準備基礎結構部署的網路
在本操作指南中,您將瞭解如何準備虛擬網路,以使用適用于 SAP 解決方案 的 Azure 中心部署 S/4 HANA 基礎結構。 本文提供建立虛擬網路的一般指引。 您的個別環境和使用案例將決定您需要如何設定自己的網路設定,以搭配 SAP (VIS) 資源的虛擬實例使用。
如果您有現有的網路可供您搭配 Azure Center for SAP 解決方案使用, 請移至部署指南 ,而不是遵循本指南。
必要條件
- Azure 訂用帳戶。
- 檢閱 Azure 訂用帳戶 的配額。 如果配額很低,您可能需要先建立支援要求,再建立基礎結構部署。 否則,您可能會遇到部署失敗或配額不足錯誤。
- 建議您在開始部署之前,在子網或子網中有多個 IP 位址。 例如,最好有
/26遮罩,而不是/29。 - AzureFirewallSubnet、AzureFirewallManagementSubnet、AzureBastionSubnet 和 GatewaySubnet 等名稱都是 Azure 中的保留名稱。 請勿使用這些作為子網名稱。
- 請注意 SAP 應用程式效能標準 (SAPS) 和資料庫記憶體大小,您必須允許 Azure Center for SAP 解決方案調整 SAP 系統的大小。 如果您不確定,您也可以選取 VM。 有:
- ASCS VM 的單一或叢集,組成 VIS 中的單一 ASCS 實例。
- 資料庫 VM 的單一或叢集,組成 VIS 中的單一資料庫實例。
- 單一應用程式伺服器 VM,組成 VIS 中的單一應用程式實例。 根據所部署或註冊的應用程式伺服器數目而定,可能會有多個應用程式實例。
建立網路
您必須在 Azure 上建立用於基礎結構部署的網路。 請務必在要部署 SAP 系統的相同區域中建立網路。
部分必要的網路元件如下:
- 虛擬網路
- 應用程式伺服器和資料庫伺服器的子網。 您的設定必須允許這些子網之間的通訊。
- Azure 網路安全性群組
- 路由表
- 防火牆 (或 NAT 閘道)
如需詳細資訊,請參閱 網路設定 範例。
連線網路
網路至少必須有輸出網際網路連線能力,才能成功進行基礎結構部署和軟體安裝。 應用程式和資料庫子網路也必須能夠彼此通訊。
如果無法連線到網際網路,請列出下欄區域的 IP 位址:
- SUSE 或 Red Hat 端點
- Azure 儲存體帳戶
- Allowlist Azure 金鑰保存庫
- Allowlist Microsoft Entra ID
- Allowlist Azure Resource Manager
然後,請確定虛擬網路中的所有資源都可以彼此連線。 例如, 設定網路安全性群組 ,以允許虛擬網路內的資源在所有埠上接聽來通訊。
- 將 [ 來源埠範圍 ] 設定為 * 。
- 將 [ 目的地埠範圍 ] 設定為 * 。
- 將 [動作 ] 設定為 [允許]
如果無法允許虛擬網路內的資源彼此連線,請允許應用程式與資料庫子網之間的連線,並 改為在虛擬網路 中開啟重要的 SAP 埠。
Allowlist SUSE 或 Red Hat 端點
如果您針對 VM 使用 SUSE, 請允許列出 SUSE 端點 。 例如:
- 使用 Azure 入口網站 或使用 Azure Cloud Shell 建立具有任何作業系統 的 VM。 或者,從 Microsoft Store 安裝 openSUSE Leap 並啟用 WSL。
- 執行
zypper install python3-pip來安裝 pip3 。 - 執行 以 安裝
pip3 install susepubliccloudinfopip 套件 susepubliccloudinfo 。 - 使用適當的 Azure 區域參數執行
pint microsoft servers --json --region,以取得網路和防火牆中設定的 IP 位址清單。 - 允許在您要連結子網的防火牆或網路安全性群組上列出所有這些 IP 位址。
如果您針對 VM 使用 Red Hat, 請視需要列出 Red Hat 端點 。 預設的 allowlist 是 Azure 全域 IP 位址。 根據您的使用案例,您可能也需要允許列出 Azure US Government 或 Azure 德國 IP 位址。 在您要連結子網的防火牆或網路安全性群組上設定清單中的所有 IP 位址。
Allowlist 儲存體帳戶
適用于 SAP 的 Azure 中心解決方案需要存取下列儲存體帳戶,才能正確安裝 SAP 軟體:
- 您要在其中儲存軟體安裝期間所需 SAP 媒體的儲存體帳戶。
- Azure Center for SAP 解決方案在受控資源群組中建立的儲存體帳戶,適用于 SAP 解決方案的 Azure 中心也會擁有和管理該資源群組。
有多個選項可允許存取這些儲存體帳戶:
- 允許網際網路連線
- 設定 儲存體 服務標籤
- 使用 區域範圍設定儲存體 服務標籤 。 請務必為您要部署基礎結構的 Azure 區域設定標籤,以及具有 SAP 媒體的儲存體帳戶所在的位置。
- 允許列出區域 Azure IP 範圍 。
Allowlist 金鑰保存庫
適用于 SAP 的 Azure 中心解決方案會建立金鑰保存庫,以在軟體安裝期間儲存及存取秘密金鑰。 此金鑰保存庫也會儲存 SAP 系統密碼。 若要允許存取此金鑰保存庫,您可以:
- 允許網際網路連線
- 設定 AzureKeyVault 服務標籤
- 設定 具有區域範圍的 AzureKeyVault 服務標籤 。 請務必在您要部署基礎結構的區域中設定 標籤。
Allowlist Microsoft Entra ID
適用于 SAP 的 Azure 中心解決方案會使用 Microsoft Entra ID 取得驗證權杖,以在 SAP 安裝期間從受控金鑰保存庫取得秘密。 若要允許存取 Microsoft Entra 識別碼,您可以:
- 允許網際網路連線
- 設定 AzureActiveDirectory 服務標籤 。
Allowlist Azure Resource Manager
適用于 SAP 的 Azure 中心解決方案會使用受控識別進行軟體安裝。 受控識別驗證需要呼叫 Azure Resource Manager 端點。 若要允許存取此端點,您可以:
- 允許網際網路連線
- 設定 AzureResourceManager 服務標籤 。
開啟重要的 SAP 埠
如果您無法 如先前所述允許虛擬網路 中所有資源之間的連線,您可以改為在虛擬網路中開啟重要的 SAP 埠。 此方法可讓虛擬網路內的資源接聽這些埠以供通訊之用。 如果您使用多個子網,這些設定也會允許子網內的連線。
開啟下表所列的 SAP 埠。 將適用埠中的預留位置值 ( xx ) 取代為您的 SAP 實例編號。 例如,如果您的 SAP 實例號碼是 01 ,則 32xx 會 3201 變成 。
| SAP 服務 | 連接埠範圍 | 允許連入流量 | 允許連出流量 | 目的 |
|---|---|---|---|---|
| 主機代理程式 | 1128, 1129 | Yes | Yes | SAP 主機代理程式的 HTTP/S 埠。 |
| Web 發送器 | 32xx | Yes | Yes | SAPGUI 和 RFC 通訊。 |
| 閘道器 | 33xx | Yes | Yes | RFC 通訊。 |
| 閘道(安全) | 48xx | Yes | Yes | RFC 通訊。 |
| 網際網路通訊管理員(ICM) | 80xx,443xx | Yes | Yes | SAP Fiori、WEB GUI 的 HTTP/S 通訊 |
| 訊息伺服器 | 36xx、81xx、444xx | 是 | No | 負載平衡;ASCS 對應用程式伺服器通訊;GUI 登入;來自訊息伺服器的 HTTP/S 流量。 |
| 控制代理程式 | 5xx13、5xx14 | 是 | No | 停止、啟動和取得 SAP 系統的狀態。 |
| SAP 安裝 | 4237 | 是 | No | 初始 SAP 安裝。 |
| HTTP 和 HTTPS | 5xx00、5xx01 | Yes | Yes | HTTP/S 伺服器埠。 |
| Iiop | 5xx02、5xx03、5xx07 | Yes | Yes | 服務要求埠。 |
| P4 | 5xx04-6 | Yes | Yes | 服務要求埠。 |
| Telnet | 5xx08 | 是 | No | 用於管理的服務埠。 |
| SQL 通訊 | 3xx13、3xx15、3xx40-98 | 是 | No | 與應用程式的資料庫通訊埠,包括 ABAP 或 JAVA 子網。 |
| SQL Server | 1433 | 是 | No | SAP 中 MS-SQL 的預設埠;ABAP 或 JAVA 資料庫通訊的必要專案。 |
| HANA XS 引擎 | 43xx,80xx | Yes | Yes | Web 內容的 HTTP/S 要求埠。 |
範例網路組態
範例網路的組態程式可能包括:
建立虛擬網路,或使用現有的虛擬網路。
在虛擬網路內建立下列子網:
應用層子網。
資料庫層子網。
與防火牆搭配使用的子網,名為 Azure 防火牆Subnet 。
建立新的防火牆資源:
將防火牆連結至虛擬網路。
建立規則以允許列出 RHEL 或 SUSE 端點。 請務必允許所有來源 IP 位址 (
*)、將來源埠設定為 [任何 ]、允許 RHEL 或 SUSE 的目的地 IP 位址,並將目的地埠設定為 [任何]。建立規則以允許服務標籤。 請務必允許所有來源 IP 位址 (
*),將目的地類型設定為 [服務] 標籤 。 然後,允許標記 Microsoft.儲存體 、 Microsoft.KeyVault 、 AzureResourceManager 和 Microsoft.AzureActiveDirectory 。
建立路由表資源:
新增虛擬裝置 類型的 新路由。
將 IP 位址設定為防火牆的 IP 位址,您可以在Azure 入口網站中的防火牆資源概觀中找到該位址。
更新應用程式和資料庫層的子網,以使用新的路由表。
如果您使用網路安全性群組搭配虛擬網路,請新增下列輸入規則。 此規則提供應用程式和資料庫層子網之間的連線。
優先順序 Port 通訊協定 來源 Destination 動作 100 任意 任意 網路流量 網路流量 允許 如果您使用網路安全性群組而非防火牆,請新增輸出規則以允許安裝。
優先順序 Port 通訊協定 來源 Destination 動作 110 任意 任意 任意 SUSE 或 Red Hat 端點 允許 115 任意 任意 任意 Azure 資源管理 允許 116 任意 任意 任意 Microsoft Entra ID 允許 117 任意 任意 任意 儲存體帳戶 允許 118 8080 任意 任意 金鑰保存庫 允許 119 任意 任意 任意 網路流量 允許