Bagikan melalui

Menyiapkan jaringan untuk penyebaran infrastruktur

  • Artikel

Dalam panduan cara ini, Anda akan mempelajari cara menyiapkan jaringan virtual untuk menyebarkan infrastruktur S/4 HANA menggunakan Azure Center untuk solusi SAP. Artikel ini menyediakan panduan umum tentang membuat jaringan virtual. Lingkungan individual dan kasus penggunaan Anda akan menentukan bagaimana Anda perlu mengonfigurasi pengaturan jaringan Anda sendiri untuk digunakan dengan sumber daya Instans Virtual untuk SAP (VIS).

Jika Anda memiliki jaringan yang sudah ada yang siap Anda gunakan dengan solusi Azure Center for SAP, buka panduan penyebaran alih-alih mengikuti panduan ini.

Prasyarat

  • Langganan Azure.
  • Tinjau kuota untuk langganan Azure Anda. Jika kuota rendah, Anda mungkin perlu membuat permintaan dukungan sebelum membuat penyebaran infrastruktur Anda. Jika tidak, Anda mungkin mengalami kegagalan penyebaran atau kesalahan kuota yang tidak mencukup.
  • Disarankan untuk memiliki beberapa alamat IP di subnet atau subnet sebelum Anda memulai penyebaran. Misalnya, selalu lebih baik memiliki /26 masker alih-alih /29.
  • Nama-nama termasuk AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet, dan GatewaySubnet adalah nama yang dicadangkan dalam Azure. Jangan gunakan ini sebagai nama subnet.
  • Perhatikan SAP Application Performance Standard (SAPS) dan ukuran memori database yang Anda butuhkan untuk memungkinkan Azure Center untuk solusi SAP untuk mengukur sistem SAP Anda. Jika tidak yakin, Anda juga dapat memilih VM. Ada:
    • Satu atau kluster VM ASCS, yang membentuk satu instans ASCS di VIS.
    • Satu atau kluster VM Database, yang membentuk satu instans Database di VIS.
    • Satu VM Server Aplikasi, yang membentuk satu instans Aplikasi di VIS. Tergantung pada jumlah Server Aplikasi yang disebarkan atau didaftarkan, mungkin ada beberapa instans aplikasi.

Buat jaringan

Anda harus membuat jaringan untuk penyebaran infrastruktur di Azure. Pastikan untuk membuat jaringan di wilayah yang sama dengan yang Anda inginkan untuk menyebarkan sistem SAP.

Beberapa komponen jaringan yang diperlukan adalah:

  • Jaringan virtual
  • Subnet untuk Server Aplikasi dan Server Database. Konfigurasi Anda perlu mengizinkan komunikasi antara subnet ini.
  • Kelompok keamanan jaringan Azure
  • Tabel rute
  • Firewall (atau NAT Gateway)

Untuk informasi selengkapnya, lihat contoh konfigurasi jaringan.

Menyambungkan jaringan

Minimal, jaringan perlu memiliki konektivitas internet keluar untuk keberhasilan penyebaran infrastruktur dan instalasi perangkat lunak. Subnet aplikasi dan database juga harus dapat berkomunikasi satu sama lain.

Jika konektivitas internet tidak dimungkinkan, izinkan daftar alamat IP untuk area berikut:

Kemudian, pastikan semua sumber daya dalam jaringan virtual dapat terhubung satu sama lain. Misalnya, konfigurasikan grup keamanan jaringan untuk memungkinkan sumber daya dalam jaringan virtual berkomunikasi dengan mendengarkan di semua port.

  • Atur Rentang port sumber ke *.
  • Atur Rentang port tujuan ke *.
  • Atur Tindakan ke Izinkan

Jika tidak memungkinkan untuk mengizinkan sumber daya dalam jaringan virtual terhubung satu sama lain, izinkan koneksi antara subnet aplikasi dan database, dan buka port SAP penting di jaringan virtual sebagai gantinya.

Titik akhir Allowlist SUSE atau Red Hat

Jika Anda menggunakan SUSE untuk VM, izinkan daftar titik akhir SUSE. Contohnya:

  1. Buat VM dengan OS apa pun menggunakan portal Azure atau menggunakan Azure Cloud Shell. Atau, instal openSUSE Leap dari Microsoft Store dan aktifkan WSL.
  2. Instal pip3 dengan menjalankan zypper install python3-pip.
  3. Instal paket pip susepubliccloudinfo dengan menjalankan pip3 install susepubliccloudinfo.
  4. Dapatkan daftar alamat IP untuk dikonfigurasi di jaringan dan firewall dengan menjalankan pint microsoft servers --json --region dengan parameter wilayah Azure yang sesuai.
  5. Izinkan daftar semua alamat IP ini pada firewall atau grup keamanan jaringan tempat Anda berencana untuk melampirkan subnet.

Jika Anda menggunakan Red Hat untuk VM, izinkan daftar titik akhir Red Hat sesuai kebutuhan. Daftar izin default adalah alamat IP Global Azure. Bergantung pada kasus penggunaan Anda, Anda mungkin juga perlu mengizinkan alamat IP Azure US Government atau Azure Jerman. Konfigurasikan semua alamat IP dari daftar Anda di firewall atau grup keamanan jaringan tempat Anda ingin melampirkan subnet.

Akun penyimpanan daftar izin

Solusi Azure Center for SAP memerlukan akses ke akun penyimpanan berikut untuk menginstal perangkat lunak SAP dengan benar:

  • Akun penyimpanan tempat Anda menyimpan media SAP yang diperlukan selama penginstalan perangkat lunak.
  • Akun penyimpanan yang dibuat oleh Azure Center untuk solusi SAP dalam grup sumber daya terkelola, yang juga dimiliki dan dikelola oleh solusi Azure Center for SAP.

Ada beberapa opsi untuk mengizinkan akses ke akun penyimpanan ini:

  • Perbolehkan konektivitas internet
  • Mengonfigurasi tag layanan Penyimpanan
  • Mengonfigurasi tag layanan Storage dengan cakupan regional. Pastikan untuk mengonfigurasi tag untuk wilayah Azure tempat Anda menyebarkan infrastruktur, dan tempat akun penyimpanan dengan media SAP berada.
  • Izinkan daftar rentang IP Azure regional.

Allowlist Key Vault

Solusi Azure Center for SAP membuat brankas kunci untuk menyimpan dan mengakses kunci rahasia selama penginstalan perangkat lunak. Brankas kunci ini juga menyimpan kata sandi sistem SAP. Untuk mengizinkan akses ke brankas kunci ini, Anda dapat:

  • Perbolehkan konektivitas internet
  • Mengonfigurasi tag layanan AzureKeyVault
  • Konfigurasikan tag layanan AzureKeyVault dengan cakupan regional. Pastikan untuk mengonfigurasi tag di wilayah tempat Anda menyebarkan infrastruktur.

ID Microsoft Entra Daftar Izin

Solusi Azure Center for SAP menggunakan ID Microsoft Entra untuk mendapatkan token autentikasi untuk mendapatkan rahasia dari brankas kunci terkelola selama penginstalan SAP. Untuk mengizinkan akses ke ID Microsoft Entra, Anda dapat:

Daftar izin Azure Resource Manager

Solusi Azure Center for SAP menggunakan identitas terkelola untuk penginstalan perangkat lunak. Autentikasi identitas terkelola memerlukan panggilan ke titik akhir Azure Resource Manager. Untuk mengizinkan akses ke titik akhir ini, Anda dapat:

Buka port SAP penting

Jika Anda tidak dapat mengizinkan koneksi antara semua sumber daya di jaringan virtual seperti yang dijelaskan sebelumnya, Anda dapat membuka port SAP penting di jaringan virtual sebagai gantinya. Metode ini memungkinkan sumber daya dalam jaringan virtual mendengarkan port ini untuk tujuan komunikasi. Jika Anda menggunakan lebih dari satu subnet, pengaturan ini juga memungkinkan konektivitas dalam subnet.

Buka port SAP yang tercantum dalam tabel berikut. Ganti nilai tempat penampung (xx) di port yang berlaku dengan nomor instans SAP Anda. Misalnya, jika nomor instans SAP Anda adalah 01, maka 32xx menjadi 3201.

Layanan SAP Rentang port Perbolehkan lalu lintas masuk Izinkan lalu lintas keluar Tujuan
Agen Host 1128, 1129 Ya Ya Port HTTP/S untuk agen host SAP.
Web Dispatcher 32xx Ya Ya Komunikasi SAPGUI dan RFC.
Gateway 33xx Ya Ya Komunikasi RFC.
Gateway (diamankan) 48xx Ya Ya Komunikasi RFC.
Internet Communication Manager (ICM) 80xx, 443xx Ya Ya Komunikasi HTTP/S untuk SAP Fiori, WEB GUI
Server pesan 36xx, 81xx, 444xx Ya Tidak Penyeimbangan beban; ASCS ke komunikasi server aplikasi; Masuk GUI; Lalu lintas HTTP/S ke dan dari server pesan.
Agen kontrol 5xx13, 5xx14 Ya Tidak Hentikan, mulai, dan dapatkan status sistem SAP.
Penginstalan SAP 4237 Ya Tidak Penginstalan SAP awal.
HTTP dan HTTPS 5xx00, 5xx01 Ya Ya Port server HTTP/S.
IIOP 5xx02, 5xx03, 5xx07 Ya Ya Port permintaan layanan.
P4 5xx04-6 Ya Ya Port permintaan layanan.
Telnet 5xx08 Ya Tidak Port layanan untuk manajemen.
Komunikasi SQL 3xx13, 3xx15, 3xx40-98 Ya Tidak Port komunikasi database dengan aplikasi, termasuk subnet ABAP atau JAVA.
Server SQL 1433 Ya Tidak Port default untuk MS-SQL di SAP; diperlukan untuk komunikasi database ABAP atau JAVA.
Mesin HANA XS 43xx, 80xx Ya Ya Port permintaan HTTP/S untuk konten web.

Contoh konfigurasi jaringan

Proses konfigurasi untuk jaringan contoh mungkin mencakup:

  1. Buat jaringan virtual, atau gunakan jaringan virtual yang ada.

  2. Buat subnet berikut di dalam jaringan virtual:

    1. Subnet tingkat aplikasi.

    2. Subnet tingkat database.

    3. Subnet untuk digunakan dengan firewall, bernama Azure FirewallSubnet.

  3. Buat sumber daya firewall baru:

    1. Lampirkan firewall ke jaringan virtual.

    2. Buat aturan untuk mengizinkan titik akhir RHEL atau SUSE. Pastikan untuk mengizinkan semua alamat IP sumber (*), atur port sumber ke Apa pun, izinkan alamat IP tujuan untuk RHEL atau SUSE, dan atur port tujuan ke Apa pun.

    3. Buat aturan untuk mengizinkan tag layanan. Pastikan untuk mengizinkan semua alamat IP sumber (*), atur jenis tujuan ke Tag layanan. Kemudian, izinkan tag Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager, dan Microsoft.AzureActiveDirectory.

  4. Buat sumber daya tabel rute:

    1. Tambahkan rute baru jenis Virtual Appliance.

    2. Atur alamat IP ke alamat IP firewall, yang dapat Anda temukan pada gambaran umum sumber daya firewall di portal Azure.

  5. Perbarui subnet untuk tingkat aplikasi dan database untuk menggunakan tabel rute baru.

  6. Jika Anda menggunakan grup keamanan jaringan dengan jaringan virtual, tambahkan aturan masuk berikut. Aturan ini menyediakan konektivitas antara subnet untuk tingkat aplikasi dan database.

    Prioritas Port Protokol Sumber Tujuan Tindakan
    100 Apa pun Apa pun jaringan virtual jaringan virtual Izinkan

  7. Jika Anda menggunakan grup keamanan jaringan alih-alih firewall, tambahkan aturan keluar untuk mengizinkan penginstalan.

    Prioritas Port Protokol Sumber Tujuan Tindakan
    110 Apa pun Apa pun Apa pun Titik akhir SUSE atau Red Hat Izinkan
    115 Apa pun Apa pun Apa pun Azure Resource Manager Izinkan
    116 Apa pun Apa pun Apa pun Microsoft Entra ID Izinkan
    117 Apa pun Apa pun Apa pun Akun penyimpanan Izinkan
    118 8080 Apa pun Apa pun Brankas kunci Izinkan
    119 Apa pun Apa pun Apa pun jaringan virtual Izinkan

Langkah berikutnya