Förbereda nätverket för infrastrukturdistribution
I den här guiden får du lära dig hur du förbereder ett virtuellt nätverk för att distribuera S/4 HANA-infrastruktur med hjälp av Azure Center för SAP-lösningar. Den här artikeln innehåller allmän vägledning om hur du skapar ett virtuellt nätverk. Din enskilda miljö och användningsfall avgör hur du behöver konfigurera dina egna nätverksinställningar för användning med en virtuell instans för SAP-resurs (VIS).
Om du har ett befintligt nätverk som du är redo att använda med Azure Center för SAP-lösningar går du till distributionsguiden i stället för att följa den här guiden.
Förutsättningar
- En Azure-prenumeration.
- Granska kvoterna för din Azure-prenumeration. Om kvoterna är låga kan du behöva skapa en supportbegäran innan du skapar infrastrukturdistributionen. Annars kan det uppstå distributionsfel eller ett otillräckligt kvotfel .
- Vi rekommenderar att du har flera IP-adresser i undernätet eller undernäten innan du börjar distribuera. Det är till exempel alltid bättre att ha en
/26
mask i stället för/29
. - Namnen som AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet och GatewaySubnet är reserverade namn i Azure. Använd inte dessa som undernätsnamn.
- Observera sap-programmets prestandastandard (SAPS) och databasens minnesstorlek som du behöver för att azure center för SAP-lösningar ska kunna storleksanpassa DITT SAP-system. Om du inte är säker kan du också välja de virtuella datorerna. Det finns:
- En enda eller ett kluster med virtuella ASCS-datorer som utgör en enda ASCS-instans i VIS.
- En enskild eller ett kluster med virtuella databasdatorer, som utgör en enda databasinstans i VIS.
- En enda virtuell programserverdator som utgör en enda programinstans i VIS. Beroende på antalet programservrar som distribueras eller registreras kan det finnas flera programinstanser.
Skapa nätverk
Du måste skapa ett nätverk för infrastrukturdistributionen i Azure. Skapa nätverket i samma region som du vill distribuera SAP-systemet i.
Några av de nödvändiga nätverkskomponenterna är:
- Ett virtuellt nätverk
- Undernät för programservrar och databasservrar. Konfigurationen måste tillåta kommunikation mellan dessa undernät.
- Azure-nätverkssäkerhetsgrupper
- Routningstabeller
- Brandväggar (eller NAT Gateway)
Mer information finns i exemplet på nätverkskonfiguration.
Ansluta nätverk
Nätverket måste minst ha utgående Internetanslutning för en lyckad infrastrukturdistribution och programvaruinstallation. Program- och databasundernäten måste också kunna kommunicera med varandra.
Om det inte går att ansluta till Internet tillåter du att IP-adresserna anges för följande områden:
- SUSE- eller Red Hat-slutpunkter
- Azure Storage-konton
- Tillåtlista Azure Key Vault
- Tillåtlistning av Microsoft Entra-ID
- Tillåtlista Azure Resource Manager
Kontrollera sedan att alla resurser i det virtuella nätverket kan ansluta till varandra. Konfigurera till exempel en nätverkssäkerhetsgrupp så att resurser i det virtuella nätverket kan kommunicera genom att lyssna på alla portar.
- Ange källportintervallen till *.
- Ange målportintervallen till *.
- Ange åtgärden till Tillåt
Om det inte går att tillåta att resurserna i det virtuella nätverket ansluter till varandra tillåter du anslutningar mellan program- och databasundernäten och öppnar viktiga SAP-portar i det virtuella nätverket i stället.
Tillåtlista SUSE- eller Red Hat-slutpunkter
Om du använder SUSE för de virtuella datorerna tillåter du att SUSE-slutpunkterna listas. Till exempel:
- Skapa en virtuell dator med valfritt operativsystem med hjälp av Azure Portal eller med Hjälp av Azure Cloud Shell. Eller installera openSUSE Leap från Microsoft Store och aktivera WSL.
- Installera pip3 genom att köra
zypper install python3-pip
. - Installera pip-paketet susepubliccloudinfo genom att köra
pip3 install susepubliccloudinfo
. - Hämta en lista över IP-adresser som ska konfigureras i nätverket och brandväggen genom att köra
pint microsoft servers --json --region
med lämplig Azure-regionparameter. - Tillåtlist alla dessa IP-adresser i brandväggen eller nätverkssäkerhetsgruppen där du planerar att koppla undernäten.
Om du använder Red Hat för de virtuella datorerna tillåter du att Red Hat-slutpunkterna listas efter behov. Standardlistan för tillåtna är azures globala IP-adresser. Beroende på ditt användningsfall kan du också behöva tillåtalistning av IP-adresser för Azure US Government eller Azure Germany. Konfigurera alla IP-adresser från listan i brandväggen eller nätverkssäkerhetsgruppen där du vill koppla undernäten.
Tillåtlista lagringskonton
Azure Center for SAP-lösningar behöver åtkomst till följande lagringskonton för att installera SAP-programvara korrekt:
- Lagringskontot där du lagrar SAP-media som krävs under programvaruinstallationen.
- Lagringskontot som skapats av Azure Center för SAP-lösningar i en hanterad resursgrupp, som Även Azure Center for SAP-lösningar äger och hanterar.
Det finns flera alternativ för att tillåta åtkomst till dessa lagringskonton:
- Tillåt internetanslutning
- Konfigurera en lagringstjänsttagg
- Konfigurera lagringstjänsttaggar med regionalt omfång. Se till att konfigurera taggar för Azure-regionen där du distribuerar infrastrukturen och var lagringskontot med SAP-mediet finns.
- Tillåtlistning av de regionala Azure IP-intervallen.
Allowlist Key Vault
Azure Center for SAP-lösningar skapar ett nyckelvalv för att lagra och komma åt de hemliga nycklarna under programvaruinstallationen. Det här nyckelvalvet lagrar även SAP-systemlösenordet. Om du vill tillåta åtkomst till det här nyckelvalvet kan du:
- Tillåt internetanslutning
- Konfigurera en AzureKeyVault-tjänsttagg
- Konfigurera en AzureKeyVault-tjänsttagg med regionalt omfång. Se till att konfigurera taggen i den region där du distribuerar infrastrukturen.
Tillåtlistning av Microsoft Entra-ID
Azure Center for SAP-lösningar använder Microsoft Entra-ID för att hämta autentiseringstoken för att hämta hemligheter från ett hanterat nyckelvalv under SAP-installationen. Om du vill tillåta åtkomst till Microsoft Entra-ID kan du:
- Tillåt internetanslutning
- Konfigurera en AzureActiveDirectory-tjänsttagg.
Tillåtlista Azure Resource Manager
Azure Center för SAP-lösningar använder en hanterad identitet för programvaruinstallation. Hanterad identitetsautentisering kräver ett anrop till Azure Resource Manager-slutpunkten. Om du vill tillåta åtkomst till den här slutpunkten kan du:
- Tillåt internetanslutning
- Konfigurera en AzureResourceManager-tjänsttagg.
Öppna viktiga SAP-portar
Om du inte kan tillåta anslutning mellan alla resurser i det virtuella nätverket enligt föregående beskrivning kan du öppna viktiga SAP-portar i det virtuella nätverket i stället. Med den här metoden kan resurser i det virtuella nätverket lyssna på dessa portar i kommunikationssyfte. Om du använder mer än ett undernät tillåter de här inställningarna även anslutning i undernäten.
Öppna SAP-portarna som visas i följande tabell. Ersätt platshållarvärdena (xx
) i tillämpliga portar med ditt SAP-instansnummer. Om ditt SAP-instansnummer till exempel är 01
blir 3201
det 32xx
.
SAP-tjänst | Portintervall | Tillåt inkommande trafik | Tillåt utgående trafik | Syfte |
---|---|---|---|---|
Värdagent | 1128, 1129 | Ja | Ja | HTTP/S-port för SAP-värdagenten. |
Web Dispatcher | 32xx | Ja | Ja | SAPGUI- och RFC-kommunikation. |
Gateway | 33xx | Ja | Ja | RFC-kommunikation. |
Gateway (skyddad) | 48xx | Ja | Ja | RFC-kommunikation. |
Internet Communication Manager (ICM) | 80xx, 443xx | Ja | Ja | HTTP/S-kommunikation för SAP Fiori, WEBB-GUI |
Meddelandeserver | 36xx, 81xx, 444xx | Ja | Nej | Belastningsutjämning; ASCS till appservrar kommunikation; GUI-inloggning; HTTP/S-trafik till och från meddelandeservern. |
Kontrollagent | 5xx13, 5xx14 | Ja | Nej | Stoppa, starta och hämta status för SAP-systemet. |
SAP-installation | 4237 | Ja | Nej | Inledande SAP-installation. |
HTTP och HTTPS | 5xx00, 5xx01 | Ja | Ja | HTTP/S-serverport. |
IIOP | 5xx02, 5xx03, 5xx07 | Ja | Ja | Port för tjänstbegäran. |
P4 | 5xx04-6 | Ja | Ja | Port för tjänstbegäran. |
Telnet | 5xx08 | Ja | Nej | Tjänstport för hantering. |
SQL-kommunikation | 3xx13, 3xx15, 3xx40-98 | Ja | Nej | Databaskommunikationsport med program, inklusive ABAP eller JAVA-undernät. |
SQL server | 1433 | Ja | Nej | Standardport för MS-SQL i SAP; krävs för ABAP- eller JAVA-databaskommunikation. |
HANA XS-motor | 43xx, 80xx | Ja | Ja | HTTP/S-begärandeport för webbinnehåll. |
Exempel på nätverkskonfiguration
Konfigurationsprocessen för ett exempelnätverk kan innehålla:
Skapa ett virtuellt nätverk eller använd ett befintligt virtuellt nätverk.
Skapa följande undernät i det virtuella nätverket:
Ett undernät på programnivå.
Ett undernät på databasnivå.
Ett undernät som ska användas med brandväggen med namnet Azure FirewallSubnet.
Skapa en ny brandväggsresurs:
Koppla brandväggen till det virtuella nätverket.
Skapa en regel för att tillåta RHEL- eller SUSE-slutpunkter. Se till att tillåta alla käll-IP-adresser (
*
), ange källporten till Alla, tillåt mål-IP-adresser för RHEL eller SUSE och ange målporten till Alla.Skapa en regel för att tillåta tjänsttaggar. Se till att tillåta alla käll-IP-adresser (
*
), ange måltypen till Tjänsttagg. Tillåt sedan taggarna Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager och Microsoft.AzureActiveDirectory.
Skapa en routningstabellresurs:
Lägg till en ny väg av typen Virtuell installation.
Ange IP-adressen till brandväggens IP-adress, som du hittar i översikten över brandväggsresursen i Azure Portal.
Uppdatera undernäten för program- och databasnivåerna så att de använder den nya routningstabellen.
Om du använder en nätverkssäkerhetsgrupp med det virtuella nätverket lägger du till följande regel för inkommande trafik. Den här regeln ger anslutning mellan undernäten för program- och databasnivåerna.
Prioritet Port Protokoll Källa Mål Action 100 Valfri Valfri virtuellt nätverk virtuellt nätverk Tillåt Om du använder en nätverkssäkerhetsgrupp i stället för en brandvägg lägger du till regler för utgående trafik för att tillåta installation.
Prioritet Port Protokoll Källa Mål Action 110 Valfri Valfri Valfri SUSE- eller Red Hat-slutpunkter Tillåt 115 Valfri Valfri Valfri Azure Resource Manager Tillåt 116 Valfri Valfri Valfri Microsoft Entra ID Tillåt 117 Valfri Valfri Valfri Lagringskonton Tillåt 118 8080 Valfri Valfri Key Vault Tillåt 119 Valfri Valfri Valfri virtuellt nätverk Tillåt