Preparar a rede para a implementação da infraestrutura

Neste guia de instruções, você aprenderá como preparar uma rede virtual para implantar a infraestrutura S/4 HANA usando o Centro do Azure para soluções SAP. Este artigo fornece orientações gerais sobre como criar uma rede virtual. Seu ambiente individual e caso de uso determinarão como você precisa configurar suas próprias configurações de rede para uso com um recurso de Instância Virtual para SAP (VIS ).

Se você tiver uma rede existente que esteja pronta para usar com o Centro do Azure para soluções SAP, vá para o guia de implantação em vez de seguir este guia.

Pré-requisitos

  • Uma subscrição do Azure.
  • Reveja as quotas da sua subscrição do Azure. Se as cotas forem baixas, talvez seja necessário criar uma solicitação de suporte antes de criar sua implantação de infraestrutura. Caso contrário, você pode enfrentar falhas de implantação ou um erro de cota insuficiente.
  • É recomendável ter vários endereços IP na sub-rede ou sub-redes antes de começar a implantação. Por exemplo, é sempre melhor ter uma /26 máscara em vez de /29.
  • Os nomes, incluindo AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet e GatewaySubnet são nomes reservados no Azure. Por favor, não os use como nomes de sub-rede.
  • Observe o SAP Application Performance Standard (SAPS) e o tamanho da memória do banco de dados necessários para permitir que as soluções do Azure Center for SAP dimensionem seu sistema SAP. Se não tiver certeza, você também pode selecionar as VMs. São eles:
    • Um único ou cluster de VMs ASCS, que compõem uma única instância ASCS no VIS.
    • Uma única ou um cluster de VMs de banco de dados, que compõem uma única instância de banco de dados no VIS.
    • Uma única VM do Servidor de Aplicativos, que compõe uma única instância de Aplicativo no VIS. Dependendo do número de Servidores de Aplicativos que estão sendo implantados ou registrados, pode haver várias instâncias de aplicativos.

Criar rede

Tem de criar uma rede para a implementação da infraestrutura no Azure. Certifique-se de que cria a rede na mesma região em que pretende implementar o sistema SAP.

Alguns dos componentes de rede necessários são:

  • Uma rede virtual
  • Sub-redes para os servidores de aplicativos e servidores de banco de dados. Sua configuração precisa permitir a comunicação entre essas sub-redes.
  • Grupos de segurança de rede do Azure
  • Tabelas de rotas
  • Firewalls (ou gateway NAT)

Para obter mais informações, consulte o exemplo de configuração de rede.

Ligar rede

No mínimo, a rede precisa de ter conectividade Internet de saída para que a implementação da infraestrutura e a instalação do software sejam bem-sucedidas. As sub-redes da aplicação e base de dados também precisam de se ser capazes de comunicar entre si.

Se a conectividade com a Internet não for possível, permita listar os endereços IP para as seguintes áreas:

Em seguida, certifique-se de que todos os recursos dentro da rede virtual podem se conectar uns aos outros. Por exemplo, configure um grupo de segurança de rede para permitir que os recursos dentro da rede virtual se comuniquem ouvindo em todas as portas.

  • Defina os intervalos de portas de origem como *.
  • Defina os intervalos de portas de destino como *.
  • Defina a ação como Permitir

Se não for possível permitir que os recursos dentro da rede virtual se conectem uns aos outros, permita conexões entre o aplicativo e as sub-redes do banco de dados e abra portas SAP importantes na rede virtual.

Allowlist SUSE ou Red Hat endpoints

Se você estiver usando o SUSE para as VMs, permita listar os pontos de extremidade SUSE. Por exemplo:

  1. Crie uma VM com qualquer sistema operacional usando o portal do Azure ou usando o Azure Cloud Shell. Ou instale o openSUSE Leap da Microsoft Store e habilite o WSL.
  2. Instale o pip3 executando zypper install python3-pipo .
  3. Instale o pacote pip susepubliccloudinfo executando pip3 install susepubliccloudinfo.
  4. Obtenha uma lista de endereços IP para configurar na rede e no firewall executando pint microsoft servers --json --region com o parâmetro de região do Azure apropriado.
  5. Allowlist todos esses endereços IP no firewall ou grupo de segurança de rede onde você planeja anexar as sub-redes.

Se você estiver usando a Red Hat para as VMs, permita a lista de endpoints da Red Hat conforme necessário. A lista de permissões padrão é os endereços IP globais do Azure. Dependendo do seu caso de uso, você também pode precisar permitir a lista de endereços IP do Azure US Government ou do Azure Germany. Configure todos os endereços IP da sua lista no firewall ou no grupo de segurança de rede onde você deseja anexar as sub-redes.

Permitir contas de armazenamento

As soluções do Azure Center for SAP precisam de acesso às seguintes contas de armazenamento para instalar corretamente o software SAP:

  • A conta de armazenamento onde você está armazenando a mídia SAP necessária durante a instalação do software.
  • A conta de armazenamento criada pelo Centro do Azure para soluções SAP em um grupo de recursos gerenciados, que o Centro do Azure para soluções SAP também possui e gerencia.

Há várias opções para permitir o acesso a essas contas de armazenamento:

  • Permitir conectividade com a Internet
  • Configurar uma etiqueta de serviço de armazenamento
  • Configure as tags de serviço de armazenamento com escopo regional. Certifique-se de configurar tags para a região do Azure onde você está implantando a infraestrutura e onde a conta de armazenamento com a mídia SAP existe.
  • Allowlist os intervalos regionais de IP do Azure.

Cofre da chave Allowlist

O Centro do Azure para soluções SAP cria um cofre de chaves para armazenar e acessar as chaves secretas durante a instalação do software. Este cofre de chaves também armazena a senha do sistema SAP. Para permitir o acesso a este cofre de chaves, pode:

  • Permitir conectividade com a Internet
  • Configurar uma marca de serviço AzureKeyVault
  • Configure uma marca de serviço AzureKeyVault com escopo regional. Certifique-se de configurar a tag na região onde você está implantando a infraestrutura.

Lista de permissões ID do Microsoft Entra

As soluções do Azure Center for SAP usam a ID do Microsoft Entra para obter o token de autenticação para obter segredos de um cofre de chaves gerenciado durante a instalação do SAP. Para permitir o acesso ao Microsoft Entra ID, você pode:

  • Permitir conectividade com a Internet
  • Configure uma marca de serviço AzureActiveDirectory.

Allowlist Azure Resource Manager

O Centro do Azure para soluções SAP usa uma identidade gerenciada para instalação de software. A autenticação de identidade gerenciada requer uma chamada para o ponto de extremidade do Azure Resource Manager. Para permitir o acesso a esse ponto de extremidade, você pode:

  • Permitir conectividade com a Internet
  • Configure uma marca de serviço AzureResourceManager.

Abra portas SAP importantes

Se você não conseguir permitir a conexão entre todos os recursos na rede virtual, conforme descrito anteriormente, poderá abrir portas SAP importantes na rede virtual. Esse método permite que recursos dentro da rede virtual escutem essas portas para fins de comunicação. Se você estiver usando mais de uma sub-rede, essas configurações também permitirão a conectividade dentro das sub-redes.

Abra as portas SAP listadas na tabela a seguir. Substitua os valores de espaço reservado (xx) nas portas aplicáveis pelo número da instância SAP. Por exemplo, se o número da instância SAP for 01, então 32xx se tornará 3201.

Serviço SAP Intervalo de portas Permitir tráfego de entrada Permitir tráfego de saída Propósito
Agente Host 1128, 1129 Sim Sim Porta HTTP/S para o agente host SAP.
Despachante Web 32xx Sim Sim Comunicação SAPGUI e RFC.
Gateway 33xx Sim Sim Comunicação RFC.
Gateway (seguro) 48xx Sim Sim Comunicação RFC.
Gerente de Comunicação da Internet (ICM) 80xx, 443xx Sim Sim Comunicação HTTP/S para SAP Fiori, GUI WEB
Servidor de mensagens 36xx, 81xx, 444xx Sim No Balanceamento de carga; Comunicação ASCS com servidores de aplicativos; Entrada na GUI; Tráfego HTTP/S de e para o servidor de mensagens.
Agente de controlo 5xx13, 5xx14 Sim No Parar, iniciar e obter o status do sistema SAP.
Instalação SAP 4237 Sim No Instalação inicial do SAP.
HTTP e HTTPS 5xx00, 5xx01 Sim Sim Porta do servidor HTTP/S.
IIOP 5xx02, 5xx03, 5xx07 Sim Sim Porta de solicitação de serviço.
P4 5xx04-6 Sim Sim Porta de solicitação de serviço.
Telnet 5xx08 Sim No Porta de serviço para gestão.
Comunicação SQL 3xx13, 3xx15, 3xx40-98 Sim No Porta de comunicação de banco de dados com aplicativo, incluindo sub-rede ABAP ou JAVA.
SQL Server 1433 Sim No Porta padrão para MS-SQL no SAP; necessário para comunicação de banco de dados ABAP ou JAVA.
Motor HANA XS 43xx, 80xx Sim Sim Porta de solicitação HTTP/S para conteúdo da Web.

Exemplo de configuração de rede

O processo de configuração para uma rede de exemplo pode incluir:

  1. Crie uma rede virtual ou use uma rede virtual existente.

  2. Crie as seguintes sub-redes dentro da rede virtual:

    1. Uma sub-rede de camada de aplicativo.

    2. Uma sub-rede de camada de banco de dados.

    3. Uma sub-rede para uso com o firewall, chamada Azure FirewallSubnet.

  3. Crie um novo recurso de firewall:

    1. Anexe o firewall à rede virtual.

    2. Crie uma regra para permitir a lista de endpoints RHEL ou SUSE. Certifique-se de permitir todos os endereços IP de origem (*), defina a porta de origem como Any, permita os endereços IP de destino para RHEL ou SUSE e defina a porta de destino como Any.

    3. Crie uma regra para permitir tags de serviço. Certifique-se de permitir todos os endereços IP de origem (*), defina o tipo de destino como Service tag. Em seguida, permita as tags Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager e Microsoft.AzureActiveDirectory.

  4. Crie um recurso de tabela de rotas:

    1. Adicione uma nova rota do tipo Virtual Appliance.

    2. Defina o endereço IP para o endereço IP do firewall, que você pode encontrar na visão geral do recurso de firewall no portal do Azure.

  5. Atualize as sub-redes das camadas de aplicativo e banco de dados para usar a nova tabela de rotas.

  6. Se estiver a utilizar um grupo de segurança de rede com a rede virtual, adicione a seguinte regra de entrada. Esta regra fornece conectividade entre as sub-redes para as camadas de aplicativo e banco de dados.

    Prioridade Porta Protocolo Origem Destino Ação
    100 Qualquer Qualquer rede virtual rede virtual Permitir
  7. Se você estiver usando um grupo de segurança de rede em vez de um firewall, adicione regras de saída para permitir a instalação.

    Prioridade Porta Protocolo Origem Destino Ação
    110 Qualquer Qualquer Qualquer Pontos de extremidade SUSE ou Red Hat Permitir
    115 Qualquer Qualquer Qualquer Azure Resource Manager Permitir
    116 Qualquer Qualquer Qualquer Microsoft Entra ID Permitir
    117 Qualquer Qualquer Qualquer Contas de armazenamento Permitir
    118 8080 Qualquer Qualquer Key Vault Permitir
    119 Qualquer Qualquer Qualquer rede virtual Permitir

Próximos passos