本文提供一組經過證實的做法,可改善 Azure 基礎結構上 SAP 的輸入和輸出因特網連線安全性。
架構
此解決方案說明常見的生產環境。 您可以減少設定的大小和範圍,以符合您的需求。 這項縮減可能適用於 SAP 環境:較少的虛擬機(VM)、沒有高可用性,或內嵌的 SAP Web 發送器,而不是離散 VM。 它也可以套用至網路設計的替代方案,如本文稍後所述。
客戶需求,由商務原則驅動,需要適應架構,特別是網路設計。 可能的話,我們已包含替代方案。 許多解決方案都是可行的。 選擇適合您企業的方法。 它必須協助您保護 Azure 資源,但仍提供高效能的解決方案。
此架構未涵蓋災害復原(DR)。 針對網路設計,適用於主要生產區域的相同原則和設計。 在您的網路設計中,視受DR保護的應用程式而定,請考慮在另一個 Azure 區域中啟用DR。 如需詳細資訊,請參閱災害復原概觀和 SAP 工作負載的基礎結構指導方針一文
工作流程
- 內部部署網路會透過 Azure ExpressRoute 連線到中央中樞。 中樞虛擬網路包含閘道子網、Azure 防火牆 子網、共用服務子網和 Azure 應用程式閘道 子網。
- 中樞會透過虛擬網路對等互連連線到 SAP 生產訂用帳戶。 此訂用帳戶包含兩個輪輻虛擬網路:
- SAP 周邊虛擬網路包含 SAP 周邊應用程式子網。
- SAP 生產虛擬網路包含應用程式子網和資料庫子網。
- 中樞訂用帳戶和 SAP 生產訂用帳戶會透過公用IP位址連線到因特網。
元件
訂用帳戶。 此架構會實作 Azure 登陸區域 方法。 每個工作負載都會使用一個 Azure 訂用帳戶。 一或多個訂用帳戶用於包含網路中樞和中央、共用服務的中央IT服務,例如防火牆或Active Directory和 DNS。 另一個訂用帳戶用於 SAP 生產工作負載。 使用適用於 Azure 的 雲端採用架構 中的決策指南來判斷案例的最佳訂用帳戶策略。
虛擬網路。Azure 虛擬網絡 透過增強的安全性將 Azure 資源彼此連線。 在此架構中,虛擬網路會透過部署在中樞輪輻拓撲中樞的 ExpressRoute或虛擬專用網 (VPN) 網關聯機到內部部署環境。 SAP 生產環境會使用自己的輪輻虛擬網路。 兩個不同的輪輻虛擬網路會執行不同的工作,子網會提供網路隔離。
依工作負載區隔成子網,可讓您更輕鬆地使用網路安全組 (NSG) 來設定應用程式 VM 或 Azure 服務所部署的安全性規則。
區域備援閘道。 閘道會連線不同的網路,將您的內部部署網路延伸至 Azure 虛擬網路。 建議您使用 ExpressRoute 來建立不使用公用因特網的私人連線。 您也可以使用 站對站 連線。 使用區域備援 Azure ExpressRoute 或 VPN 閘道來防範區域失敗。 如需區域部署與區域備援部署之間的差異說明,請參閱 區域備援虛擬網路網關 。 針對閘道的區域部署,您必須使用標準 SKU IP 位址。
NSG。 若要限制虛擬網路的網路流量,請建立 NSG ,並將其指派給特定子網。 使用工作負載特定的 NSG 為個別子網提供安全性。
應用程式安全性群組。 若要根據以應用程式為中心的工作負載,在您的 NSG 中定義更細緻的網路安全策略,請使用 應用程式安全組 ,而不是明確的 IP 位址。 藉由使用應用程式安全組,您可以依目的將 VM 分組,例如 SAP SID。 應用程式安全組會篩選來自網路受信任區段的流量,協助保護應用程式。
私人端點。 許多 Azure 服務都是以公用服務的形式運作,設計可透過因特網存取。 若要允許透過您的專用網範圍進行私人存取,您可以針對某些服務使用私人端點。 私人端點 是虛擬網路中的網路介面。 它們有效地將服務帶入您的專用網空間。
Azure 應用程式閘道。 應用程式閘道 是 Web 流量負載平衡器。 透過其 Web 應用程式防火牆 功能,將 Web 應用程式公開至因特網具有改善的安全性是理想的服務。 應用程式閘道 可以根據組態來服務公用(因特網)或私人用戶端,或兩者。
在架構中,應用程式閘道 使用公用IP位址,允許透過 HTTPS 對 SAP 環境進行輸入連線。 其後端集區是兩個或多個 SAP Web Dispatcher VM、存取迴圈配置資源並提供高可用性。 應用程式閘道是反向 Proxy 和 Web 流量負載平衡器,但不會取代 SAP Web Dispatcher。 SAP Web Dispatcher 提供與 SAP 系統的應用程式整合,並包含本身不會提供 應用程式閘道 的功能。 客戶端驗證會在到達 SAP 系統時,由 SAP 應用層原生或透過單一登錄來執行。 當您啟用 Azure DDoS 保護時,請考慮使用 DDoS 網路保護 SKU,因為您會看到 應用程式閘道 Web 應用程式防火牆 折扣。
為了獲得最佳效能,請啟用 應用程式閘道、SAP Web Dispatcher 和 SAP NetWeaver 的 HTTP/2 支援。
Azure Load Balancer。 Azure Standard Load Balancer 可為 SAP 系統的高可用性設計提供網路元素。 針對叢集系統,Standard Load Balancer 會提供叢集服務的虛擬 IP 位址,例如在 VM 上執行的 ASCS/SCS 執行個體和資料庫。 當 Azure 網路卡上的次要 IP 不是選項時,您也可以使用 Standard Load Balancer 為非叢集系統的虛擬 SAP 主機名提供 IP 位址。 本文稍後將討論使用 Standard Load Balancer 而不是 應用程式閘道 來處理輸出因特網存取。
網路設計
此架構會使用兩個離散虛擬網路,兩個輪輻虛擬網路都與中央中樞虛擬網路對等互連。 沒有輪輻對輪輻對等互連。 使用星形拓撲,其中通訊會通過中樞。 網路分離有助於保護應用程式免於外洩。
應用程式特定的 周邊網路 (也稱為 DMZ)包含因特網面向的應用程式,例如 SAProuter、SAP Cloud Connector、SAP Analytics Cloud Agent 等等。 在架構圖中,周邊網路名為 SAP 周邊 - 輪輻虛擬網路。 由於 SAP 系統的相依性,SAP 小組通常會執行這些服務的部署、設定和管理。 這就是為什麼這些 SAP 周邊服務經常不在中央中樞訂用帳戶和網路中。 組織的挑戰通常是因為工作負載特定應用程式或服務的中央中樞放置。
以下是使用個別 SAP 周邊虛擬網路的一些優點:
- 如果偵測到缺口,快速且立即隔離遭入侵的服務。 從 SAP 周邊移除虛擬網路對等互連至中樞,會立即將 SAP 周邊工作負載和 SAP 應用程式虛擬網路應用程式從因特網隔離。 變更或移除允許存取的NSG規則只會影響新的連線,而且不會剪下現有的連線。
- 對虛擬網路和子網進行更嚴格的控制,並嚴格鎖定 SAP 周邊網路和 SAP 應用程式網路的通訊夥伴。 您可以針對 SAP 周邊應用程式使用不同的授權後端、特殊許可權存取或登入認證,為 SAP 周邊應用程式擴充對授權使用者和存取方法的控制。
缺點是增加因特網系結 SAP 流量的複雜度和額外的虛擬網路對等互連成本(因為通訊需要通過虛擬網路對等互連兩次)。 輪輻中樞輪輻對等互連流量的延遲影響取決於任何已就緒且需要測量的防火牆。
簡化的架構
若要解決本文中的建議,但會限制缺點,您可以針對周邊和 SAP 應用程式使用單一輪輻虛擬網路。 下列架構包含單一 SAP 生產虛擬網路中的所有子網。 如果 SAP 周邊遭到入侵,則透過終止虛擬網路對等互連來立即隔離的優點。 在此案例中,對 NSG 的變更只會影響新的連線。
對於大小和範圍較小的部署,簡化的架構可能更適合,但仍會遵循更複雜的架構原則。 本文除非另有說明,否則會參考更複雜的架構。
簡化的架構會使用 SAP 周邊子網中的 NAT 閘道。 此閘道針對已部署的 VM 提供 SAP Cloud Connector 和 SAP Analytics 雲端代理程式和 OS 更新的輸出連線能力。 因為 SAProuter 需要連入和輸出連線,因此 SAProuter 通訊路徑會通過防火牆,而不是使用 NAT 閘道。 簡化的架構也會將 應用程式閘道 放在 SAP 周邊虛擬網路中,作為中樞虛擬網路的替代方法。
NAT 閘道是一項服務,可提供靜態公用IP位址以進行輸出連線。 NAT 閘道會指派給子網。 所有輸出通訊都會使用 NAT 閘道的 IP 位址進行因特網存取。 輸入連線不會使用NAT閘道。 SAP Cloud Connector 或存取因特網上存放庫的 VM OS 更新服務等應用程式可以使用 NAT 閘道,而不是透過中央防火牆路由傳送所有輸出流量。 使用者定義規則通常會在所有子網上實作,以強制所有虛擬網路的因特網系結流量通過中央防火牆。
視您的需求而定,您可能可以使用 NAT 閘道做為中央防火牆的替代方案,以進行輸出連線。 如此一來,您就可以減少中央防火牆上的負載,同時與 NSG 允許的公用端點通訊。 您也可以取得輸出 IP 控制件,因為您可以在 NAT 閘道的設定IP清單上設定目的地防火牆規則。 範例包括觸達公用服務、OS 修補程式存放庫或第三方介面所使用的 Azure 公用端點。
針對高可用性設定,請記住,NAT 閘道只會部署在單一區域中,而且目前不會跨區域備援。 使用單一 NAT 閘道,不適合使用虛擬機的區域備援(跨區域)部署的SAP部署。
跨 SAP 環境使用網路元件
架構檔通常只描述一個SAP系統或橫向。 這可讓他們更容易瞭解。 結果是,架構如何融入包含數個系統軌道和階層的較大 SAP 環境,通常不會解決大局。
部署防火牆、NAT 閘道和 Proxy 伺服器等中央網路服務,最適合用於所有層的整個 SAP 環境:生產、生產前、開發和沙箱。 視您的需求、組織大小和商務原則而定,您可能會想要考慮每個層級的個別實作,或一個生產環境與一個沙盒/測試環境。
通常為 SAP 系統提供服務的服務最好分開,如下所述:
- 負載平衡器 應該專用於個別服務。 公司原則會指定資源的命名和群組。 我們建議針對 ASCS/SCS 和 ERS 使用一個負載平衡器,另一個用於資料庫,針對每個 SAP SID 分隔。 或者,一個 SAP 系統之 (A)SCS、ERS 和 DB 叢集的單一負載平衡器也是很好的設計。 此組態有助於確保疑難解答不會變得複雜,且許多前端和後端集區和負載平衡規則全都在單一負載平衡器上。 每個 SAP SID 的單一負載平衡器也可確保資源群組中的位置符合其他基礎結構元件的位置。
- 應用程式閘道,就像負載平衡器一樣,允許多個後端、前端、HTTP 設定和規則。 因為環境中並非所有 SAP 系統都需要公用存取,因此決定針對多個用途使用一個應用程式閘道會比較常見。 此內容中的多個用途包括相同 SAP S/4HANA 系統或不同 SAP 環境的不同 Web 發送器埠。 除非連線系統的複雜性和數目太高,否則建議每一層至少一個應用程式網關(生產、非生產及沙盒)。
- SAP 服務,例如 SAProuter、Cloud Connector 和分析雲端代理程式,會根據集中或分割的應用程式需求來部署。 通常需要生產和非生產區隔。
子網大小調整和設計
當您為 SAP 環境設計子網時,請務必遵循重設大小和設計原則:
- 數個 Azure 平臺即服務 (PaaS) 服務需要自己的指定子網。
- 應用程式閘道 建議 /24 子網進行調整。 如果您選擇限制 應用程式閘道 可以使用較小的子網,請至少使用 /26 或更大。 您無法在同一個子網中使用這兩個版本的 應用程式閘道 (1 和 2)。
- 如果您使用 Azure NetApp Files 作為 NFS/SMB 共用或資料庫記憶體,則需要指定的子網。 /24 子網是預設值。 使用您的需求來判斷 適當的重設大小。
- 如果您使用 SAP 虛擬主機名,則需要 SAP 子網中的更多地址空間,包括 SAP 周邊。
- Azure Bastion 或 Azure 防火牆 等中央服務,通常是由中央 IT 小組所管理,其專屬子網大小足夠。
藉由使用 SAP 資料庫和應用程式的專用子網,您可以將 NSG 設定為更嚴格,這有助於使用自己的規則集保護這兩個應用程式類型。 然後,您可以更輕鬆地限制對 SAP 應用程式的數據庫存取,而不需要訴諸應用程式安全組進行細微控制。 分隔 SAP 應用程式和資料庫子網也可讓您更輕鬆地在 NSG 中管理安全性規則。
SAP 服務
SAProuter
您可以使用 SAProuter 來啟用 SAP 支援或合作夥伴等第三方存取 SAP 系統。 SAProuter 會在 Azure 中的一個 VM 上執行。 使用 SAProuter 的路由許可權會儲存在稱為 saprouttab 的一般檔案中。 saprouttab 項目允許從任何 TCP/IP 埠連線到 SAProuter 背後的網路目的地,通常是您的 SAP 系統 VM。 SAP 支援的遠端訪問依賴 SAProuter。 主要架構會使用稍早所述的設計,並在指定的 SAP 周邊虛擬網路內執行 SAProuter VM。 透過虛擬網路對等互連,SAProuter 接著會與您的 SAP 伺服器通訊,這些伺服器會在自己的輪輻虛擬網路和子網中執行。
SAProuter 是 SAP 或合作夥伴的通道。 此架構描述使用 SAProuter 搭配 SNC 來建立加密的應用程式通道(網路層 7)給 SAP/合作夥伴。 此架構目前未涵蓋 IPSEC 型通道的使用。
下列功能可協助保護透過因特網的通訊路徑:
- Azure 防火牆 或第三方 NVA 提供 Azure 網路的公用 IP 進入點。 防火牆規則只會將通訊限制為授權的IP位址。 針對 SAP 支援的連線, SAP 附注 48243 - 將 SAProuter 軟體整合到防火牆環境中 ,記錄 SAP 路由器的 IP 位址。
- 如同防火牆規則,網路安全性規則允許在 SAProuter 的埠上進行通訊,通常是 3299 與指定的目的地。
- 您會在saprouttab檔案中維護SAProuter允許/拒絕規則,並指定誰可以連絡SAProuter,以及可以存取哪些 SAP 系統。
- 進一步的NSG規則會放在包含 SAP 系統的 SAP 生產子網中各自的子網上。
如需使用 Azure 防火牆 設定 SAProuter 的步驟,請參閱使用 Azure 防火牆 設定 SAProuter。
SAProuter 安全性考慮
因為 SAProuter 不會在與 SAP 系統相同的應用程式子網中運作,因此 OS 的登入機制可能不同。 根據您的原則,您可以使用個別的登入網域,或針對 SAProuter 使用完全僅限主機的用戶認證。 如果發生安全性缺口,由於不同的認證基底,無法串連存取內部 SAP 系統。 如先前所述,這類案例中的網路隔離可以將遭入侵的 SAProuter 進一步存取分離到您的應用程式子網。 您可以透過中斷 SAP 周邊虛擬網路對等互連的連線來完成此隔離。
SAProuter 高可用性考慮
因為 SAProuter 是具有檔案型路由許可權數據表的簡單可執行檔,因此可以輕鬆地啟動。 應用程式沒有內建高可用性。 如果 VM 或應用程式失敗,服務必須在另一個 VM 上啟動。 針對 SAProuter 服務使用虛擬主機名是理想的。 虛擬主機名會系結至IP,該IP會指派為具有VM NIC的次要IP組態,或指派給連線至VM的內部負載平衡器。 在此設定中,如果需要將 SAProuter 服務移至另一個 VM,則可以移除服務虛擬主機名的 IP 組態。 接著,您會在另一個 VM 上新增虛擬主機名,而不需要變更路由表或防火牆設定。 它們全都設定為使用虛擬IP位址。 如需詳細資訊,請參閱 在 Azure 中使用 SAP 虛擬主機名與 Linux。
級聯 SAProuters
若要實作級聯 SAProuters,您可以針對 SAP 支援連線定義多達兩個 SAProuters。 在 SAP 周邊應用程式子網中執行的第一個 SAProuter 會從中央防火牆和 SAP 或合作夥伴 SAProuters 提供存取權。 唯一允許的目的地是其他具有特定工作負載的 SAProuters。 視您的架構而定,級聯 SAProuters 可以使用每一層、每個區域或個別 SID 區隔。 第二個 SAProuter 只接受來自第一個 SAProuter 的內部連線,並提供個別 SAP 系統和 VM 的存取權。 此設計可讓您視需要在不同的小組之間分隔存取和管理。 如需級聯 SAProuters 的範例,請參閱使用 Azure 防火牆 的 SAProuter 組態。
SAP Fiori 和 WebGui
SAP Fiori 和其他 SAP 應用程式的 HTTPS 前端通常會從內部公司網路外部取用。 因特網上需要有高安全性解決方案,才能協助保護 SAP 應用程式。 應用程式閘道 搭配 Web 應用程式防火牆 是此用途的理想服務。
對於存取系結至 應用程式閘道 之公用IP公用主機名的使用者和應用程式,HTTPS會話會在 應用程式閘道 終止。 兩個或多個 SAP Web 發送器 VM 的後端集區會從 應用程式閘道 取得循環配置資源會話。 根據需求,此內部流量應用程式閘道可以是 HTTP 或 HTTPS。 透過 應用程式閘道 與 Web 發送器 VM 之間的 HTTPS,使用 SAP 小組已知的憑證和憑證鏈結,進行任何定期憑證輪替。 Web 應用程式防火牆可協助保護 SAP Web Dispatcher 免於透過因特網 受到 OWASP 核心規則集的攻擊。 SAP NetWeaver 通常會透過 單一登錄 (SSO) 系結至 Microsoft Entra ID,執行使用者驗證。 如需使用 應用程式閘道 設定 Fiori SSO 所需的步驟,請參閱使用 SAML 和公用和內部 URL Microsoft Entra ID 單一登入 組態。
請記住,在任何情況下,您都需要保護 SAP Web 發送器,即使它只在內部開啟、透過公用 IP 透過 應用程式閘道 存取,或透過其他網路方式存取。 如需詳細資訊,請參閱 SAP Web Dispatcher 的安全性資訊。
Azure 防火牆和 應用程式閘道
應用程式閘道 提供的所有 Web 流量都是以 HTTPS 為基礎,並使用提供的 TLS 憑證加密。 您可以使用 Azure 防火牆 作為公司網路的進入點,透過其公用IP,然後透過內部IP位址將SAP Fiori流量從防火牆路由傳送至 應用程式閘道。 如需詳細資訊,請參閱防火牆后 應用程式閘道。 由於 TCP/IP 層 7 加密已透過 TLS 就緒,因此在此案例中使用防火牆的優點有限,因此您無法執行封包檢查。 Fiori 會針對輸入和輸出流量,透過相同的外部IP位址進行通訊,這通常不需要SAP Fiori部署。
串聯 應用程式閘道 和第 4 層防火牆部署有一些優點:
- 可能與全企業的安全策略管理整合。
- 違反 安全性規則 的網路流量已經捨棄,因此不需要檢查。
此合併部署是很好的架構。 處理輸入因特網流量的方法取決於您的整體企業架構。 您也需要考慮整體網路架構如何配合內部IP位址空間的存取方法,例如內部部署用戶端。 下一節將討論此考慮。
內部 IP 位址 應用程式閘道 (選擇性)
此架構著重於因特網面向的應用程式。 有各種選項可供用戶端存取 SAP Fiori、SAP NetWeaver 系統的 Web UI,或透過內部私人 IP 位址的另一個 SAP HTTPS 介面。 其中一個案例是透過公用IP將所有對 Fiori 的存取視為公用存取。 另一個選項是透過專用網對 SAP Web 發送器使用直接網路存取,完全略過 應用程式閘道。 第三個選項是同時使用 應用程式閘道 上的私人和公用IP位址,以提供因特網和專用網的存取權。
您可以在 應用程式閘道 上搭配私人 IP 位址使用類似的設定,以存取 SAP 環境專用的網路。 在此案例中,公用IP位址僅用於管理用途,而且沒有與其相關聯的接聽程式。
除了使用 應用程式閘道,您也可以在內部使用負載平衡器。 您可以使用標準內部負載平衡器搭配設定為迴圈配置資源後端的 Web Dispatcher VM。 在此案例中,標準負載平衡器會放在 SAP 生產應用程式子網中的 Web Dispatcher VM,並在 Web Dispatcher VM 之間提供 主動/主動 負載平衡。
針對因特網對向部署,我們建議使用 Web 應用程式防火牆 應用程式閘道,而不是具有公用IP的負載平衡器。
SAP 商業技術平台 (BTP)
SAP BTP 是一組大型的 SAP 應用程式,SaaS 或 PaaS,通常透過因特網透過公用端點存取。 SAP Cloud Connector 通常用來為在專用網中執行的應用程式提供通訊,例如在 Azure 上執行的 SAP S/4HANA 系統。 SAP Cloud Connector 會在 VM 中以應用程式的形式執行。 它需要輸出因特網存取,才能使用 SAP BTP 建立 TLS 加密的 HTTPS 通道。 它可作為虛擬網路中私人IP範圍與SAP BTP 應用程式之間的反向叫用 Proxy。 由於此反向叫用支援,因此不需要開啟防火牆埠或其他輸入連線的存取權,因為來自虛擬網路的連線是輸出的。
根據預設,VM 在 Azure 上會 以原生方式存取輸出因特網 。 當沒有與虛擬機相關聯的專用公用IP位址時,會從特定 Azure 區域中的公用IP集區隨機選擇用於輸出流量的公用IP位址。 您無法控制它。 若要確保透過受控且可識別的服務與IP位址進行輸出連線,您可以使用下列其中一種方法:
- 與子網或負載平衡器及其公用IP位址相關聯的NAT閘道。
- 您操作的 HTTP Proxy 伺服器。
- 使用者定義的路由,可強制網路流量流向防火牆之類的網路設備。
架構圖顯示最常見的案例:將因特網系結的流量路由傳送至中樞虛擬網路,以及透過中央防火牆。 您必須在 SAP Cloud Connector 中設定 進一步的設定 ,才能連線到您的 SAP BTP 帳戶。
SAP Cloud Connector 的高可用性
高可用性內建於 SAP Cloud Connector 中。 雲端連接器會安裝在兩部 VM 上。 主要實例為作用中,且陰影實例已連線至該實例。 它們會共享組態,且會以原生方式保持同步。 如果主要實例無法使用,次要 VM 會嘗試接管主要角色,並重新建立 SAP BTP 的 TLS 通道。 高可用性雲端連接器環境會顯示在架構中。 您不需要任何其他 Azure 技術,例如負載平衡器或叢集軟體來進行設定。 如需設定和作業的詳細資訊,請參閱 SAP 檔。
SAP Analytics 雲端代理程式
在某些應用程式案例中,SAP Analytics Cloud Agent 是安裝在 VM 中的應用程式。 它會使用 SAP Cloud Connector 進行 SAP BTP 連線。 在此架構中,SAP Analytics 雲端代理程式 VM 會在 SAP 周邊應用程式子網中執行,以及 SAP Cloud Connector VM。 如需從 Azure 虛擬網路到 SAP BTP 透過 SAP Analytics Cloud Agent 從專用網流向 SAP BTP 的流量,請參閱 SAP 檔。
Azure 上的 SAP Private Link 服務
SAP 為 SAP BTP 提供 Private Link 服務 。 它可讓您在選取的 SAP BTP 服務和 Azure 訂用帳戶和虛擬網路中選取的服務之間建立私人連線。 當您使用 Private Link 服務時,通訊不會透過公用因特網路由傳送。 它仍位於高安全性的 Azure 全球網路骨幹上。 與 Azure 服務的通訊會透過私人地址空間進行。 改善的數據外洩保護是在您使用 Private Link 服務時內建的,因為私人端點會將特定的 Azure 服務對應至 IP 位址。 存取僅限於對應的 Azure 服務。
對於某些 SAP BTP 整合案例,偏好使用 Private Link 服務方法。 針對其他專案,SAP Cloud Connector 較佳。 如需協助您決定要使用的資訊,請參閱 並行執行 Cloud Connector 和 SAP Private Link。
SAP RISE/ECS
如果 SAP 以 SAP RISE/ECS 合約操作 SAP 系統,SAP 就是受控服務夥伴。 SAP 環境是由 SAP 部署。 在 SAP 的架構上,此處顯示的架構不適用於使用 SAP/ECS 在 RISE 中執行的系統。 如需將這種類型的 SAP 環境與 Azure 服務和網路整合的相關信息,請參閱 Azure 檔。
其他 SAP 通訊需求
有關因特網系結通訊的其他考慮,可能適用於在 Azure 上運作的 SAP 環境。 此架構中的流量流量會針對此輸出流量使用中央 Azure 防火牆。 輪輻虛擬網路中的使用者定義規則會將因特網系結的流量要求路由傳送至防火牆。 或者,您可以使用特定子網上的 NAT 閘道、 預設的 Azure 輸出 通訊、VM 上的公用 IP 位址(不建議),或具有輸出規則的公用負載平衡器。 一般案例會透過輸出網路存取,到達Microsoft Entra ID、azure 管理 API management.azure.com 的公用端點,以及第三方應用程式或政府應用程式的服務。
由於 Azure 中預設輸出存取的變更,請確定已定義可調整的輸出存取權。 對於位於標準內部負載平衡器後方的 VM,例如叢集環境中的 VM,請記住,Standard Load Balancer 會修改公用連線的行為。 如需詳細資訊,請參閱 SAP 高可用性案例中使用 Azure Standard Load Balancer 之 VM 的公用端點連線。
如需從 VM 預設輸出連線的詳細資訊,請參閱 Azure 網路部落格上的從私人子網路 由選項。
作業系統更新
操作系統更新通常位於公用端點後面,並透過因特網存取。 如果沒有任何企業存放庫和更新管理已就緒,請在私人IP位址/VM上鏡像廠商的OS更新,您的SAP工作負載必須存取廠商的更新存放庫。
針對 Linux 作業系統,如果您從 Azure 取得 OS 授權,則可以存取下列存放庫。 如果您直接購買授權並將其帶到 Azure (BYOS),請連絡 OS 廠商,以取得連線到 OS 存放庫及其各自 IP 位址範圍的方式。
- 針對 SUSE Enterprise Linux,SUSE 會 維護每個 Azure 區域中的伺服器清單。
- 針對 Red Hat Enterprise Linux, 此處記載了 Red Hat Update Infrastructure。
- 針對 Windows,Windows Update 可透過 FQDN 標籤取得 Azure 防火牆。
高可用性叢集管理
叢集 SAP ASCS/SCS 或資料庫等高可用性系統可能會使用叢集管理員搭配 Azure 柵欄代理程式作為 STONITH 裝置。 這些系統取決於連線到 Azure Resource Manager。 Resource Manager 用於有關 Azure 資源的狀態查詢,以及用於停止和啟動 VM 的作業。 由於 Resource Manager 是公用端點,因此可在 下 management.azure.com
取得 ,因此 VM 輸出通訊必須能夠連線到該端點。 此架構依賴中央防火牆,其具有使用者定義的規則,可路由來自 SAP 虛擬網路的流量。 如需替代方案,請參閱前幾節。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
其他投稿人:
- Mick Alberts | 技術寫入員
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
社群
請考慮使用這些社群來取得問題解答,並協助設定部署:
下一步
- SAP 部落格 |Azure 上的 SAP:Azure 應用程式閘道 Web 應用程式防火牆 v2 設定因特網面向 SAP Fiori Apps
- SAP 部落格 |開始使用適用於 Azure 的 BTP Private Link 服務
- SAP 部落格 |BTP 私人連結與 Azure 發誓 – 並存執行 Cloud Connector 和 SAP Private Link
- Azure 網路部落格 |從私人子網的 VM 路由選項
- Azure 技術社群上的 SAP |使用 Azure 防火牆的 SAProuter 組態
- Azure 技術社群上的 SAP |在 Azure 中搭配 Linux 使用 SAP 虛擬主機名
- SAP 檔 |什麼是 Cloud Connector?
- SAP 檔 |什麼是 SAP Analytics 雲端代理程式?
- Azure 中的預設輸出存取權限
- 在 SAP 高可用性案例中使用 Azure Standard Load Balancer 的虛擬機器公用端點連線
- 訂用帳戶決策指南
- YouTube |大規模部署 Fiori