Preparare la rete per la distribuzione dell'infrastruttura
Questa guida pratica illustra come preparare una rete virtuale per distribuire l'infrastruttura S/4 HANA usando Centro di Azure per soluzioni SAP. Questo articolo fornisce indicazioni generali sulla creazione di una rete virtuale. Il singolo ambiente e il caso d'uso determineranno come è necessario configurare le proprie impostazioni di rete per l'uso con una risorsa Istanza virtuale per SAP (VIS).
Se si dispone di una rete esistente che si è pronti per l'uso con Centro di Azure per soluzioni SAP, passare alla guida alla distribuzione anziché seguire questa guida.
Prerequisiti
- Una sottoscrizione di Azure.
- Esaminare le quote per la sottoscrizione di Azure. Se le quote sono basse, potrebbe essere necessario creare una richiesta di supporto prima di creare la distribuzione dell'infrastruttura. In caso contrario, potrebbero verificarsi errori di distribuzione o un errore di Quota insufficiente.
- È consigliabile avere più indirizzi IP nella subnet o nelle subnet prima di iniziare la distribuzione. Ad esempio, è sempre meglio avere una maschera
/26anziché/29. - I nomi che includono AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet e GatewaySubnet sono nomi riservati all'interno di Azure. Non usarli come nomi di subnet.
- Tenere presente il SAP Application Performance Standard (SAPS) e le dimensioni della memoria del database necessarie per consentire a Centro di Azure per soluzioni SAP di ridimensionare il sistema SAP. Se non si è certi, è anche possibile selezionare le macchine virtuali. ovvero:
- Un singolo cluster o di macchine virtuali ASCS, che costituiscono una singola istanza ASCS nel VIS.
- Un singolo cluster o di macchine virtuali di database, che costituiscono una singola istanza di database nel VIS.
- Una singola macchina virtuale del server applicazioni, che costituisce una singola istanza dell'applicazione nel VIS. A seconda del numero di server applicazioni da distribuire o registrare, possono essere presenti più istanze dell'applicazione.
Creare una rete
È necessario creare una rete per la distribuzione dell'infrastruttura in Azure. Assicurarsi di creare la rete nella stessa area in cui si vuole distribuire il sistema SAP.
Alcuni dei componenti di rete necessari sono:
- Una rete virtuale
- Subnet per server applicazioni e server di database. La configurazione deve consentire la comunicazione tra queste subnet.
- Gruppi di sicurezza di rete di Azure
- Tabelle di route
- Firewall (o gateway NAT)
Per altre informazioni, vedere l'esempio di configurazione di rete.
Connettere la rete
Per la corretta distribuzione dell'infrastruttura e installazione del software, la rete deve avere almeno connettività Internet in uscita. Anche le subnet dell'applicazione e del database devono essere in grado di comunicare tra loro.
Se la connettività Internet non è possibile, consente di elencare gli indirizzi IP per le aree seguenti:
- Endpoint SUSE o Red Hat
- Account di Archiviazione di Azure
- Aggiungere Azure Key Vault all'elenco elementi consentiti
- Aggiungere Microsoft Entra ID all'elenco elementi consentiti
- Aggiungere Azure Resource Manager all'elenco elementi consentiti
Assicurarsi quindi che tutte le risorse all'interno della rete virtuale possano connettersi tra loro. Ad esempio, configurare un gruppo di sicurezza di rete per consentire alle risorse all'interno della rete virtuale di comunicare ascoltando su tutte le porte.
- Impostare gli intervalli di porte di origine su *.
- Impostare gli intervalli di porte di destinazione su *.
- Impostare l'Azione su Consenti
Se non è possibile consentire alle risorse all'interno della rete virtuale di connettersi tra loro, consentire le connessioni tra le subnet dell'applicazione e del database e aprire porte SAP importanti nella rete virtuale.
Endpoint SUSE o Red Hat consentiti
Se si usa SUSE per le macchine virtuali, consentire gli endpoint SUSE. Ad esempio:
- Creare una macchina virtuale con qualsiasi sistema operativo che usa il portale di Azure o usa Azure Cloud Shell. In alternativa, installare openSUSE Leap da Microsoft Store e abilitare WSL.
- Installare pip3 eseguendo
zypper install python3-pip. - Installare il pacchetto pip susepubliccloudinfo eseguendo
pip3 install susepubliccloudinfo. - Ottenere un elenco di indirizzi IP da configurare nella rete e nel firewall eseguendo
pint microsoft servers --json --regioncon il parametro dell'area di Azure appropriato. - Consenti tutti questi indirizzi IP nel firewall o nel gruppo di sicurezza di rete in cui si prevede di collegare le subnet.
Se si usa Red Hat per le macchine virtuali, consentire gli endpoint Red Hat in base alle esigenze. L'elenco di indirizzi consentiti predefinito è costituito dagli indirizzi IP globali di Azure. A seconda del caso d'uso, potrebbe anche essere necessario consentire gli indirizzi IP di Azure US Government o Azure Germania. Configurare tutti gli indirizzi IP dall'elenco nel firewall o nel gruppo di sicurezza di rete in cui si vogliono collegare le subnet.
Aggiungere account di archiviazione all'elenco elementi consentiti
Centro di Azure per soluzioni SAP deve accedere agli account di archiviazione seguenti per installare correttamente il software SAP:
- Account di archiviazione in cui si archiviano i supporti SAP necessari durante l'installazione del software.
- L'account di archiviazione creato dal Centro di Azure per soluzioni SAP in un gruppo di risorse gestite, che il Centro di Azure per le soluzioni SAP possiede e gestisce.
Sono disponibili più opzioni per consentire l'accesso a questi account di archiviazione:
- Consentire la connettività Internet
- Configurare un tag del servizio di archiviazione
- Configurare tag del servizio di archiviazione con ambito a livello di area. Assicurarsi di configurare i tag per l'area di Azure in cui si distribuisce l'infrastruttura e dove è presente l'account di archiviazione con il supporto SAP.
- Consenti l'elenco degli intervalli IP di Azure a livello di area.
Aggiungere Key Vault all'elenco elementi consentiti
Centro di Azure per soluzioni SAP crea un insieme di credenziali delle chiavi per archiviare e accedere alle chiavi segrete durante l'installazione del software. Questo insieme di credenziali delle chiavi archivia anche la password del sistema SAP. Per consentire l'accesso a questo insieme di credenziali delle chiavi, è possibile:
- Consentire la connettività Internet
- Configurare un tag del servizio AzureKeyVault
- Configurare un tag del servizio AzureKeyVault con ambito a livello di area. Assicurarsi di configurare il tag nell'area in cui si distribuisce l'infrastruttura.
Aggiungere Microsoft Entra ID all'elenco elementi consentiti
Centro di Azure per soluzioni SAP usa l'ID Microsoft Entra per ottenere il token di autenticazione per ottenere i segreti da un insieme di credenziali delle chiavi gestito durante l'installazione di SAP. Per consentire l'accesso a Microsoft Entra ID, è possibile:
- Consentire la connettività Internet
- Configurare un tag del servizio AzureActiveDirectory.
Aggiungere Azure Resource Manager all'elenco elementi consentiti
Centro di Azure per soluzioni SAP usa un'identità gestita per l'installazione del software. L'autenticazione dell'identità gestita richiede una chiamata all'endpoint di Azure Resource Manager. Per consentire l'accesso a questo endpoint, è possibile:
- Consentire la connettività Internet
- Configurare un tag del servizio AzureResourceManager.
Aprire porte SAP importanti
Se non è possibile consentire la connessione tra tutte le risorse nella rete virtuale come descritto in precedenza, è possibile aprire porte SAP importanti nella rete virtuale. Questo metodo consente alle risorse all'interno della rete virtuale di restare in ascolto su queste porte a scopo di comunicazione. Se si usano più subnet, queste impostazioni consentono anche la connettività all'interno delle subnet.
Aprire le porte SAP elencate nella tabella seguente. Sostituire i valori segnaposto (xx) nelle porte applicabili con il numero di istanza SAP. Ad esempio, se il numero di istanza SAP è 01, 32xx diventa 3201.
| Servizio SAP | Intervallo di porte | Consenti traffico in ingresso | Consenti traffico in uscita | Scopo |
|---|---|---|---|---|
| Agente host | 1128, 1129 | Sì | Sì | Porta HTTP/S per l'agente host SAP. |
| Web Dispatcher | 32xx | Sì | Sì | Comunicazione SAPGUI e RFC. |
| Gateway | 33xx | Sì | Sì | Comunicazione RFC. |
| Gateway (protetto) | 48xx | Sì | Sì | Comunicazione RFC. |
| Internet Communication Manager (ICM) | 80xx, 443xx | Sì | Sì | Comunicazione HTTP/S per SAP Fiori, GUI WEB |
| Server messaggi | 36xx, 81xx, 444xx | Sì | No | Bilanciamento del carico; comunicazione da ASCS a server app; accesso con interfaccia utente grafica; traffico HTTP/S da e verso il server messaggi. |
| Agente di controllo | 5xx13, 5xx14 | Sì | No | Arrestare, avviare e ottenere lo stato del sistema SAP. |
| Installazione di SAP | 4237 | Sì | No | Installazione iniziale di SAP. |
| HTTP e HTTPS | 5xx00, 5xx01 | Sì | Sì | Porta del server HTTP/S. |
| IIOP | 5xx02, 5xx03, 5xx07 | Sì | Sì | Porta della richiesta di servizio. |
| P4 | 5xx04-6 | Sì | Sì | Porta della richiesta di servizio. |
| Telnet | 5xx08 | Sì | No | Porta del servizio per la gestione. |
| Comunicazione SQL | 3xx13, 3xx15, 3xx40-98 | Sì | No | Porta di comunicazione del database con l'applicazione, inclusa la subnet ABAP o JAVA. |
| SQL server | 1433 | Sì | No | Porta predefinita per MS-SQL in SAP; obbligatorio per la comunicazione tra database ABAP o JAVA. |
| Motore XS HANA | 43xx, 80xx | Sì | Sì | Porta di richiesta HTTP/S per il contenuto Web. |
Configurazione di rete di esempio
Il processo di configurazione per una rete di esempio può includere:
Creare una rete virtuale o usare una rete virtuale esistente.
Creare le subnet seguenti all'interno della rete virtuale:
Una subnet del livello applicazione.
Una subnet del livello di database.
Una subnet da usare con il firewall, denominata Subnet del Firewall di Azure.
Creare una nuova risorsa firewall:
Collegare il firewall alla rete virtuale.
Creare una regola per consentire gli endpoint RHEL o SUSE. Assicurarsi di consentire tutti gli indirizzi IP di origine (
*), impostare la porta di origine su Any, consentire gli indirizzi IP di destinazione per RHEL o SUSE e impostare la porta di destinazione su Any.Creare una regola per consentire i tag del servizio. Assicurarsi di consentire tutti gli indirizzi IP di origine (
*), impostare il tipo di destinazione su tag del servizio. Consentire quindi i tag Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager e Microsoft.AzureActiveDirectory.
Creare una risorsa tabella di route:
Aggiungere una nuova route del tipo Appliance virtuale.
Impostare l'indirizzo IP sull'indirizzo IP del firewall, disponibile nella panoramica della risorsa firewall nel portale di Azure.
Aggiornare le subnet per i livelli dell'applicazione e del database per usare la nuova tabella di route.
Se si usa un gruppo di sicurezza di rete con la rete virtuale, aggiungere la regola in ingresso seguente. Questa regola fornisce la connettività tra le subnet per i livelli dell'applicazione e del database.
Priorità Porta Protocollo Source (Sorgente) Destination Azione 100 Qualsiasi Qualsiasi rete virtuale rete virtuale Consenti Se si usa un gruppo di sicurezza di rete anziché un firewall, aggiungere regole in uscita per consentire l'installazione.
Priorità Porta Protocollo Source (Sorgente) Destination Azione 110 Qualsiasi Qualsiasi Qualsiasi Endpoint SUSE o Red Hat Consenti 115 Qualsiasi Qualsiasi Qualsiasi Azure Resource Manager Consenti 116 Qualsiasi Qualsiasi Qualsiasi Microsoft Entra ID Consenti 117 Qualsiasi Qualsiasi Qualsiasi Account di archiviazione Consenti 118 8080 Qualsiasi Qualsiasi Key vault Consenti 119 Qualsiasi Qualsiasi Qualsiasi rete virtuale Consenti