Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Центр Azure для решений SAP позволяет развертывать системы SAP и управлять ими в Azure. При развертывании инфраструктуры S/4HANA через службу требуется виртуальная сеть, которая обеспечивает исходящее подключение и разрешает обмен данными между подсетями приложения и базы данных. Без правильно настроенной сети развертывание инфраструктуры и установка программного обеспечения SAP могут завершиться ошибкой.
В этой статье описано, как создать и настроить виртуальную сеть, задать правила подключения и безопасности, а также установить список разрешенных конечных точек, необходимых для развертывания. Определенные параметры сети зависят от среды и варианта использования.
Если у вас уже есть сеть, которая готова к использованию с Центром Azure для решений SAP, перейдите в руководство по развертыванию.
Prerequisites
Подписка Azure.
Достаточные квоты для подписки Azure. Если квоты низкие, создайте запрос на поддержку перед развертыванием инфраструктуры. В противном случае могут возникнуть сбои развертывания или ошибка недостаточной квоты.
Перед началом развертывания укажите несколько IP-адресов в подсети или подсетях. Например, лучше использовать
/26маску, чем/29.Имена AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet и GatewaySubnet являются зарезервированными именами в Azure (не используйте эти имена в качестве имен подсетей).
Знание уровня производительности приложений SAP (SAPS) и размера памяти базы данных, необходимых для обеспечения размера системы SAP в Центре Azure для решений SAP. Если вы не уверены, вы также можете выбрать виртуальные машины (ВМ). Используются следующие типы виртуальных машин:
- Одна виртуальная машина SAP Central Services (ASCS) или кластер виртуальных машин ASCS, составляющих один экземпляр ASCS в VIS.
- Одна виртуальная машина базы данных или кластер виртуальных машин базы данных, которая состоит из одного экземпляра базы данных в VIS.
- Одна виртуальная машина сервера приложений, которая состоит из одного экземпляра приложения в VIS. В зависимости от количества развернутых или зарегистрированных серверов приложений может быть несколько экземпляров приложений.
Создание сети
Создайте сеть для развертывания инфраструктуры в Azure. Обязательно создайте сеть в том же регионе, где требуется развернуть систему SAP.
Ниже перечислены некоторые необходимые сетевые компоненты:
- Виртуальная сеть
- Подсети для серверов приложений и серверов баз данных. Конфигурация должна разрешить обмен данными между этими подсетями.
- Группы безопасности сети Azure
- Таблицы маршрутов
- Брандмауэры (или шлюз NAT)
Дополнительные сведения см. в разделе "Настройка примера сети".
Подключение сети
Как минимум, сеть должна иметь исходящее подключение к Интернету для успешного развертывания инфраструктуры и установки программного обеспечения. Подсети приложения и базы данных также должны иметь возможность взаимодействовать друг с другом.
Если подключение к Интернету невозможно, разрешите список IP-адресов для следующих областей:
- Конечные точки SUSE или Red Hat
- Учетные записи хранения Azure
- Список разрешений Azure Key Vault
- Список разрешений идентификатора Microsoft Entra
- Список разрешений Azure Resource Manager
Затем убедитесь, что все ресурсы в виртуальной сети могут подключаться друг к другу. Например, настройте группу безопасности сети , чтобы разрешить ресурсам в виртуальной сети взаимодействовать, прослушивая все порты.
- Задайте диапазоны портов источника*.
- Задайте диапазоны портов назначения значением .
- Установите Действие на Разрешить
Если невозможно разрешить ресурсам в виртуальной сети подключаться друг к другу, разрешите подключения между подсетью приложения и подсетями для базы данных и откройте важные порты SAP в виртуальной сети.
Разрешить список конечных точек SUSE или Red Hat
Если вы используете SUSE для виртуальных машин, разрешите список конечных точек SUSE. Рассмотрим пример.
- Создайте виртуальную машину с любой ОС с помощью портала Azure или с помощью Azure Cloud Shell. Кроме того, установите openSUSE Leap из Microsoft Store и включите подсистему Windows для Linux.
- Установите
pip3, выполнив командуzypper install python3-pip. -
pipУстановите пакетsusepubliccloudinfo, запустивpip3 install susepubliccloudinfo. - Получите список IP-адресов для настройки сети и брандмауэра, запустив команду
pint microsoft servers --json --regionс соответствующим параметром региона Azure. - Разрешить список всех этих IP-адресов в брандмауэре или группе безопасности сети, в которой планируется подключить подсети.
Если вы используете Red Hat для виртуальных машин, укажите список конечных точек Red Hat по мере необходимости. Список разрешений по умолчанию — глобальные IP-адреса Azure. В зависимости от варианта использования может потребоваться также включить в список разрешенных IP-адреса Azure для правительства США или Azure Germany. Настройте все IP-адреса из списка в брандмауэре или группе безопасности сети, в которой необходимо подключить подсети.
Разрешить учетные записи хранения списка
Для правильной установки программного обеспечения SAP в Центре Azure для решений SAP требуется доступ к следующим учетным записям хранения:
- Учетная запись хранения, в которой хранится носитель SAP, необходимый во время установки программного обеспечения.
- Учетная запись хранения, созданная Центром Azure для решений SAP в управляемой группе ресурсов, которой Центр Azure для решений SAP также владеет и управляет ею.
Существует несколько способов разрешить доступ к этим учетным записям хранения:
- Разрешить подключение к Интернету
- Настройте тег службы хранилища
- Настройте теги службы хранилища в пределах региона. Обязательно настройте теги для региона Azure, в котором развертывается инфраструктура, и где существует учетная запись хранения с носителем SAP.
- Разрешить список региональных диапазонов IP-адресов Azure.
Добавление хранилища ключей в список разрешенных
Центр Azure для решений SAP создает хранилище ключей для хранения и доступа к секретным ключам во время установки программного обеспечения. Это хранилище ключей также сохраняет системный пароль SAP. Чтобы разрешить доступ к этому хранилищу ключей, выполните указанные ниже действия.
- Разрешить подключение к Интернету
- Настроить тег службы AzureKeyVault
- Настройте тег службы AzureKeyVault с региональной областью действия. Обязательно настройте тег в регионе, где развертывается инфраструктура.
Разрешенный список для Microsoft Entra ID
Центр Azure для решений SAP использует Microsoft Entra ID для получения токена аутентификации для извлечения секретов из управляемого хранилища ключей во время установки SAP. Чтобы разрешить доступ к идентификатору Microsoft Entra, выполните следующие действия.
- Разрешить подключение к Интернету
- Настройте тег службы AzureActiveDirectory.
Список разрешенных элементов в Azure Resource Manager
В Центре Azure для решений SAP используется управляемое удостоверение для установки программного обеспечения. Для проверки подлинности управляемого удостоверения требуется вызов конечной точки Azure Resource Manager. Чтобы разрешить доступ к этой конечной точке, выполните указанные ниже действия.
- Разрешить подключение к Интернету
- Настройте тег сервиса AzureResourceManager.
Открытие важных портов SAP
Если вы не можете разрешить подключения между всеми ресурсами в виртуальной сети , как описано ранее, можно открыть важные порты SAP в виртуальной сети. Этот метод позволяет ресурсам в виртуальной сети прослушивать эти порты для обмена данными. Если используется несколько подсетей, эти параметры также позволяют подключаться между подсетями.
Откройте порты SAP, перечисленные в следующей таблице. Замените значения заполнителей (xx) в применимых портах номером экземпляра SAP. Например, если номер экземпляра SAP равен 01, то 32xx становится 3201.
| Служба SAP | Диапазон портов | Разрешить входящий трафик | Разрешить исходящий трафик | Цель |
|---|---|---|---|---|
| Агент хоста | 1128, 1129 | Yes | Yes | Порт HTTP/S для агента узла SAP. |
| Веб-диспетчер | 32xx | Yes | Yes | Взаимодействие SAPGUI и RFC. |
| шлюз | 33xx | Yes | Yes | Коммуникация по RFC. |
| Шлюз (защищенный) | 48xx | Yes | Yes | Коммуникация по RFC. |
| Менеджер интернет-коммуникаций (ICM) | 80xx, 443xx | Yes | Yes | Обмен данными HTTP/S для SAP Fiori, WEB GUI |
| Сервер сообщений | 36xx, 81xx, 444xx | Yes | Нет | Балансировка нагрузки; связь ASCS с сервером приложений; вход через GUI; HTTP/S трафик к серверу сообщений и от него. |
| Агент управления | 5x13, 5xx14 | Yes | Нет | Остановка, запуск и получение состояния системы SAP. |
| Установка SAP | 4237 | Yes | Нет | Начальная установка SAP. |
| HTTP и HTTPS | 5xx00, 5xx01 | Yes | Yes | Порт сервера HTTP/S. |
| Протокол Internet Inter-ORB (IIOP) | 5xx02, 5xx03, 5xx07 | Yes | Yes | Порт запроса службы. |
| P4 | 5xx04-6 | Yes | Yes | Порт запроса службы. |
| Telnet | 5xx08 | Yes | Нет | Порт службы для управления. |
| Обмен данными SQL | 3xx13, 3xx15, 3xx40-98 | Yes | Нет | Порт связи базы данных с приложением, включая Расширенное Программирование Бизнес-Приложений (ABAP) или JAVA-сеть. |
| Сервер SQL Server | 1433 | Yes | Нет | Порт по умолчанию для MS-SQL в SAP; требуется для связи с базой данных ABAP или JAVA. |
| Подсистема XS HANA | 43xx, 80xx | Yes | Yes | Порт запроса HTTP/S для веб-содержимого. |
Настройка примера сети
Процесс конфигурации для примера сети может включать:
Создайте виртуальную сеть или используйте существующую виртуальную сеть.
Создайте следующие подсети в виртуальной сети:
Подсеть уровня приложения.
Подсеть уровня базы данных.
Подсеть для использования с брандмауэром с именем AzureFirewallSubnet.
Создайте новый ресурс брандмауэра:
Подключите брандмауэр к виртуальной сети.
Создайте правило для добавления конечных точек RHEL или SUSE в список разрешенных. Обязательно разрешите все исходные IP-адреса (
*), задайте для исходного порта значение Any, разрешите конечные IP-адреса для RHEL или SUSE и задайте для конечного порта значение Any.Чтобы разрешить теги служб, создайте правило. Обязательно разрешите доступ всех исходных IP-адресов (
*), установите тип назначения на Service tag. Затем разрешите теги Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager и Microsoft.AzureActiveDirectory.
Создайте ресурс таблицы маршрутов:
Добавьте новый маршрут типа виртуального устройства.
Задайте IP-адрес брандмауэра на IP-адрес, который можно найти на странице обзора ресурса брандмауэра на портале Azure.
Обновите подсети для уровней приложений и баз данных, чтобы использовать новую таблицу маршрутов.
Если вы используете группу безопасности сети с виртуальной сетью, добавьте следующее правило для входящего трафика. Это правило обеспечивает подключение между подсетями для уровней приложений и баз данных.
Приоритет Порт Протокол Source Назначение Действие 100 Любой Любой виртуальная сеть виртуальная сеть Разрешить Если вы используете группу безопасности сети вместо брандмауэра, добавьте правила для исходящего трафика, чтобы разрешить установку.
Приоритет Порт Протокол Source Назначение Действие 110 Любой Любой Любой Конечные точки SUSE или Red Hat Разрешить 115 Любой Любой Любой Azure Resource Manager Разрешить 116 Любой Любой Любой Microsoft Entra ID Разрешить 117 Любой Любой Любой Учетные записи хранения Разрешить 118 8080 Любой Любой Хранилище ключей Разрешить 119 Любой Любой Любой виртуальная сеть Разрешить