Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med Azure Center for SAP-lösningar kan du distribuera och hantera SAP-system i Azure. När du distribuerar S/4HANA-infrastruktur via tjänsten behöver du ett virtuellt nätverk som tillhandahåller utgående anslutning och tillåter kommunikation mellan program- och databasundernät. Utan ett korrekt konfigurerat nätverk kan infrastrukturdistributionen och SAP-programvaruinstallationen misslyckas.
I den här artikeln skapar och konfigurerar du ett virtuellt nätverk, konfigurerar anslutnings- och säkerhetsregler och tillåter en lista över de slutpunkter som krävs för distributionen. Dina specifika nätverksinställningar beror på din miljö och användningsfall.
Om du redan har ett nätverk som är redo att användas med Azure Center för SAP-lösningar går du till distributionsguiden i stället.
Prerequisites
Ett Azure-abonnemang.
Tillräckliga kvoter för din Azure-prenumeration. Om kvoterna är låga skapar du en supportbegäran innan du skapar din infrastrukturdistribution. Annars kan du uppleva distributionsfel eller ett fel på grund av otillräcklig kvot.
Ha flera IP-adresser i undernätet eller undernäten innan du börjar distribuera. Det är till exempel bättre att ha en
/26mask i stället för/29.Namnen AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet och GatewaySubnet är reserverade namn i Azure (använd inte dessa namn som undernätsnamn).
Kunskap om SAPS (Application Performance Standard) och databasens minnesstorlek som du behöver så att Azure Center för SAP-lösningar kan ändra storleken på ditt SAP-system. Om du inte är säker kan du också välja de virtuella datorerna (VM). Följande typer av virtuella datorer används:
- En enda virtuell dator med ADVANCED Business Application Programming SAP Central Services (ASCS) eller ett kluster med virtuella ASCS-datorer som utgör en enda ASCS-instans i VIS.
- En virtuell databasdator eller ett kluster med virtuella databasdatorer, som utgör en enda databasinstans i VIS.
- En enda virtuell programserverdator som utgör en enda programinstans i VIS. Beroende på antalet programservrar som distribueras eller registreras kan det finnas flera programinstanser.
Skapa ett nätverk
Skapa ett nätverk för infrastrukturdistributionen i Azure. Se till att skapa nätverket i samma region där du vill distribuera SAP-systemet.
Några av de nödvändiga nätverkskomponenterna är:
- Ett virtuellt nätverk
- Undernät för programservrar och databasservrar. Konfigurationen måste tillåta kommunikation mellan dessa undernät.
- Azure-nätverkssäkerhetsgrupper
- Vägtabeller
- Brandväggar (eller NAT Gateway)
Mer information finns i Konfigurera ett exempelnätverk.
Ansluta nätverket
Nätverket måste minst ha utgående Internetanslutning för lyckad infrastrukturdistribution och programvaruinstallation. Program- och databasundernäten måste också kunna kommunicera med varandra.
Om det inte går att ansluta till Internet kan du tillåta en lista över IP-adresserna för följande områden:
- SUSE- eller Red Hat-slutpunkter
- Azure Storage-konton
- Tillåt lista över ett Azure Key Vault
- Tillåt lista ett Microsoft Entra-ID
- Skapa en tillåt-lista för en Azure Resource Manager
Kontrollera sedan att alla resurser i det virtuella nätverket kan ansluta till varandra. Konfigurera till exempel en nätverkssäkerhetsgrupp så att resurser i det virtuella nätverket kan kommunicera genom att lyssna på alla portar.
- Ange källportområden till *.
- Ange målportintervallen till *.
- Ange åtgärden till Tillåt
Om det inte går att tillåta att resurserna i det virtuella nätverket ansluter till varandra tillåter du anslutningar mellan program- och databasundernäten och öppnar viktiga SAP-portar i det virtuella nätverket i stället.
Tillåt lista över SUSE- eller Red Hat-slutpunkter
Om du använder SUSE för de virtuella datorerna tillåter du att du listar SUSE-slutpunkterna. Som exempel:
- Skapa en virtuell dator med valfritt operativsystem med hjälp av Azure-portalen eller med hjälp av Azure Cloud Shell. Eller installera openSUSE Leap från Microsoft Store och aktivera Windows-undersystem för Linux.
- Installera
pip3genom att körazypper install python3-pip. -
pipInstallera paketetsusepubliccloudinfogenom att körapip3 install susepubliccloudinfo. - Hämta en lista över IP-adresser som ska konfigureras i nätverket och brandväggen genom att köra
pint microsoft servers --json --regionmed lämplig Azure-regionparameter. - Tillåt lista alla dessa IP-adresser i brandväggen eller nätverkssäkerhetsgruppen där du planerar att koppla undernäten.
Om du använder Red Hat för de virtuella datorerna tillåter du att du listar Red Hat-slutpunkterna efter behov. Standardlistan över tillåtna är de globala IP-adresserna i Azure. Beroende på ditt användningsfall kan du också behöva tillåta en lista över IP-adresser för Azure US Government eller Azure Germany. Konfigurera alla IP-adresser från listan i brandväggen eller nätverkssäkerhetsgruppen där du vill koppla undernäten.
Tillåt listlagringskonton
Azure Center for SAP-lösningar behöver åtkomst till följande lagringskonton för att installera SAP-programvara korrekt:
- Lagringskontot där du lagrar SAP-media som krävs under programvaruinstallationen.
- Lagringskontot som skapats av Azure Center för SAP-lösningar i en hanterad resursgrupp, som Även Azure Center for SAP-lösningar äger och hanterar.
Det finns flera alternativ för att tillåta åtkomst till dessa lagringskonton:
- Tillåt internetanslutning
- Konfigurera en lagringstjänsttagg
- Konfigurera lagringstjänsttaggar med regionalt omfång. Se till att konfigurera taggar för Azure-regionen där du distribuerar infrastrukturen och var lagringskontot med SAP-mediet finns.
- Tillåt lista de regionala Azure IP-intervallen.
Tillåt lista över ett Nyckelvalv
Azure Center for SAP-lösningar skapar ett nyckelvalv för att lagra och komma åt de hemliga nycklarna under programvaruinstallationen. Det här nyckelvalvet lagrar även SAP-systemlösenordet. Så här tillåter du åtkomst till det här nyckelvalvet:
- Tillåt internetanslutning
- Konfigurera en AzureKeyVault-tjänsttagg
- Konfigurera en AzureKeyVault-tjänsttagg med regionalt omfång. Se till att konfigurera taggen i den region där du distribuerar infrastrukturen.
Tillåt lista ett Microsoft Entra-ID
Azure Center for SAP-lösningar använder Microsoft Entra-ID för att hämta en autentiseringstoken för att hämta hemligheter från ett hanterat nyckelvalv under SAP-installationen. Så här tillåter du åtkomst till Microsoft Entra-ID:
- Tillåt internetanslutning
- Konfigurera en AzureActiveDirectory-tjänsttagg.
Tillåt lista över en Azure Resource Manager
Azure Center för SAP-lösningar använder en hanterad identitet för programvaruinstallation. Hanterad identitetsautentisering kräver ett anrop till Azure Resource Manager-slutpunkten. Så här tillåter du åtkomst till den här slutpunkten:
- Tillåt internetanslutning
- Konfigurera en AzureResourceManager-tjänsttagg.
Öppna viktiga SAP-portar
Om du inte kan tillåta anslutningar mellan alla resurser i det virtuella nätverket enligt beskrivningen ovan kan du öppna viktiga SAP-portar i det virtuella nätverket i stället. Med den här metoden kan resurser i det virtuella nätverket lyssna på dessa portar för kommunikation. Om du använder mer än ett undernät tillåter de här inställningarna även anslutning mellan undernäten.
Öppna SAP-portarna som visas i följande tabell. Ersätt platshållarvärdena (xx) i tillämpliga portar med ditt SAP-instansnummer. Om ditt SAP-instansnummer till exempel är 01blir 32xxdet 3201 .
| SAP-tjänst | Portintervall | Tillåt inkommande trafik | Tillåt utgående trafik | Syfte |
|---|---|---|---|---|
| Hostagent | 1128, 1129 | Yes | Yes | HTTP/S-port för SAP-hostagenten. |
| Web Dispatcher | 32xx | Yes | Yes | SAPGUI- och RFC-kommunikation. |
| Gateway | 33xx | Yes | Yes | RFC-kommunikation. |
| Gateway (skyddad) | 48xx | Yes | Yes | RFC-kommunikation. |
| Internet Communication Manager (ICM) | 80xx, 443xx | Yes | Yes | HTTP/S-kommunikation för SAP Fiori, WEBB-GUI |
| Meddelandeserver | 36xx, 81xx, 444xx | Yes | Nej | Lastbalansering; kommunikation från ASCS till appservrarna; GUI-inloggning; HTTP/S-trafik till och från meddelandeservern. |
| Kontrollagent | 5xx13, 5xx14 | Yes | Nej | Stoppa, starta och hämta status för SAP-systemet. |
| SAP-installation | 4237 | Yes | Nej | Inledande SAP-installation. |
| HTTP och HTTPS | 5xx00, 5xx01 | Yes | Yes | HTTP/S-server port. |
| Internet Inter-ORB-protokoll (IIOP) | 5xx02, 5xx03, 5xx07 | Yes | Yes | Port för tjänstbegäran. |
| P4 | 5xx04-6 | Yes | Yes | Port för tjänstbegäran. |
| Telnet | 5xx08 | Yes | Nej | Tjänstport för hantering. |
| SQL-kommunikation | 3xx13, 3xx15, 3xx40-98 | Yes | Nej | Databaskommunikationsport med program, inklusive Advanced Business Application Programming (ABAP) eller JAVA-undernät. |
| SQL Server | 1433 | Yes | Nej | Standardport för MS-SQL i SAP; krävs för ABAP- eller JAVA-databaskommunikation. |
| HANA XS-motor | 43xx, 80xx | Yes | Yes | HTTP/S-begärandeport för webbinnehåll. |
Konfigurera ett exempelnätverk
Konfigurationsprocessen för ett exempelnätverk kan innehålla:
Skapa ett virtuellt nätverk eller använd ett befintligt virtuellt nätverk.
Skapa följande undernät i det virtuella nätverket:
Ett undernät på programnivå.
Ett undernät på databasnivå.
Ett undernät som ska användas med brandväggen med namnet AzureFirewallSubnet.
Skapa en ny brandväggsresurs:
Koppla brandväggen till det virtuella nätverket.
Skapa en regel för att tillåta RHEL- eller SUSE-slutpunkter i listan. Se till att tillåta alla käll-IP-adresser (
*), ange källporten till Alla, tillåt mål-IP-adresser för RHEL eller SUSE och ange målporten till Alla.Skapa en regel för att tillåta tjänsttaggar. Se till att tillåta alla käll-IP-adresser (
*), ange måltypen till Tjänsttagg. Tillåt sedan taggarna Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager och Microsoft.AzureActiveDirectory.
Skapa en routningstabellresurs:
Lägg till en ny väg av typen Virtuell installation.
Ange IP-adressen till brandväggens IP-adress, som du hittar på sidan Översikt för brandväggsresursen i Azure-portalen.
Uppdatera undernäten för program- och databasnivåerna så att de använder den nya routningstabellen.
Om du använder en nätverkssäkerhetsgrupp med det virtuella nätverket lägger du till följande regel för inkommande trafik. Den här regeln ger anslutning mellan undernäten för program- och databasnivåerna.
Prioritet Port Protokoll Source Resmål Åtgärd 100 Vilken som helst Vilken som helst virtuellt nätverk virtuellt nätverk Tillåt Om du använder en nätverkssäkerhetsgrupp i stället för en brandvägg lägger du till regler för utgående trafik för att tillåta installation.
Prioritet Port Protokoll Source Resmål Åtgärd 110 Vilken som helst Vilken som helst Vilken som helst SUSE- eller Red Hat-slutpunkter Tillåt 115 Vilken som helst Vilken som helst Vilken som helst Azure Resource Manager Tillåt 116 Vilken som helst Vilken som helst Vilken som helst Microsoft Entra ID Tillåt 117 Vilken som helst Vilken som helst Vilken som helst Lagringskonton Tillåt 118 8080 Vilken som helst Vilken som helst Nyckelvalv (Key vault) Tillåt 119 Vilken som helst Vilken som helst Vilken som helst virtuellt nätverk Tillåt