你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为基础结构部署准备网络
在本操作指南中,你将了解如何使用 Azure SAP 解决方案中心准备虚拟网络以部署 S/4 HANA 基础结构。 本文提供有关创建虚拟网络的一般指导。 你的个人环境和用例将决定你需要如何配置自己的网络设置以与 SAP 虚拟实例 (VIS) 资源一起使用。
如果已有可与 Azure SAP 解决方案中心一起使用的现有网络,请转至部署指南,而不是遵循本指南。
先决条件
- Azure 订阅。
- 查看 Azure 订阅的配额。 如果配额较低,可能需要在创建基础结构部署之前创建支持请求。 否则,可能会遇到部署失败或配额不足错误。
- 建议在开始部署之前在一个或多个子网中具有多个 IP 地址。 例如,使用
/26掩码始终比使用/29更好。 - AzureFirewallSubnet、AzureFirewallManagementSubnet、AzureBastionSubnet 和 GatewaySubnet 等名称在 Azure 中为保留名称。 请不要使用这些名称作为子网名称。
- 请注意允许 Azure SAP 解决方案中心调整 SAP 系统大小所需的 SAP 应用程序性能标准 (SAPS) 和数据库内存大小。 如果不确定,还可以选择 VM。 分别是:
- 单个或一组 ASCS VM,它们构成 VIS 中的单个 ASCS 实例。
- 单个或一组数据库 VM,它们构成 VIS 中的单个数据库实例。
- 单个应用程序服务器 VM,它构成 VIS 中的单个应用程序实例。 根据要部署或注册的应用程序服务器数,可以有多个应用程序实例。
创建网络
必须在 Azure 上为基础结构部署创建网络。 请确保在要部署 SAP 系统的同一区域中创建网络。
一些必需的网络组件包括:
- 虚拟网络
- 应用程序服务器和数据库服务器的子网。 配置需要允许这些子网之间的通信。
- Azure 网络安全组
- 路由表
- 防火墙(或 NAT 网关)
有关详细信息,请参阅示例网络配置。
连接网络
网络至少需要具有出站 Internet 连接才能成功部署基础结构和安装软件。 应用程序和数据库子网还需要能够相互通信。
如果无法建立 Internet 连接,请将以下区域的 IP 地址加入允许列表:
然后,确保虚拟网络中的所有资源都可以相互连接。 例如,配置网络安全组以允许虚拟网络中的资源通过侦听所有端口进行通信。
- 将“源端口范围”设置为 *。
- 将“目标端口范围”设置为 *。
- 将“操作”设置为“允许”
如果无法允许虚拟网络中的资源相互连接,请允许应用程序和数据库子网之间的连接,并改为打开虚拟网络中的重要 SAP 端口。
将 SUSE 或 Red Hat 终结点加入允许列表
如果将 SUSE 用于 VM,请将 SUSE 终结点加入允许列表。 例如:
- 使用 Azure 门户或使用 Azure Cloud Shell 创建具有任何操作系统的 VM。 或者,从 Microsoft Store 安装 openSUSE Leap 并启用 WSL。
- 通过运行
zypper install python3-pip安装 pip3。 - 通过运行
pip3 install susepubliccloudinfo安装 pip 包 susepubliccloudinfo。 - 通过使用相应的 Azure 区域参数运行
pint microsoft servers --json --region,获取要在网络和防火墙中配置的 IP 地址列表。 - 在计划附加子网的防火墙或网络安全组上将所有这些 IP 地址加入允许列表。
如果将 Red Hat 用于 VM,请根据需要将 Red Hat 终结点加入允许列表。 默认允许列表是 Azure 全局 IP 地址。 根据用例,可能还需要将 Azure US Government 或 Azure 德国 IP 地址加入允许列表。 在要附加子网的防火墙或网络安全组上配置列表中的所有 IP 地址。
将存储帐户加入允许列表
Azure SAP 解决方案中心需要访问以下存储帐户才能正确安装 SAP 软件:
- 存储软件安装期间所需的 SAP 媒体的存储帐户。
- 受管理资源组中由 Azure SAP 解决方案中心创建的存储帐户,也属 Azure SAP 解决方案中心所有并管理。
有多个选项可用于访问这些存储帐户:
- 允许 Internet 连接
- 配置存储服务标记
- 使用区域范围配置存储服务标记。 确保为要在其中部署基础结构的 Azure 区域以及 SAP 媒体的存储帐户所在的 Azure 区域配置标记。
- 将区域 Azure IP 范围加入允许列表。
将密钥保管库加入允许列表
Azure SAP 解决方案中心创建密钥保管库,用于在软件安装过程中存储和访问密钥。 此密钥保管库还存储 SAP 系统密码。 若要允许访问此密钥保管库,可以:
- 允许 Internet 连接
- 配置 AzureKeyVault 服务标记
- 使用区域范围配置 AzureKeyVault 服务标记。 请确保在部署基础结构的区域配置标记。
Microsoft Entra ID 允许列表
Azure SAP 解决方案中心使用 Microsoft Entra ID 获取身份验证令牌,以便在 SAP 安装期间从托管密钥保管库获取机密。 若要允许访问 Microsoft Entra ID,可以:
- 允许 Internet 连接
- 配置 AzureActiveDirectory 服务标记。
将 Azure 资源管理器加入允许列表
Azure SAP 解决方案中心将托管标识用于软件安装。 托管标识身份验证需要调用 Azure 资源管理器终结点。 若要允许访问此终结点,可以:
- 允许 Internet 连接
- 配置 AzureResourceManager 服务标记。
打开重要的 SAP 端口
如果无法如前所述允许虚拟网络中所有资源之间的连接,则可以改为在虚拟网络中打开重要的 SAP 端口。 此方法允许虚拟网络中的资源出于通信目的侦听这些端口。 如果使用的是多个子网,这些设置还允许在子网内建立连接。
打开下表中列出的 SAP 端口。 将适用端口中的占位符值 (xx) 替换为 SAP 实例编号。 例如,如果 SAP 实例编号为 01,则 32xx 变为 3201。
| SAP 服务 | 端口范围 | 允许传入流量 | 允许传出流量 | 目的 |
|---|---|---|---|---|
| 主机代理 | 1128、1129 | 是 | 是 | SAP 主机代理的 HTTP/S 端口。 |
| Web Dispatcher | 32xx | 是 | 是 | SAPGUI 和 RFC 通信。 |
| 网关 | 33xx | 是 | 是 | RFC 通信。 |
| 网关(安全) | 48xx | 是 | 是 | RFC 通信。 |
| Internet 通信管理器 (ICM) | 80xx、443xx | 是 | 是 | SAP Fiori、WEB GUI 的 HTTP/S 通信 |
| 消息服务器 | 36xx、81xx、444xx | 是 | 否 | 负载均衡;ASCS 到应用服务器通信;GUI 登录;进出消息服务器的 HTTP/S 流量。 |
| 控制代理 | 5xx13、5xx14 | 是 | 否 | 停止、启动和获取 SAP 系统的状态。 |
| SAP 安装 | 4237 | 是 | 否 | 初始 SAP 安装。 |
| HTTP 和 HTTPS | 5xx00、5xx01 | 是 | 是 | HTTP/S 服务器端口。 |
| IIOP | 5xx02、5xx03、5xx07 | 是 | 是 | 服务请求端口。 |
| P4 | 5xx04-6 | 是 | 是 | 服务请求端口。 |
| Telnet | 5xx08 | 是 | 否 | 用于管理的服务端口。 |
| SQL 通信 | 3xx13、3xx15、3xx40-98 | 是 | 否 | 与应用程序(包括 ABAP 或 JAVA 子网)的数据库通信端口。 |
| SQL Server | 1433 | 是 | 否 | SAP 中 MS-SQL 的默认端口;ABAP 或 JAVA 数据库通信所必需的。 |
| HANA XS 引擎 | 43xx、80xx | 是 | 是 | Web 内容的 HTTP/S 请求端口。 |
示例网络配置
示例网络的配置过程可能包括:
创建虚拟网络,或者使用现有的虚拟网络。
在虚拟网络中创建以下子网:
应用层子网。
数据库层子网。
用于防火墙的子网,名为 Azure FirewallSubnet。
创建新防火墙资源:
将防火墙附加到虚拟网络。
创建规则以将 RHEL 或 SUSE 终结点加入允许列表。 确保允许所有源 IP 地址 (
*),将源端口设置为“任意”,允许 RHEL 或 SUSE 的目标 IP 地址,并将目标端口设置为“任意”。创建规则以允许服务标记。 确保允许所有源 IP 地址 (
*),将目标类型设置为“服务标记”。 然后,允许使用标记 Microsoft.Storage、Microsoft.KeyVault、AzureResourceManager 和 Microsoft.AzureActiveDirectory。
创建路由表资源:
添加“虚拟设备”类型的新路由。
将 IP 地址设置为防火墙的 IP 地址,可以在 Azure 门户中的防火墙资源概述中找到该地址。
更新应用层和数据库层的子网以使用新的路由表。
如果将网络安全组与虚拟网络一起使用,请添加以下入站规则。 此规则提供应用层和数据库层的子网之间的连接。
优先级 端口 协议 源 目标 操作 100 任意 任意 虚拟网络 虚拟网络 允许 如果使用的是网络安全组而不是防火墙,请添加出站规则以允许安装。
优先级 端口 协议 源 目标 操作 110 任意 任意 任意 SUSE 或 Red Hat 终结点 允许 115 任意 任意 任意 Azure 资源管理器 允许 116 任意 任意 任意 Microsoft Entra ID 允许 117 任意 任意 任意 存储帐户 允许 118 8080 任意 任意 密钥保管库 允许 119 任意 任意 任意 虚拟网络 允许