеть.

  2. Создайте следующие подсети в виртуальной сети:

    1. Подсеть уровня приложения.

    2. Подсеть уровня базы данных.

    3. Подсеть для использования с брандмауэром с именем Брандмауэр Azure Subnet.

  3. Создайте новый ресурс брандмауэра:

    1. Подключите брандмауэр к виртуальной сети.

    2. Создайте правило для разрешенных конечных точек RHEL или SUSE. Обязательно разрешите все исходные IP-адреса (*), задайте для исходного порта значение Any, разрешите конечные IP-адреса для RHEL или SUSE и задайте для конечного порта значение Any.

    3. Создайте правило для разрешения тегов службы. Обязательно разрешите все исходные IP-адреса (*), задайте для типа назначения тег службы. Затем разрешите теги Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager и Microsoft.AzureActiveDirectory.

  4. Создайте ресурс таблицы маршрутов:

    1. Добавьте новый маршрут типа виртуального устройства.

    2. Задайте IP-адрес для IP-адреса брандмауэра, который можно найти в обзоре ресурса брандмауэра в портал Azure.

  5. Обновите подсети для уровней приложений и баз данных, чтобы использовать новую таблицу маршрутов.

  6. Если вы используете группу безопасности сети с виртуальной сетью, добавьте следующее правило для входящего трафика. Это правило обеспечивает подключение между подсетями для уровней приложений и баз данных.

    Приоритет Порт Протокол Источник Назначение Действие
    100 Любой Любой виртуальная сеть виртуальная сеть Разрешить
  7. Если вы используете группу безопасности сети вместо брандмауэра, добавьте правила для исходящего трафика, чтобы разрешить установку.

    Приоритет Порт Протокол Источник Назначение Действие
    110 Любой Любой Любой Конечные точки SUSE или Red Hat Разрешить
    115 Любой Любой Любой Azure Resource Manager Разрешить
    116 Любой Любой Любой Microsoft Entra ID Разрешить
    117 Любой Любой Любой Учетные записи хранения Разрешить
    118 8080 Любой Любой Хранилище ключей Разрешить
    119 Любой Любой Любой виртуальная сеть Разрешить

Следующие шаги