準備基礎結構部署的網路
在本操作指南中,您將了解如何使用 Azure SAP 解決方案中心準備虛擬網路以部署 S/4 HANA 基礎結構。 本文提供建立虛擬網路的一般指引。 您的個別環境和使用案例,將會決定您需要如何設定自己的網路設定才能搭配 SAP 虛擬執行個體 (VIS) 資源使用。
如果您現有的網路已準備好用於 Azure SAP 解決方案中心,請前往部署指南,而無須遵循本指南。
必要條件
- Azure 訂用帳戶。
- 檢閱您 Azure 訂用帳戶的配額。 如果配額很低,您可能需要先建立支援要求,再建立基礎結構部署。 否則,您可能會遇到部署失敗或配額不足錯誤。
- 開始部署之前,建議您的子網路中具有多個 IP 位址。 例如,最好有
/26
遮罩,而不是/29
。 - AzureFirewallSubnet、AzureFirewallManagementSubnet、AzureBastionSubnet 和 GatewaySubnet 等名稱都是 Azure 中的保留名稱。 請不要使用這些名稱作為子網路名稱。
- 請注意 SAP 應用程式效能標準 (SAPS) 和資料庫記憶體大小,您必須允許 Azure SAP 解決方案中心調整 SAP 系統的大小。 如果您不確定,也可以選取 VM。 分別是:
- ASCS VM 的單一個體或叢集,組成 VIS 中的單一 ASCS 執行個體。
- 資料庫 VM 的單一個體或叢集,組成 VIS 中的單一資料庫執行個體。
- 單一應用程式伺服器 VM,組成 VIS 中的單一應用程式執行個體。 根據所部署或註冊的應用程式伺服器數目不同,可能會有多個應用程式執行個體。
建立網路
您必須在 Azure 上建立用於基礎結構部署的網路。 請務必在要部署 SAP 系統的相同區域中建立網路。
一些必要的網路元件包括:
- 虛擬網路
- 應用程式伺服器和資料庫伺服器的子網路。 您的設定必須允許這些子網路之間的通訊。
- Azure 網路安全性群組
- 路由表
- 防火牆 (或 NAT 閘道)
如需詳細資訊,請參閱範例網路設定。
連線網路
網路至少必須有輸出網際網路連線能力,才能成功進行基礎結構部署和軟體安裝。 應用程式和資料庫子網路也必須能夠彼此通訊。
如果無法連線到網際網路,請將下列區域的 IP 位址加入允許清單:
- SUSE 或 Red Hat 端點
- Azure 儲存體帳戶
- 將 Azure Key Vault 加入允許清單
- 將 Microsoft Entra ID 加入允許清單
- 將 Azure Resource Manager 加入允許清單
然後,請確定虛擬網路內的所有資源都可以彼此連線。 例如,設定網路安全性群組以允許虛擬網路內的資源透過接聽所有連接埠進行通訊。
- 將 [來源連接埠範圍] 設為 *。
- 將 [目的地連接埠範圍] 設為 *。
- 將 [動作] 設為 [允許]。
如果無法允許虛擬網路內的資源彼此連線,請允許應用程式和資料庫子網路之間的連線,並改為在虛擬網路中開啟重要的 SAP 連接埠。
將 SUSE 或 Red Hat 端點加入允許清單
如果您針對 VM 使用 SUSE,請將 SUSE 端點加入允許清單。 例如:
- 使用 Azure 入口網站或使用 Azure Cloud Shell 建立具有任意 OS 的 VM。 或者,透過 Microsoft Store 安裝 openSUSE Leap,並啟用 WSL。
- 執行
zypper install python3-pip
來安裝 pip3。 - 執行
pip3 install susepubliccloudinfo
來安裝 pip 套件 susepubliccloudinfo。 - 使用適當的 Azure 區域參數執行
pint microsoft servers --json --region
,以取得網路和防火牆中設定的 IP 位址清單。 - 針對準備連結子網路的防火牆或網路安全性群組上,將其所有 IP 位址加入允許清單。
如果您針對 VM 使用 Red Hat,請視需要將 Red Hat 端點加入允許清單。 預設的允許清單是 Azure 全域 IP 位址。 根據您的使用案例,您可能也需要允許列出 Azure 美國政府或 Azure 德國 IP 位址。 針對想要連結子網路的防火牆或網路安全性群組,設定清單中的所有 IP 位址。
將儲存體帳戶加入允許清單
適用於 SAP 解決方案的 Azure 中心需要存取下列儲存體帳戶,才能正確安裝 SAP 軟體:
- 用於儲存軟體安裝期間所需 SAP 媒體的儲存體帳戶。
- Azure SAP 解決方案中心在受控資源群組中建立的儲存體帳戶,此帳戶也由 Azure SAP 解決方案中心擁有和管理。
有多個選項可允許存取這些儲存體帳戶:
- 允許網際網路連線
- 設定 Storage 服務標籤
- 使用區域範圍設定 Storage 服務標籤。 請務必為您要部署基礎結構的 Azure 區域,以及 SAP 媒體所在儲存體帳戶的位置設定標籤。
- 將區域 Azure IP 範圍加入允許清單。
將金鑰保存庫加入允許清單
Azure SAP 解決方案中心會建立金鑰保存庫,以在軟體安裝期間儲存及存取秘密金鑰。 此金鑰保存庫也會儲存 SAP 系統密碼。 若要允許存取此金鑰保存庫,您可以:
- 允許網際網路連線
- 設定 AzureKeyVault 服務標籤
- 使用區域範圍設定 AzureKeyVault 服務標籤。 請務必在您要部署基礎結構的區域中設定此標籤。
將 Microsoft Entra ID 加入允許清單
Azure SAP 解決方案中心會使用 Microsoft Entra ID 取得驗證權杖,以便在 SAP 安裝期間從受控金鑰保存庫取得祕密。 若要允許存取 Microsoft Entra ID,您可以:
- 允許網際網路連線
- 設定 AzureActiveDirectory 服務標籤。
將 Azure Resource Manager 加入允許清單
Azure SAP 解決方案中心會使用受控識別安裝軟體。 受控識別驗證需要呼叫 Azure Resource Manager 端點。 若要允許存取此端點,您可以:
- 允許網際網路連線
- 設定 AzureResourceManager 服務標籤。
開啟重要的 SAP 連接埠
如果您無法如上述允許虛擬網路中所有資源之間的連線,您可以改為在虛擬網路中開啟重要的 SAP 連接埠。 這個方法可讓虛擬網路內的資源接聽這些連接埠以進行通訊。 如果您使用多個子網路,這些設定也可允許子網路內的連線。
開啟下表列出的 SAP 連接埠。 用您的 SAP 執行個體編號取代適用連接埠中的預留位置值 (xx
)。 例如,如果您的 SAP 執行個體編號是 01
,則 32xx
會變成 3201
。
SAP 服務 | 連接埠範圍 | 允許傳入流量 | 允許傳出流量 | 目的 |
---|---|---|---|---|
主機代理程式 | 1128、1129 | Yes | Yes | SAP 主機代理程式的 HTTP/S 連接埠。 |
Web Dispatcher | 32xx | Yes | Yes | SAPGUI 和 RFC 通訊。 |
閘道 | 33xx | Yes | Yes | RFC 通訊。 |
閘道 (受保護) | 48xx | Yes | Yes | RFC 通訊。 |
Internet Communication Manager (ICM) | 80xx、443xx | Yes | Yes | SAP Fiori、WEB GUI 的 HTTP/S 通訊 |
訊息伺服器 | 36xx、81xx、444xx | 是 | No | 負載平衡;ASCS 與應用程式伺服器通訊;GUI 登入;來自訊息伺服器的 HTTP/S 流量。 |
控制代理程式 | 5xx13、5xx14 | 是 | No | 停止、啟動和取得 SAP 系統的狀態。 |
SAP 安裝 | 4237 | 是 | No | 初始 SAP 安裝。 |
HTTP 和 HTTPS | 5xx00、5xx01 | Yes | Yes | HTTP/S 伺服器連接埠。 |
IIOP | 5xx02、5xx03、5xx07 | Yes | Yes | 服務要求連接埠。 |
P4 | 5xx04-6 | Yes | Yes | 服務要求連接埠。 |
Telnet | 5xx08 | 是 | No | 用於管理的服務連接埠。 |
SQL 通訊 | 3xx13、3xx15、3xx40-98 | 是 | No | 與應用程式的資料庫通訊連接埠,包括 ABAP 或 JAVA 子網路。 |
SQL Server | 1433 | 是 | No | SAP 中 MS-SQL 的預設連接埠;ABAP 或 JAVA 資料庫通訊的必要項目。 |
HANA XS 引擎 | 43xx、80xx | Yes | Yes | Web 內容的 HTTP/S 要求連接埠。 |
範例網路設定
範例網路的設定流程可能包括:
建立虛擬網路,或使用現有的虛擬網路。
在虛擬網路內建立下列子網路:
應用程式層子網路。
資料庫層子網路。
用於防火牆的子網路,名為 Azure FirewallSubnet。
建立新的防火牆資源:
將防火牆連結至虛擬網路。
建立規則以將 RHEL 或 SUSE 端點加入允許清單。 請務必允許所有來源 IP 位址 (
*
)、將來源連接埠設定為 [任意] (Any)、允許 RHEL 或 SUSE 的目的地 IP 位址,並將目的地連接埠設定為 [任意] (Any)。建立規則以允許服務標籤。 請務必允許所有來源 IP 位址 (
*
),將目的地類型設定為 [服務標籤]。 然後,允許下列標籤:Microsoft.Storage、Microsoft.KeyVault、AzureResourceManager 和 Microsoft.AzureActiveDirectory。
建立路由表資源:
新增 [虛擬裝置] 類型的新路由。
將 IP 位址設定為防火牆的 IP 位址,您可以在 Azure 入口網站中的防火牆資源概觀中找到此 IP 位址。
更新應用程式和資料庫層的子網路,以使用新的路由表。
如果您針對虛擬網路使用網路安全性群組,請新增下列輸入規則。 此規則可提供應用程式和資料庫層子網路之間的連線能力。
優先順序 連接埠 通訊協定 來源 Destination 動作 100 任意 任意 網路流量 網路流量 允許 如果您使用網路安全性群組而不是防火牆,請新增輸出規則以允許安裝。
優先順序 連接埠 通訊協定 來源 Destination 動作 110 任意 任意 任意 SUSE 或 Red Hat 端點 允許 115 任意 任意 任意 Azure Resource Manager 允許 116 任意 任意 任意 Microsoft Entra ID 允許 117 任意 任意 任意 儲存體帳戶 允許 118 8080 任意 任意 Key vault 允許 119 任意 任意 任意 網路流量 允許