Dela via


Förbereda nätverket för infrastrukturdistribution

I den här guiden får du lära dig hur du förbereder ett virtuellt nätverk för att distribuera S/4 HANA-infrastruktur med hjälp av Azure Center för SAP-lösningar. Den här artikeln innehåller allmän vägledning om hur du skapar ett virtuellt nätverk. Din enskilda miljö och användningsfall avgör hur du behöver konfigurera dina egna nätverksinställningar för användning med en virtuell instans för SAP-resurs (VIS).

Om du har ett befintligt nätverk som du är redo att använda med Azure Center för SAP-lösningar går du till distributionsguiden i stället för att följa den här guiden.

Förutsättningar

  • En Azure-prenumeration.
  • Granska kvoterna för din Azure-prenumeration. Om kvoterna är låga kan du behöva skapa en supportbegäran innan du skapar infrastrukturdistributionen. Annars kan det uppstå distributionsfel eller ett otillräckligt kvotfel .
  • Vi rekommenderar att du har flera IP-adresser i undernätet eller undernäten innan du börjar distribuera. Det är till exempel alltid bättre att ha en /26 mask i stället för /29.
  • Namnen som AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet och GatewaySubnet är reserverade namn i Azure. Använd inte dessa som undernätsnamn.
  • Observera sap-programmets prestandastandard (SAPS) och databasens minnesstorlek som du behöver för att azure center för SAP-lösningar ska kunna storleksanpassa DITT SAP-system. Om du inte är säker kan du också välja de virtuella datorerna. Det finns:
    • En enda eller ett kluster med virtuella ASCS-datorer som utgör en enda ASCS-instans i VIS.
    • En enskild eller ett kluster med virtuella databasdatorer, som utgör en enda databasinstans i VIS.
    • En enda virtuell programserverdator som utgör en enda programinstans i VIS. Beroende på antalet programservrar som distribueras eller registreras kan det finnas flera programinstanser.

Skapa nätverk

Du måste skapa ett nätverk för infrastrukturdistributionen i Azure. Skapa nätverket i samma region som du vill distribuera SAP-systemet i.

Några av de nödvändiga nätverkskomponenterna är:

  • Ett virtuellt nätverk
  • Undernät för programservrar och databasservrar. Konfigurationen måste tillåta kommunikation mellan dessa undernät.
  • Azure-nätverkssäkerhetsgrupper
  • Routningstabeller
  • Brandväggar (eller NAT Gateway)

Mer information finns i exemplet på nätverkskonfiguration.

Ansluta nätverk

Nätverket måste minst ha utgående Internetanslutning för en lyckad infrastrukturdistribution och programvaruinstallation. Program- och databasundernäten måste också kunna kommunicera med varandra.

Om det inte går att ansluta till Internet tillåter du att IP-adresserna anges för följande områden:

Kontrollera sedan att alla resurser i det virtuella nätverket kan ansluta till varandra. Konfigurera till exempel en nätverkssäkerhetsgrupp så att resurser i det virtuella nätverket kan kommunicera genom att lyssna på alla portar.

  • Ange källportintervallen till *.
  • Ange målportintervallen till *.
  • Ange åtgärden till Tillåt

Om det inte går att tillåta att resurserna i det virtuella nätverket ansluter till varandra tillåter du anslutningar mellan program- och databasundernäten och öppnar viktiga SAP-portar i det virtuella nätverket i stället.

Tillåtlista SUSE- eller Red Hat-slutpunkter

Om du använder SUSE för de virtuella datorerna tillåter du att SUSE-slutpunkterna listas. Till exempel:

  1. Skapa en virtuell dator med valfritt operativsystem med hjälp av Azure Portal eller med Hjälp av Azure Cloud Shell. Eller installera openSUSE Leap från Microsoft Store och aktivera WSL.
  2. Installera pip3 genom att köra zypper install python3-pip.
  3. Installera pip-paketet susepubliccloudinfo genom att köra pip3 install susepubliccloudinfo.
  4. Hämta en lista över IP-adresser som ska konfigureras i nätverket och brandväggen genom att köra pint microsoft servers --json --region med lämplig Azure-regionparameter.
  5. Tillåtlist alla dessa IP-adresser i brandväggen eller nätverkssäkerhetsgruppen där du planerar att koppla undernäten.

Om du använder Red Hat för de virtuella datorerna tillåter du att Red Hat-slutpunkterna listas efter behov. Standardlistan för tillåtna är azures globala IP-adresser. Beroende på ditt användningsfall kan du också behöva tillåtalistning av IP-adresser för Azure US Government eller Azure Germany. Konfigurera alla IP-adresser från listan i brandväggen eller nätverkssäkerhetsgruppen där du vill koppla undernäten.

Tillåtlista lagringskonton

Azure Center for SAP-lösningar behöver åtkomst till följande lagringskonton för att installera SAP-programvara korrekt:

  • Lagringskontot där du lagrar SAP-media som krävs under programvaruinstallationen.
  • Lagringskontot som skapats av Azure Center för SAP-lösningar i en hanterad resursgrupp, som Även Azure Center for SAP-lösningar äger och hanterar.

Det finns flera alternativ för att tillåta åtkomst till dessa lagringskonton:

  • Tillåt internetanslutning
  • Konfigurera en lagringstjänsttagg
  • Konfigurera lagringstjänsttaggar med regionalt omfång. Se till att konfigurera taggar för Azure-regionen där du distribuerar infrastrukturen och var lagringskontot med SAP-mediet finns.
  • Tillåtlistning av de regionala Azure IP-intervallen.

Allowlist Key Vault

Azure Center for SAP-lösningar skapar ett nyckelvalv för att lagra och komma åt de hemliga nycklarna under programvaruinstallationen. Det här nyckelvalvet lagrar även SAP-systemlösenordet. Om du vill tillåta åtkomst till det här nyckelvalvet kan du:

Tillåtlistning av Microsoft Entra-ID

Azure Center for SAP-lösningar använder Microsoft Entra-ID för att hämta autentiseringstoken för att hämta hemligheter från ett hanterat nyckelvalv under SAP-installationen. Om du vill tillåta åtkomst till Microsoft Entra-ID kan du:

Tillåtlista Azure Resource Manager

Azure Center för SAP-lösningar använder en hanterad identitet för programvaruinstallation. Hanterad identitetsautentisering kräver ett anrop till Azure Resource Manager-slutpunkten. Om du vill tillåta åtkomst till den här slutpunkten kan du:

Öppna viktiga SAP-portar

Om du inte kan tillåta anslutning mellan alla resurser i det virtuella nätverket enligt föregående beskrivning kan du öppna viktiga SAP-portar i det virtuella nätverket i stället. Med den här metoden kan resurser i det virtuella nätverket lyssna på dessa portar i kommunikationssyfte. Om du använder mer än ett undernät tillåter de här inställningarna även anslutning i undernäten.

Öppna SAP-portarna som visas i följande tabell. Ersätt platshållarvärdena (xx) i tillämpliga portar med ditt SAP-instansnummer. Om ditt SAP-instansnummer till exempel är 01blir 3201det 32xx .

SAP-tjänst Portintervall Tillåt inkommande trafik Tillåt utgående trafik Syfte
Värdagent 1128, 1129 Ja Ja HTTP/S-port för SAP-värdagenten.
Web Dispatcher 32xx Ja Ja SAPGUI- och RFC-kommunikation.
Gateway 33xx Ja Ja RFC-kommunikation.
Gateway (skyddad) 48xx Ja Ja RFC-kommunikation.
Internet Communication Manager (ICM) 80xx, 443xx Ja Ja HTTP/S-kommunikation för SAP Fiori, WEBB-GUI
Meddelandeserver 36xx, 81xx, 444xx Ja Nej Belastningsutjämning; ASCS till appservrar kommunikation; GUI-inloggning; HTTP/S-trafik till och från meddelandeservern.
Kontrollagent 5xx13, 5xx14 Ja Nej Stoppa, starta och hämta status för SAP-systemet.
SAP-installation 4237 Ja Nej Inledande SAP-installation.
HTTP och HTTPS 5xx00, 5xx01 Ja Ja HTTP/S-serverport.
IIOP 5xx02, 5xx03, 5xx07 Ja Ja Port för tjänstbegäran.
P4 5xx04-6 Ja Ja Port för tjänstbegäran.
Telnet 5xx08 Ja Nej Tjänstport för hantering.
SQL-kommunikation 3xx13, 3xx15, 3xx40-98 Ja Nej Databaskommunikationsport med program, inklusive ABAP eller JAVA-undernät.
SQL server 1433 Ja Nej Standardport för MS-SQL i SAP; krävs för ABAP- eller JAVA-databaskommunikation.
HANA XS-motor 43xx, 80xx Ja Ja HTTP/S-begärandeport för webbinnehåll.

Exempel på nätverkskonfiguration

Konfigurationsprocessen för ett exempelnätverk kan innehålla:

  1. Skapa ett virtuellt nätverk eller använd ett befintligt virtuellt nätverk.

  2. Skapa följande undernät i det virtuella nätverket:

    1. Ett undernät på programnivå.

    2. Ett undernät på databasnivå.

    3. Ett undernät som ska användas med brandväggen med namnet Azure FirewallSubnet.

  3. Skapa en ny brandväggsresurs:

    1. Koppla brandväggen till det virtuella nätverket.

    2. Skapa en regel för att tillåta RHEL- eller SUSE-slutpunkter. Se till att tillåta alla käll-IP-adresser (*), ange källporten till Alla, tillåt mål-IP-adresser för RHEL eller SUSE och ange målporten till Alla.

    3. Skapa en regel för att tillåta tjänsttaggar. Se till att tillåta alla käll-IP-adresser (*), ange måltypen till Tjänsttagg. Tillåt sedan taggarna Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager och Microsoft.AzureActiveDirectory.

  4. Skapa en routningstabellresurs:

    1. Lägg till en ny väg av typen Virtuell installation.

    2. Ange IP-adressen till brandväggens IP-adress, som du hittar i översikten över brandväggsresursen i Azure Portal.

  5. Uppdatera undernäten för program- och databasnivåerna så att de använder den nya routningstabellen.

  6. Om du använder en nätverkssäkerhetsgrupp med det virtuella nätverket lägger du till följande regel för inkommande trafik. Den här regeln ger anslutning mellan undernäten för program- och databasnivåerna.

    Prioritet Port Protokoll Källa Mål Action
    100 Valfri Valfri virtuellt nätverk virtuellt nätverk Tillåt
  7. Om du använder en nätverkssäkerhetsgrupp i stället för en brandvägg lägger du till regler för utgående trafik för att tillåta installation.

    Prioritet Port Protokoll Källa Mål Action
    110 Valfri Valfri Valfri SUSE- eller Red Hat-slutpunkter Tillåt
    115 Valfri Valfri Valfri Azure Resource Manager Tillåt
    116 Valfri Valfri Valfri Microsoft Entra ID Tillåt
    117 Valfri Valfri Valfri Lagringskonton Tillåt
    118 8080 Valfri Valfri Key Vault Tillåt
    119 Valfri Valfri Valfri virtuellt nätverk Tillåt

Nästa steg