Sdílet prostřednictvím

Příprava sítě na nasazení infrastruktury

  • Článek

V tomto průvodci postupy se dozvíte, jak připravit virtuální síť k nasazení infrastruktury S/4 HANA pomocí Azure Center pro řešení SAP. Tento článek obsahuje obecné pokyny k vytvoření virtuální sítě. Vaše individuální prostředí a případ použití určují, jak je potřeba nakonfigurovat vlastní nastavení sítě pro použití s prostředkem Virtual Instance for SAP (VIS).

Pokud máte existující síť, kterou jste připravení použít se službou Azure Center pro řešení SAP, přejděte místo tohoto průvodce nasazením do průvodce nasazením.

Požadavky

  • Předplatné Azure.
  • Zkontrolujte kvóty pro vaše předplatné Azure. Pokud jsou kvóty nízké, možná budete muset před vytvořením nasazení infrastruktury vytvořit žádost o podporu. V opačném případě může docházet k selháním nasazení nebo k chybě nedostatečné kvóty .
  • Před zahájením nasazení se doporučuje mít v podsíti nebo podsítích několik IP adres. Je například vždy lepší mít masku /26 místo /29.
  • Názvy včetně AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet a GatewaySubnet jsou rezervované názvy v rámci Azure. Nepoužívejte je jako názvy podsítí.
  • Poznamenejte si sap Application Performance Standard (SAPS) a velikost paměti databáze, které potřebujete povolit službě Azure Center pro řešení SAP velikost systému SAP. Pokud si nejste jistí, můžete také vybrat virtuální počítače. K dispozici jsou:
    • Jeden nebo cluster virtuálních počítačů ASCS, které tvoří jednu instanci ASCS ve VIS.
    • Jeden nebo cluster databázových virtuálních počítačů, které tvoří jednu instanci databáze ve VIS.
    • Jeden virtuální počítač aplikačního serveru, který tvoří jednu instanci aplikace ve VIS. V závislosti na počtu nasazených nebo zaregistrovaných aplikačních serverů může existovat více instancí aplikace.

Vytvoření sítě

Musíte vytvořit síť pro nasazení infrastruktury v Azure. Nezapomeňte síť vytvořit ve stejné oblasti, ve které chcete nasadit systém SAP.

Mezi požadované síťové komponenty patří:

  • Virtuální síť
  • Podsítě aplikačních serverů a databázových serverů. Vaše konfigurace musí umožňovat komunikaci mezi těmito podsítěmi.
  • Skupiny zabezpečení sítě Azure
  • Směrovací tabulky
  • Brány firewall (nebo NAT Gateway)

Další informace najdete v příkladu konfigurace sítě.

Připojení sítě

Pro úspěšné nasazení infrastruktury a instalaci softwaru musí mít síť minimálně odchozí připojení k internetu. Podsítě aplikace a databáze musí být také schopné vzájemně komunikovat.

Pokud připojení k internetu není možné, povolte ip adresy pro následující oblasti:

Pak se ujistěte, že se všechny prostředky ve virtuální síti můžou vzájemně připojovat. Nakonfigurujte například skupinu zabezpečení sítě tak, aby umožňovala prostředkům ve virtuální síti komunikovat nasloucháním na všech portech.

  • Nastavte rozsahy zdrojových portů na *hodnotu .
  • Nastavte rozsahy cílových portů na *hodnotu .
  • Nastavení akce na povolenou

Pokud není možné povolit, aby se prostředky ve virtuální síti vzájemně připojily, povolte připojení mezi podsítěmi aplikace a databáze a otevřete důležité porty SAP ve virtuální síti .

Koncové body Allowlist SUSE nebo Red Hat

Pokud pro virtuální počítače používáte SUSE, zadejte seznam povolených koncových bodů SUSE. Příklad:

  1. Vytvořte virtuální počítač s jakýmkoli operačním systémem pomocí webu Azure Portal nebo pomocí Azure Cloud Shellu. Nebo nainstalujte openSUSE Leap z Microsoft Storu a povolte WSL.
  2. Nainstalujte pip3 spuštěním zypper install python3-pippříkazu .
  3. Nainstalujte balíček pip susepubliccloudinfo spuštěním pip3 install susepubliccloudinfopříkazu .
  4. Seznam IP adres, které se mají nakonfigurovat v síti a bráně firewall, získáte spuštěním pint microsoft servers --json --region příslušného parametru oblasti Azure.
  5. Povolte všechny tyto IP adresy v bráně firewall nebo skupině zabezpečení sítě, ve které plánujete připojit podsítě.

Pokud pro virtuální počítače používáte Red Hat, podle potřeby povolte koncové body Red Hatu. Výchozí seznam povolených adres je globální IP adresy Azure. V závislosti na vašem případu použití může být také potřeba povolit seznam IP adres Azure US Government nebo Azure Germany. Nakonfigurujte všechny IP adresy ze seznamu v bráně firewall nebo skupině zabezpečení sítě, kam chcete připojit podsítě.

Povolit seznam účtů úložiště

Azure Center pro řešení SAP potřebuje přístup k následujícím účtům úložiště, aby se software SAP nainstaloval správně:

  • Účet úložiště, do kterého ukládáte médium SAP, které se vyžaduje během instalace softwaru.
  • Účet úložiště vytvořený službou Azure Center pro řešení SAP ve spravované skupině prostředků, kterou azure Center pro řešení SAP také vlastní a spravuje.

Existuje několik možností, jak povolit přístup k těmto účtům úložiště:

  • Povolit připojení k internetu
  • Konfigurace značky služby Storage
  • Nakonfigurujte značky služby Storage s regionálním oborem. Nezapomeňte nakonfigurovat značky pro oblast Azure, ve které nasazujete infrastrukturu, a kde existuje účet úložiště s médium SAP.
  • Seznam povolených oblastí IP adres Azure

Povolit seznam služby Key Vault

Azure Center pro řešení SAP vytvoří trezor klíčů pro ukládání tajných klíčů a přístup k nim během instalace softwaru. Tento trezor klíčů také ukládá systémové heslo SAP. Pokud chcete povolit přístup k tomuto trezoru klíčů, můžete:

  • Povolit připojení k internetu
  • Konfigurace značky služby AzureKeyVault
  • Nakonfigurujte značku služby AzureKeyVault s regionálním oborem. Nezapomeňte nakonfigurovat značku v oblasti, ve které nasazujete infrastrukturu.

Allowlist Microsoft Entra ID

Azure Center pro řešení SAP používá Id Microsoft Entra k získání ověřovacího tokenu pro získání tajných kódů ze spravovaného trezoru klíčů během instalace SAP. Pokud chcete povolit přístup k Microsoft Entra ID, můžete:

Seznam povolených prostředků Azure Resource Manageru

Azure Center pro řešení SAP používá spravovanou identitu pro instalaci softwaru. Ověřování spravované identity vyžaduje volání koncového bodu Azure Resource Manageru. Pokud chcete povolit přístup k tomuto koncovému bodu, můžete:

Otevření důležitých portů SAP

Pokud nemůžete povolit připojení mezi všemi prostředky ve virtuální síti , jak je popsáno výše, můžete místo toho otevřít důležité porty SAP ve virtuální síti. Tato metoda umožňuje prostředkům ve virtuální síti naslouchat na těchto portech pro účely komunikace. Pokud používáte více než jednu podsíť, tato nastavení také umožňují připojení v rámci podsítí.

Otevřete porty SAP uvedené v následující tabulce. Zástupné hodnoty (xx) v příslušných portech nahraďte číslem instance SAP. Pokud je 01například číslo vaší instance SAP , stane 32xx se 3201.

Služba SAP Rozsah portů Povolit příchozí provoz Povolit odchozí provoz Účel
Agent hostitele 1128, 1129 Ano Yes Port HTTP/S pro agenta hostitele SAP
Web Dispatcher 32xx Ano Yes Komunikace SAPGUI a RFC
Brána 33xx Ano Yes Komunikace RFC.
Brána (zabezpečená) 48xx Ano Yes Komunikace RFC.
Internet Communication Manager (ICM) 80xx, 443xx Ano Yes Komunikace HTTP/S pro SAP Fiori, WEBOVÉ grafické uživatelské rozhraní
Server zpráv 36xx, 81xx, 444xx Yes No Vyrovnávání zatížení; Komunikace ASCS se servery aplikací; přihlášení grafického uživatelského rozhraní; Provoz HTTP/S do a ze serveru zpráv.
Řídicí agent 5xx13, 5xx14 Yes No Zastavte, spusťte a získejte stav systému SAP.
Instalace SAP 4237 Yes No Počáteční instalace SAP
Protokoly HTTP a HTTPS 5xx00, 5xx01 Ano Yes Port serveru HTTP/S
IIOP 5xx02, 5xx03, 5xx07 Ano Yes Port žádosti o služby.
P4 5xx04-6 Ano Yes Port žádosti o služby.
Telnet 5xx08 Yes No Port služby pro správu
Komunikace SQL 3xx13, 3xx15, 3xx40-98 Yes No Databázový komunikační port s aplikací, včetně ABAP nebo podsítě JAVA.
SQL server 1433 Yes No Výchozí port pro MS-SQL v SAP; vyžaduje se pro komunikaci databáze ABAP nebo JAVA.
Modul HANA XS 43xx, 80xx Ano Yes Port požadavku HTTP/S pro webový obsah

Příklad konfigurace sítě

Proces konfigurace pro ukázkovou síť může zahrnovat:

  1. Vytvořte virtuální síť nebo použijte existující virtuální síť.

  2. Ve virtuální síti vytvořte následující podsítě:

    1. Podsíť aplikační vrstvy.

    2. Podsíť databázové vrstvy.

    3. Podsíť pro použití s bránou firewall s názvem Azure FirewallSubnet.

  3. Vytvořte nový prostředek brány firewall:

    1. Připojte bránu firewall k virtuální síti.

    2. Vytvořte pravidlo pro povolení koncových bodů RHEL nebo SUSE. Nezapomeňte povolit všechny zdrojové IP adresy (*), nastavit zdrojový port na Jakýkoli, povolit cílové IP adresy pro RHEL nebo SUSE a nastavit cílový port na Libovolný.

    3. Vytvořte pravidlo, které povolí značky služeb. Nezapomeňte povolit všechny zdrojové IP adresy (*), nastavte cílový typ na značku Služby. Potom povolte značky Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager a Microsoft.AzureActiveDirectory.

  4. Vytvoření prostředku směrovací tabulky:

    1. Přidejte novou trasu typu Virtuální zařízení.

    2. Nastavte IP adresu na IP adresu brány firewall, kterou najdete v přehledu prostředku brány firewall na webu Azure Portal.

  5. Aktualizujte podsítě pro aplikační a databázové vrstvy tak, aby používaly novou směrovací tabulku.

  6. Pokud používáte skupinu zabezpečení sítě s virtuální sítí, přidejte následující příchozí pravidlo. Toto pravidlo poskytuje připojení mezi podsítěmi pro aplikační a databázové vrstvy.

    Priorita Port Protokol Zdroj Cíl Akce
    100 Všechny Všechny virtuální síť virtuální síť Povolit

  7. Pokud místo brány firewall používáte skupinu zabezpečení sítě, přidejte odchozí pravidla pro povolení instalace.

    Priorita Port Protokol Zdroj Cíl Akce
    110 Všechny Všechny Všechny Koncové body SUSE nebo Red Hat Povolit
    115 Všechny Všechny Všechny Azure Resource Manager Povolit
    116 Všechny Všechny Všechny Microsoft Entra ID Povolit
    117 Všechny Všechny Všechny Účty úložiště Povolit
    118 8080 Všechny Všechny Trezor klíčů Povolit
    119 Všechny Všechny Všechny virtuální síť Povolit

Další kroky