Исходящее подключение для виртуальных машин SAP

• Что такое Azure NAT Gateway? — Обзор Azure NAT Gateway, его архитектуры и ключевых преимуществ для исходящего подключения.
• Tutorial: создайте шлюз NAT с помощью портала Azure. Инструкции по созданию и настройке ресурса шлюза NAT.
• Проектирование виртуальных сетей с помощью шлюза NAT — руководство по планированию и проектированию развертываний шлюза NAT в виртуальной сети.

• обзор Azure Load Balancer (цен. категория "Стандартный") — комплексный обзор Azure Load Balancer (цен. категория "Стандартный"), важных принципов, концепций и учебных материалов.
• Исходящие подключения в Azure — сценарии обеспечения исходящего подключения в Azure.
• Правила исходящего трафика для балансировщика нагрузки — основные понятия правил исходящего трафика и их создание для явной конфигурации преобразования исходных сетевых адресов (SNAT).

• Что такое Брандмауэр Azure? — Обзор Брандмауэр Azure, облачной службы безопасности сети.
• Tutorial: развертывание и настройка Брандмауэр Azure с помощью портала Azure — пошаговые инструкции по развертыванию Брандмауэр Azure.
• Маршрутизация трафика виртуальной сети — определяемые пользователем маршруты — настройка настраиваемой маршрутизации для прямого трафика через виртуальное устройство.
• Группа безопасности сети — теги служб — упрощение конфигурации группы безопасности сети (NSG) и правил брандмауэра с использованием тегов служб.

• В отрасли доступно множество различных вариантов прокси-сервера. Узнайте, как настроен прокси-сервер в вашей среде.

Azure NAT Gateway — это полностью управляемая, высоконадежная служба преобразования сетевых адресов (NAT), которая обеспечивает исходящее подключение для виртуальных машин в подсети. Шлюз NAT настраивается на уровне подсети. После связи с подсетью он становится предпочтительным методом исходящего подключения для всех ресурсов в этой подсети. Он имеет приоритет над другими исходящими конфигурациями, включая правила исходящего трафика балансировщика нагрузки и публичные IP-адреса на уровне экземпляра.

Чтобы обеспечить исходящее подключение к общедоступным конечным точкам, не позволяя входящего подключения к виртуальной машине из общедоступной конечной точки, свяжите Azure NAT Gateway с подсетью, в которой развернуты виртуальные машины SAP и Load Balancer (цен. категория "Стандартный"). Используйте группы безопасности сети для управления общедоступными конечными точками, доступными для исходящих вызовов с виртуальных машин.

Важные замечания

• Azure NAT Gateway — это полностью управляемая служба со встроенной высокой доступностью и поддержкой зональных и развертываний с избыточностью на уровне зоны. Дополнительная инфраструктура или конфигурация маршрутизации не требуется. Просмотрите ключевое ограничение Standard V2 Azure NAT Gateway (с зональной избыточностью), чтобы убедиться, что оно поддерживает вашу конфигурацию.
• Шлюз NAT настраивается на уровне подсети. Все виртуальные машины в связанной подсети автоматически используют шлюз NAT для исходящего подключения. Конфигурация для каждой виртуальной машины не требуется.
• Если шлюз NAT связан с подсетью, он имеет приоритет над другими явными исходящими методами, включая правила исходящего трафика балансировщика нагрузки и общедоступные IP-адреса на уровне экземпляра для новых подключений.

Шаги развертывания

Пошаговые инструкции по созданию и настройке Azure NAT Gateway см. в следующих руководствах.

• Quickstart: создайте шлюз NAT с помощью портала Azure. Инструкции по созданию ресурса шлюза NAT и связыванию его с подсетью.
• Управление шлюзом NAT . Добавление или удаление общедоступных IP-адресов и подсетей из существующего шлюза NAT.

Создайте внешние Azure Load Balancer (цен. категория "Стандартный") для исходящих подключений к Интернету.

Чтобы обеспечить исходящее подключение к общедоступным конечным точкам, не позволяя входящего подключения к виртуальной машине из общедоступной конечной точки, создайте подсистему балансировки нагрузки с общедоступным IP-адресом. Затем вы добавите виртуальные машины в внутренний пул подсистемы балансировки нагрузки, где определены только правила исходящего трафика . Используйте группы безопасности сети для управления общедоступными конечными точками, доступными для исходящих вызовов из виртуальной машины. Для получения дополнительной информации см. сценарий 2 в разделе Исходящие подключения.

Конфигурация будет выглядеть следующим образом:

Важные замечания

• Вы можете использовать один дополнительный общедоступный Load Balancer для нескольких виртуальных машин в одной подсети, чтобы обеспечить исходящее подключение к общедоступной конечной точке и оптимизировать затраты.
• Используйте группы безопасности сети, чтобы контролировать, какие общедоступные конечные точки доступны на виртуальных машинах. Группу безопасности сети можно назначить подсети или каждой виртуальной машине. По возможности используйте теги служб для уменьшения сложности правил безопасности.
• Azure стандартная подсистема балансировки нагрузки с общедоступным IP-адресом и правилами исходящего трафика позволяет напрямую обращаться к общедоступной конечной точке. Если у вас есть требования к корпоративной безопасности для передачи всего исходящего трафика через централизованное корпоративное решение для аудита и ведения журнала, возможно, вы не сможете выполнить требование с этим сценарием.

Шаги развертывания

Создайте «Load Balancer».

1. На портале Azure выберите Все ресурсы, Добавить, а затем найдите Балансировщик нагрузки.

2. Нажмите кнопку "Создать".

3. Имя балансировщика нагрузки: MyPublicILB.

4. Выберите "Общедоступный " в качестве типа, "Стандартный " в качестве номера SKU.

5. Выберите "Создать общедоступный IP-адрес " и укажите имя MyPublicILBFrondEndIP.

6. Выберите " Избыточность зоны" в качестве зоны доступности.

7. Выберите "Рецензирование" и "Создать", а затем нажмите кнопку "Создать".

8. Создайте внутренний пул MyBackendPoolOfPublicILB и добавьте виртуальные машины.

   1. Выберите виртуальную сеть.
   2. Выберите виртуальные машины и их IP-адреса и добавьте их в внутренний пул.

9. Создайте правила исходящего трафика.

   az network lb outbound-rule create --address-pool MyBackendPoolOfPublicILB --frontend-ip-configs MyPublicILBFrondEndIP --idle-timeout 30 --lb-name MyPublicILB --name MyOutBoundRules  --outbound-ports 10000 --enable-tcp-reset true --protocol All --resource-group MyResourceGroup
   

10. Создайте правила группы безопасности сети, чтобы ограничить доступ к определенным общедоступным конечным точкам. Если есть существующая группа безопасности сети, ее можно изменить. Ниже показано, как включить доступ к API управления Azure:

    1. Перейдите к NSG.
    2. Выберите правила безопасности исходящего трафика.
    3. Добавьте правило, чтобы запретить весь исходящий доступ к Интернету.
    4. Добавьте правило, чтобы разрешить доступ к AzureCloud, с приоритетом ниже приоритета правила, чтобы запретить весь доступ в Интернет.

Правила безопасности исходящего трафика будут выглядеть следующим образом:

Дополнительные сведения о Azure NSG см. в разделе Security Groups.

Другим вариантом достижения исходящего подключения к общедоступным конечным точкам без разрешения входящего подключения к виртуальной машине из общедоступных конечных точек является Брандмауэр Azure. Брандмауэр Azure — это управляемая служба с встроенной высокой доступностью, которая может охватывать несколько Зоны доступности.

Кроме того, необходимо развернуть маршрут User Defined Route, ассоциированный с подсетью, в которой развернуты виртуальные машины и подсистема балансировки нагрузки Azure, для указания трафика на Брандмауэр Azure. Дополнительные сведения о развертывании Брандмауэр Azure см. в разделе Deploy и настройка Брандмауэр Azure.

Архитектура будет выглядеть следующим образом:

Важные замечания

• Azure брандмауэр — это облачная облачная служба с встроенной высокой доступностью и поддерживает зональное развертывание.
• Требуется дополнительная подсеть, которая должна называться AzureFirewallSubnet.
• Исходящий перенос больших наборов данных из виртуальной сети, на котором размещаются виртуальные машины SAP, в другую виртуальную сеть или общедоступную конечную точку, может привести к более высоким затратам. Одним из таких примеров является копирование больших резервных копий в виртуальных сетях. Дополнительные сведения см. в Брандмауэр Azure ценах.
• Если корпоративный брандмауэр не является Брандмауэр Azure и исходящий трафик должен проходить через централизованное корпоративное решение по безопасности, этот вариант может оказаться нецелесообразным.

Шаги развертывания

В шагах развертывания предполагается, что у вас уже есть виртуальная сеть и подсеть, определенные для виртуальных машин.

1. Создайте подсеть AzureFirewallSubnet в той же виртуальной сети, где развернуты виртуальные машины и Load Balancer (цен. категория "Стандартный").
2. На портале Azure перейдите или найдите виртуальная сеть выберите All Resources.
3. Найдите virtual network, выберите виртуальная сеть, а затем выберите Subnets.
4. Выберите "Добавить подсеть". Введите AzureFirewallSubnet для имени. Введите соответствующий диапазон IP-адресов.
5. Сохраните информацию.

Создайте Брандмауэр Azure.

1. На портале Azure выберите All resources. Затем выберите "Добавить", "Брандмауэр", "Создать". Выберите группу Resource (выберите ту же группу ресурсов, где находится виртуальная сеть).
2. Введите имя ресурса Брандмауэр Azure. Например, MyAzureFirewall.
3. Выберите регион, выберите по крайней мере две зоны доступности, соответствующие зонам доступности, в которых развернуты ваши виртуальные машины.
4. Выберите виртуальную сеть, в которой развернуты виртуальные машины SAP и балансировщик нагрузки Azure Стандартный.
5. Общедоступный IP-адрес: выберите "Создать " и введите имя. Например, MyFirewallPublicIP.

Создайте правило Брандмауэр Azure, чтобы разрешить исходящее подключение к указанным общедоступным конечным точкам. В этом примере показано, как разрешить доступ к общедоступной конечной точке API управления Azure.

1. Выберите "Правила", "Коллекция правил сети", а затем выберите "Добавить коллекцию правил сети".
2. Имя: MyOutboundRule, введите Priority, а затем выберите действие: Разрешить.
3. Имя службы: ToAzureaPI.
   1. Протокол: выберите любой.
   2. Исходный адрес: введите диапазон для подсети, в которой развернуты виртуальные машины и Load Balancer (цен. категория "Стандартный"). Например, 11.97.0.0/24.
   3. Порты назначения: введите *.
4. Сохраните информацию.
5. Когда вы находитесь на Брандмауэр Azure, выберите Overview. Запишите частный IP-адрес Брандмауэр Azure.

Создайте маршрут Брандмауэр Azure.

1. На портале Azure выберите Все ресурсы, выберите Добавить, Таблица маршрутов, Создать.
2. В поле *Имя введите MyRouteTable, выберите "Подписка", "Группа ресурсов" и "Расположение " (соответствующее расположению виртуальной сети и брандмауэру).
3. Сохраните информацию.

Правило брандмауэра будет выглядеть следующим образом:

Создайте определяемый пользователем маршрут из подсети виртуальных машин в частный IP-адрес MyAzureFirewall.

1. Находясь в таблице маршрутов, выберите Маршруты, затем выберите Добавить.
2. Имя маршрута: ToMyAzureFirewall
3. Префикс адреса: 0.0.0.0/0.
4. Тип следующего прыжка: выбор виртуального устройства.
5. Адрес следующего прыжка: введите частный IP-адрес настроенного брандмауэра: 11.97.1.4.
6. Сохраните информацию.

Вы можете использовать прокси-сервер, чтобы разрешить вызовы Pacemaker к общедоступной конечной точке API управления Azure.

Важные замечания

• Если на месте уже есть корпоративный прокси-сервер, можно перенаправить исходящие вызовы в общедоступные конечные точки через него. Исходящие вызовы к общедоступным конечным точкам проходят через корпоративную контрольную точку.
• Убедитесь, что конфигурация прокси-сервера обеспечивает исходящее подключение к API управления Azure: https://management.azure.com и https://login.microsoftonline.com.
• Убедитесь, что есть маршрут от виртуальных машин к прокси-серверу.
• Прокси-сервер обрабатывает только вызовы HTTP/HTTPS. Если необходимо сделать исходящие вызовы к общедоступной конечной точке по разным протоколам (например, RFC), необходимо альтернативное решение.
• Решение прокси-сервера должно быть высокодоступным, чтобы избежать нестабильности в кластере Pacemaker.
• В зависимости от расположения прокси-сервера, вызовы агента Azure Fence к Azure Management API могут сопровождаться дополнительной задержкой. Если корпоративный прокси-сервер по-прежнему находится в локальной среде, в то время как кластер Pacemaker находится в Azure, измеряйте задержку и рассмотрите, если это решение подходит для вас.
• Если на месте еще нет высокодоступного корпоративного прокси-сервера, мы не рекомендуем этот вариант, так как клиент будет нести дополнительные затраты и сложность. Если вы решите развернуть дополнительное прокси-решение, чтобы разрешить исходящее подключение от Pacemaker к общедоступному API управления Azure, необходимо убедиться, что прокси-сервер имеет высокий уровень доступности. Задержка от виртуальных машин к прокси-серверу низка.

Настройка Pacemaker с помощью прокси-сервера

В отрасли доступно множество различных вариантов прокси-сервера. Пошаговые инструкции по развертыванию прокси-сервера находятся вне области этого документа. В следующем примере предполагается, что прокси-сервер отвечает на MyProxyService и прослушивает порт MyProxyPort.

Чтобы разрешить pacemaker взаимодействовать с API управления Azure, выполните следующие действия на всех узлах кластера:

1. Измените файл /etc/sysconfig/pacemaker конфигурации Pacemaker и добавьте следующие строки (все узлы кластера):

   sudo vi /etc/sysconfig/pacemaker
   # Add the following lines
   http_proxy=http://MyProxyService:MyProxyPort
   https_proxy=http://MyProxyService:MyProxyPort
   

2. Перезапустите сервис pacemaker на всех узлах кластера.

   SUSE:

   # Place the cluster in maintenance mode
   sudo crm configure property maintenance-mode=true
   
   #Restart on all nodes
   sudo systemctl restart pacemaker
   
   # Take the cluster out of maintenance mode
   sudo crm configure property maintenance-mode=false
   

   Red Hat:

   # Place the cluster in maintenance mode
   sudo pcs property set maintenance-mode=true
   
   #Restart on all nodes
   sudo systemctl restart pacemaker
   
   # Take the cluster out of maintenance mode
   sudo pcs property set maintenance-mode=false