Bu makale, Azure altyapısında SAP'niz için gelen ve giden İnternet bağlantılarının güvenliğini geliştirmeye yönelik kanıtlanmış bir dizi uygulama sağlar.
Mimari
Bu makaledeki mimarilerin Visio dosyasını indirin.
Bu çözüm ortak bir üretim ortamını gösterir. Yapılandırmanın boyutunu ve kapsamını gereksinimlerinize uyacak şekilde küçültebilirsiniz. Bu azaltma SAP ortamı için geçerli olabilir: daha az sanal makine (VM), yüksek kullanılabilirlik yok veya ayrık VM'ler yerine eklenmiş SAP Web Dağıtıcıları. Ayrıca, bu makalenin devamında açıklandığı gibi ağ tasarımına yönelik alternatifler için de geçerli olabilir.
İş ilkelerine dayalı müşteri gereksinimleri, mimariye, özellikle de ağ tasarımına yönelik uyarlamalar gerektirir. Mümkün olduğunda alternatifleri de dahil ettik. Birçok çözüm uygulanabilir. İşletmeniz için uygun bir yaklaşım seçin. Azure kaynaklarınızın güvenliğini sağlamanıza yardımcı olması ancak yine de yüksek performanslı bir çözüm sağlaması gerekir.
Olağanüstü durum kurtarma (DR) bu mimaride ele alınmıyor. Ağ tasarımı için, birincil üretim bölgeleri için geçerli olan ilkeler ve tasarımlar geçerlidir. Ağ tasarımınızda, DR tarafından korunan uygulamalara bağlı olarak, DR'yi başka bir Azure bölgesinde etkinleştirmeyi göz önünde bulundurun. Daha fazla bilgi için SAP iş yükü için olağanüstü durum kurtarmaya genel bakış ve altyapı yönergeleri makalesine bakın
İş Akışı
- Şirket içi ağ, Azure ExpressRoute aracılığıyla merkezi bir hub'a bağlanır. Merkez sanal ağı bir ağ geçidi alt ağı, bir Azure Güvenlik Duvarı alt ağı, paylaşılan hizmetler alt ağı ve Azure Uygulaması lication Gateway alt ağını içerir.
- Hub, sanal ağ eşlemesi aracılığıyla bir SAP üretim aboneliğine bağlanır. Bu abonelik iki uç sanal ağı içerir:
- SAP çevre sanal ağı bir SAP çevre uygulaması alt ağı içerir.
- SAP üretim sanal ağı bir uygulama alt ağı ve bir veritabanı alt ağı içerir.
- Merkez aboneliği ve SAP üretim aboneliği genel IP adresleri aracılığıyla İnternet'e bağlanır.
Bileşenler
Abonelikler. Bu mimari, Azure giriş bölgesi yaklaşımını uygular. Her iş yükü için bir Azure aboneliği kullanılır. Bir veya daha fazla abonelik, ağ hub'ı ve merkezi, güvenlik duvarları veya Active Directory ve DNS gibi paylaşılan hizmetleri içeren merkezi BT hizmetleri için kullanılır. SAP üretim iş yükü için başka bir abonelik kullanılır. Senaryonuz için en iyi abonelik stratejisini belirlemek için Azure Bulut Benimseme Çerçevesi karar kılavuzunu kullanın.
Sanal ağlar. Azure Sanal Ağ, gelişmiş güvenlikle Azure kaynaklarını birbirine bağlar. Bu mimaride sanal ağ, merkez-uç topolojisinin hub'ına dağıtılan bir ExpressRoute veya sanal özel ağ (VPN) ağ geçidi aracılığıyla şirket içi ortama bağlanır. SAP üretim ortamı kendi uç sanal ağlarını kullanır. İki farklı uç sanal ağı farklı görevler gerçekleştirir ve alt ağlar ağ ayrımları sağlar.
alt ağlara iş yüküne göre ayırma, dağıtılan uygulama VM'leri veya Azure hizmetleri için güvenlik kuralları ayarlamak üzere ağ güvenlik gruplarının (NSG) kullanılmasını kolaylaştırır.
Alanlar arası yedekli ağ geçidi. Ağ geçidi farklı ağları birbirine bağlayarak şirket içi ağınızı Azure sanal ağına genişletir. Genel İnternet kullanmayan özel bağlantılar oluşturmak için ExpressRoute kullanmanızı öneririz. Siteden siteye bağlantı da kullanabilirsiniz. Alanlar arası yedekli Azure ExpressRoute veya VPN ağ geçitlerini kullanarak bölge hatalarına karşı koruma sağlayın. Bölgesel dağıtım ile alanlar arası yedekli dağıtım arasındaki farkların açıklaması için bkz. Alanlar arası yedekli sanal ağ geçitleri. Ağ geçitlerinin bölge dağıtımı için Standart SKU IP adreslerini kullanmanız gerekir.
NSG'ler. Sanal ağa gelen ve sanal ağdan gelen ağ trafiğini kısıtlamak için NSG'ler oluşturun ve bunları belirli alt ağlara atayın. İş yüküne özgü NSG'leri kullanarak tek tek alt ağlar için güvenlik sağlayın.
Uygulama güvenlik grupları. NSG'lerinizde uygulamaları temel alan iş yüklerine göre ayrıntılı ağ güvenlik ilkeleri tanımlamak için açık IP adresleri yerine uygulama güvenlik gruplarını kullanın. Uygulama güvenlik gruplarını kullanarak VM'leri sap SID gibi bir amaca göre gruplandırabilirsiniz. Uygulama güvenlik grupları, ağınızın güvenilen kesimlerinden gelen trafiği filtreleyerek uygulamaların güvenliğini sağlamaya yardımcı olur.
Özel uç nokta. Birçok Azure hizmeti, İnternet üzerinden erişilebilen tasarım gereği genel hizmetler olarak çalışır. Özel ağ aralığınız üzerinden özel erişime izin vermek için bazı hizmetler için özel uç noktaları kullanabilirsiniz. Özel uç noktalar , sanal ağınızdaki ağ arabirimleridir. Hizmeti etkin bir şekilde özel ağ alanınıza getirir.
Azure Uygulaması Lication Gateway. Application Gateway bir web trafiği yük dengeleyicidir. Web Uygulaması Güvenlik Duvarı işlevselliğiyle, gelişmiş güvenlikle web uygulamalarını İnternet'te kullanıma sunmanın ideal hizmetidir. Application Gateway, yapılandırmaya bağlı olarak genel (internet) veya özel istemcilere ya da her ikisine de hizmet verebilir.
Mimaride, genel IP adresi kullanan Application Gateway, HTTPS üzerinden SAP ortamına gelen bağlantılara izin verir. Arka uç havuzu iki veya daha fazla SAP Web Dispatcher SANAL makinesidir ve hepsini bir kez deneme erişimine sahiptir ve yüksek kullanılabilirlik sağlar. Uygulama ağ geçidi ters ara sunucu ve web trafiği yük dengeleyicidir, ancak SAP Web Dispatcher'ın yerini almaz. SAP Web Dispatcher SAP sistemlerinizle uygulama tümleştirmesi sağlar ve Application Gateway'in tek başına sağlamadığı özellikleri içerir. SAP sistemlerine ulaştığında istemci kimlik doğrulaması, SAP uygulama katmanı tarafından yerel olarak veya çoklu oturum açma yoluyla gerçekleştirilir. Azure DDoS korumasını etkinleştirdiğinizde Application Gateway Web Uygulaması Güvenlik Duvarı indirimlerini göreceğiniz için DDoS ağ koruması SKU'su kullanmayı göz önünde bulundurun.
En iyi performans için Application Gateway, SAP Web Dispatcher ve SAP NetWeaver için HTTP/2 desteğini etkinleştirin.
Azure Load Balancer. Azure Standart Load Balancer, SAP sistemlerinizin yüksek kullanılabilirlik tasarımı için ağ öğeleri sağlar. Kümelenmiş sistemler için Standart Load Balancer, ASCS/SCS örnekleri ve VM'lerde çalışan veritabanları gibi küme hizmeti için sanal IP adresini sağlar. Azure ağ kartlarındaki ikincil IP'ler bir seçenek olmadığında kümelenmemiş sistemlerin sanal SAP ana bilgisayar adının IP adresini sağlamak için de Standart Load Balancer kullanabilirsiniz. Giden İnternet erişimini ele almak için Application Gateway yerine Standart Load Balancer kullanımı bu makalenin devamında ele alınmıştır.
Ağ tasarımı
Mimari, her ikisi de merkezi merkez sanal ağıyla eşlenen uç sanal ağları olmak üzere iki ayrı sanal ağ kullanır. Konuşarak konuşma eşlemesi yoktur. İletişimin merkezden geçtiği bir yıldız topolojisi kullanılır. Ağların ayrılması, uygulamaların ihlallere karşı korunmasına yardımcı olur.
Uygulamaya özgü çevre ağı (DMZ olarak da bilinir), SAProuter, SAP Cloud Connector, SAP Analytics Bulut Aracısı ve diğerleri gibi İnternet'e yönelik uygulamaları içerir. Mimari diyagramında çevre ağına SAP çevre - uç sanal ağı adı verilmiştir. SAP sistemlerine bağımlılıkları nedeniyle SAP ekibi genellikle bu hizmetlerin dağıtımını, yapılandırmasını ve yönetimini yapar. Bu nedenle bu SAP çevre hizmetleri genellikle merkezi bir merkez aboneliğinde ve ağında yer almaz. Kurumsal zorluklar genellikle iş yüküne özgü uygulamaların veya hizmetlerin merkezi merkez yerleşimlerinden kaynaklanıyor.
Ayrı bir SAP çevre sanal ağı kullanmanın avantajlarından bazıları şunlardır:
- Bir ihlal algılanırsa, güvenliği aşılmış hizmetlerin hızlı ve anında yalıtılmasını sağlar. SANAL ağ eşlemesinin SAP çevresinden hub'a kaldırılması, SAP çevre iş yüklerini ve SAP uygulaması sanal ağ uygulamalarını İnternet'ten hemen yalıtıyor. Erişime izin veren bir NSG kuralının değiştirilmesi veya kaldırılması yalnızca yeni bağlantıları etkiler ve mevcut bağlantıları kesmez.
- SAP çevre ağı ve SAP uygulama ağlarındaki iletişim iş ortaklarına sıkı bir kilitleme ile sanal ağ ve alt ağ üzerinde daha sıkı denetimler. SAP çevre uygulamaları için farklı yetkilendirme arka uçları, ayrıcalıklı erişim veya oturum açma kimlik bilgileriyle, daha fazla denetimi SAP çevre uygulamalarındaki yetkili kullanıcılara ve erişim yöntemlerine genişletebilirsiniz.
Dezavantajları, İnternet'e bağlı SAP trafiği için artan karmaşıklık ve ek sanal ağ eşleme maliyetleridir (çünkü iletişimin sanal ağ eşlemeden iki kez geçmesi gerekir). Uç-merkez-uç eşleme trafiği üzerindeki gecikme süresi, mevcut olan ve ölçülmesi gereken güvenlik duvarına bağlıdır.
Basitleştirilmiş mimari
Bu makaledeki önerileri ele almak ancak dezavantajları sınırlamak için hem çevre hem de SAP uygulamaları için tek uçlu bir sanal ağ kullanabilirsiniz. Aşağıdaki mimari tek bir SAP üretim sanal ağındaki tüm alt ağları içerir. Sap çevresine sanal ağ eşlemesi sonlandırılarak anında yalıtımın avantajı, güvenliği aşıldıysa kullanılamaz. Bu senaryoda, NSG'lerde yapılan değişiklikler yalnızca yeni bağlantıları etkiler.
Bu makaledeki mimarilerin Visio dosyasını indirin.
Boyutu ve kapsamı daha küçük olan dağıtımlar için basitleştirilmiş mimari daha uygun olabilir ve yine de daha karmaşık mimarinin ilkelerine uyar. Bu makale, aksi belirtilmedikçe daha karmaşık mimariyi ifade eder.
Basitleştirilmiş mimari, SAP çevre alt akında bir NAT ağ geçidi kullanır. Bu ağ geçidi, DAĞıTılan VM'ler için SAP Cloud Connector ve SAP Analytics Bulut Aracısı ve işletim sistemi güncelleştirmeleri için giden bağlantı sağlar. SAProuter hem gelen hem de giden bağlantılar gerektirdiğinden, SAProuter iletişim yolu NAT ağ geçidini kullanmak yerine güvenlik duvarından geçer. Basitleştirilmiş mimari, hub sanal ağına alternatif bir yaklaşım olarak Application Gateway'i kendi belirlenmiş alt ağına sap çevre sanal ağına da yerleştirir.
NAT ağ geçidi, giden bağlantı için statik genel IP adresleri sağlayan bir hizmettir. NAT ağ geçidi bir alt ağa atanır. Tüm giden iletişimler, İnternet erişimi için NAT ağ geçidinin IP adreslerini kullanır. Gelen bağlantılar NAT ağ geçidini kullanmaz. SAP Cloud Connector veya vm işletim sistemi güncelleştirme hizmetleri gibi internet üzerindeki depolara erişen uygulamalar, tüm giden trafiği merkezi güvenlik duvarı üzerinden yönlendirmek yerine NAT ağ geçidini kullanabilir. Sık sık, merkezi güvenlik duvarı üzerinden tüm sanal ağlardan İnternet'e bağlı trafiği zorlamak için tüm alt ağlarda kullanıcı tanımlı kurallar uygulanır.
Gereksinimlerinize bağlı olarak, giden bağlantılar için merkezi güvenlik duvarına alternatif olarak NAT ağ geçidini kullanabilirsiniz. Bunu yaparak, NSG tarafından izin verilen genel uç noktalarla iletişim kurarken merkezi güvenlik duvarı üzerindeki yükü azaltabilirsiniz. Nat ağ geçidinin ayarlanmış BIR IP listesinde hedef güvenlik duvarı kurallarını yapılandırabildiğiniz için giden IP denetimi de alırsınız. Örnek olarak genel hizmetler, işletim sistemi düzeltme eki depoları veya üçüncü taraf arabirimler tarafından kullanılan Azure genel uç noktalarına ulaşabilirsiniz.
Yüksek kullanılabilirlik yapılandırması için NAT ağ geçidinin yalnızca tek bir bölgede dağıtıldığını ve şu anda alanlar arası yedekli olmadığını unutmayın. Tek bir NAT ağ geçidiyle, sanal makineler için alanlar arası yedekli (bölgeler arası) dağıtım kullanan SAP dağıtımları için ideal değildir.
SAP ortamı genelinde ağ bileşenlerinin kullanımı
Mimari belgesinde genellikle yalnızca bir SAP sistemi veya yatay gösterilir. Bu, anlaşılmasını kolaylaştırır. Sonuç olarak, mimarinin çeşitli sistem parçaları ve katmanları içeren daha büyük bir SAP ortamına nasıl sığdığının genellikle büyük resmi ele alınmıyor olmasıdır.
Dağıtıldıklarında güvenlik duvarı, NAT ağ geçidi ve ara sunucu gibi merkezi ağ hizmetleri, üretim, üretim öncesi, geliştirme ve korumalı alan gibi tüm katmanların SAP ortamında en iyi şekilde kullanılır. Gereksinimlerinize, kuruluşunuzun boyutuna ve iş ilkelerine bağlı olarak katman başına ayrı uygulamaları veya bir üretim ve bir korumalı alan/test ortamı kullanmayı düşünebilirsiniz.
Genellikle sap sistemine hizmet veren hizmetler en iyi şekilde burada açıklandığı gibi ayrılır:
- Yük dengeleyiciler tek tek hizmetlere ayrılmış olmalıdır. Şirket ilkesi, kaynakların adlandırılmasını ve gruplandırılmasını belirler. ASCS/SCS ve ERS için bir yük dengeleyici ve her SAP SID için ayrılmış veritabanı için başka bir yük dengeleyici öneririz. Alternatif olarak, bir SAP sisteminin hem (A)SCS, ERS hem de VERITABANı kümeleri için tek bir yük dengeleyici de iyi bir tasarımdır. Bu yapılandırma, tek bir yük dengeleyicide birçok ön uç ve arka uç havuzu ve yük dengeleme kurallarıyla sorun gidermenin karmaşık olmamasını sağlamaya yardımcı olur. SAP SID başına tek bir yük dengeleyici, kaynak gruplarındaki yerleştirmenin diğer altyapı bileşenleriyle eşleşmesini de sağlar.
- Yük dengeleyici gibi Application Gateway de birden çok arka uç, ön uç, HTTP ayarları ve kurallara izin verir. Bir uygulama ağ geçidini birden çok kullanım için kullanma kararı burada daha yaygındır çünkü ortamdaki tüm SAP sistemleri genel erişim gerektirmez. Bu bağlamdaki birden çok kullanım, aynı SAP S/4HANA sistemleri veya farklı SAP ortamları için farklı web dağıtıcı bağlantı noktaları içerir. Bağlı sistemlerin karmaşıklığı ve sayısı çok fazla olmadığı sürece katman başına en az bir uygulama ağ geçidi (üretim, üretim dışı ve korumalı alan) öneririz.
- SAProuter, Bulut Bağlayıcısı ve Analiz Bulut Aracısı gibi SAP hizmetleri, uygulama gereksinimlerine göre merkezi olarak dağıtılır veya ayrılır. Üretim ve üretim dışı ayrım genellikle istenen bir durumdur.
Alt ağ boyutlandırma ve tasarım
SAP ortamınız için alt ağlar tasarlarken boyutlandırma ve tasarım ilkelerini izlediğinizden emin olun:
- Hizmet olarak Azure platformu (PaaS) hizmetlerinin birkaçı kendi belirlenmiş alt ağlarını gerektirir.
- Application Gateway ölçeklendirme için bir /24 alt ağı önerir. Application Gateway ölçeğini sınırlamayı seçerseniz en az /26 veya daha büyük bir alt ağ kullanılabilir. Application Gateway'in (1 ve 2) her iki sürümünü de aynı alt ağda kullanamazsınız.
- NFS/SMB paylaşımlarınız veya veritabanı depolamanız için Azure NetApp Files kullanıyorsanız, belirlenen bir alt ağ gerekir. /24 alt ağı varsayılandır. Uygun boyutlandırmayı belirlemek için gereksinimlerinizi kullanın.
- SAP sanal konak adlarını kullanıyorsanız SAP alt ağlarınızda SAP çevresi de dahil olmak üzere daha fazla adres alanına ihtiyacınız vardır.
- Genellikle merkezi bir BT ekibi tarafından yönetilen Azure Bastion veya Azure Güvenlik Duvarı gibi merkezi hizmetler, yeterli boyutta kendi ayrılmış alt ağlarını gerektirir.
SAP veritabanları ve uygulamaları için ayrılmış alt ağları kullanarak NSG'leri daha katı olacak şekilde ayarlayabilirsiniz. Bu, her iki uygulama türünün de kendi kural kümeleriyle korunmasına yardımcı olur. Daha sonra ayrıntılı denetim için uygulama güvenlik gruplarına başvurmaya gerek kalmadan SAP uygulamalarına veritabanı erişimini daha kolay sınırlayabilirsiniz. SAP uygulamanızı ve veritabanı alt ağlarınızı ayırmak, NSG'lerde güvenlik kurallarınızı yönetmenizi de kolaylaştırır.
SAP hizmetleri
SAProuter
SAP desteği gibi üçüncü tarafların veya iş ortaklarınızın SAP sisteminize erişmesini sağlamak için SAProuter kullanabilirsiniz. SAProuter, Azure'da bir VM üzerinde çalışır. SAProuter kullanmak için yol izinleri saprouttab adlı düz bir dosyada depolanır. saprouttab girişleri, herhangi bir TCP/IP bağlantı noktasından SAProuter'ın arkasındaki bir ağ hedefine, genellikle SAP sistem VM'lerinize bağlantı sağlar. SAP desteği tarafından uzaktan erişim, SAProuter'a bağlıdır. Ana mimari, daha önce açıklanan tasarımı kullanır ve belirlenen SAP çevre sanal ağı içinde çalışan bir SAProuter VM'sine sahiptir. SAProuter, sanal ağ eşlemesi aracılığıyla kendi uç sanal ağında ve alt ağlarında çalışan SAP sunucularınızla iletişim kurar.
SAProuter, SAP veya iş ortaklarınız için bir tüneldir. Bu mimari, SAP/iş ortaklarına şifreli bir uygulama tüneli (ağ katmanı 7) oluşturmak için SAProuter'in SNC kullanımıyla kullanımını açıklar. IPSEC tabanlı tünelin kullanımı şu anda bu mimaride ele alınmamıştır.
Aşağıdaki özellikler İnternet üzerinden iletişim yolunun korunmasına yardımcı olur:
- Azure Güvenlik Duvarı veya üçüncü taraf bir NVA, Azure ağlarınıza genel IP giriş noktası sağlar. Güvenlik duvarı kuralları iletişimi yalnızca yetkili IP adresleriyle sınırlar. SAP desteğine bağlantınız için SAP not 48243 - SAProuter yazılımını bir güvenlik duvarı ortamıyla tümleştirmek SAP yönlendiricilerinin IP adreslerini belgeler.
- Güvenlik duvarı kuralları gibi ağ güvenlik kuralları da SAProuter'ın bağlantı noktası üzerinde (genellikle belirlenen hedefle 3299) iletişime izin verir.
- SAProuter ile kimlerin iletişim kurabileceğini ve hangi SAP sistemine erişilebileceğini belirterek saprouttab dosyasında SAProuter izin verme/reddetme kurallarını korursunuz.
- SAP sistemlerini içeren SAP üretim alt ağındaki ilgili alt ağlarda daha fazla NSG kuralı vardır.
SAProuter'ı Azure Güvenlik Duvarı ile yapılandırma adımları için bkz. Azure Güvenlik Duvarı ile SAProuter yapılandırması.
SAProuter güvenlik konuları
SAProuter, SAP sistemlerinizle aynı uygulama alt ağından çalışmadığından, işletim sistemi için oturum açma mekanizmaları farklı olabilir. İlkelerinize bağlı olarak, SAProuter için ayrı bir oturum açma etki alanı veya tamamen yalnızca konak kullanıcı kimlik bilgileri kullanabilirsiniz. Güvenlik ihlali varsa, farklı kimlik bilgileri temeli nedeniyle iç SAP sistemlerine basamaklı erişim mümkün değildir. Daha önce açıklandığı gibi böyle bir durumda ağ ayrımı, güvenliği aşılmış bir SAProuter'den uygulama alt ağlarınıza daha fazla erişim ayırabilir. SAP çevre sanal ağ eşlemesinin bağlantısını keserek bu yalıtımı gerçekleştirebilirsiniz.
SAProuter yüksek kullanılabilirlik konuları
SAProuter, dosya tabanlı yol izin tablosuna sahip basit bir yürütülebilir dosya olduğundan, kolayca başlatılabilir. Uygulamanın yerleşik yüksek kullanılabilirliği yoktur. Vm veya uygulama hatası varsa hizmetin başka bir VM'de başlatılması gerekir. SAProuter hizmeti için sanal konak adı kullanmak idealdir. Sanal ana bilgisayar adı, VM'nin NIC'siyle ikincil IP yapılandırması olarak atanan bir IP'ye veya VM'ye bağlı bir iç yük dengeleyiciye bağlıdır. Bu yapılandırmada, SAProuter hizmetinin başka bir VM'ye taşınması gerekiyorsa, hizmet sanal ana bilgisayar adının IP yapılandırması kaldırılabilir. Ardından, yol tablolarını veya güvenlik duvarı yapılandırmasını değiştirmenize gerek kalmadan sanal ana bilgisayar adını başka bir VM'ye eklersiniz. Bunların tümü sanal IP adresini kullanacak şekilde yapılandırılmıştır. Daha fazla bilgi için bkz . Azure'da Linux ile SAP Sanal Ana Bilgisayar Adlarını Kullanma.
Basamaklı SAProuters
Basamaklı SAProuters uygulamak için SAP destek bağlantıları için en fazla iki SAProuter tanımlayabilirsiniz. SAP çevre uygulaması alt ağından çalışan ilk SAProuter, merkezi güvenlik duvarından ve SAP veya iş ortağı SAProuters'ten erişim sağlar. İzin verilen tek hedefler, belirli iş yükleriyle çalışan diğer SAProuter'lerdir. Basamaklı SAProuters mimarinize bağlı olarak katman başına, bölge başına veya SID başına ayrım kullanabilir. İkinci SAProuter yalnızca ilk SAProuter'dan iç bağlantıları kabul eder ve tek tek SAP sistemlerine ve VM'lere erişim sağlar. Bu tasarım, gerekirse farklı ekipler arasında erişim ve yönetimi ayırmanıza olanak tanır. Basamaklı SAProuters örneği için bkz. Azure Güvenlik Duvarı ile SAProuter yapılandırması.
SAP Fiori ve WebGui
SAP uygulamaları için SAP Fiori ve diğer HTTPS ön uçları genellikle iç kurumsal ağın dışından kullanılır. İnternet'te kullanılabilir olması, SAP uygulamasının korunmasına yardımcı olmak için yüksek güvenlikli bir çözüm gerektirir. Web Uygulaması Güvenlik Duvarı ile Application Gateway bu amaçla ideal bir hizmettir.
Application Gateway'e bağlı genel IP'nin genel ana bilgisayar adına erişen kullanıcılar ve uygulamalar için, HTTPS oturumu Application Gateway'de sonlandırılır. İki veya daha fazla SAP Web Dispatcher VM'sinden oluşan arka uç havuzu, Application Gateway'den hepsini bir kez deneme oturumları alır. Gereksinimlere bağlı olarak, Web Dağıtıcısı'na yönelik bu iç trafik uygulaması ağ geçidi HTTP veya HTTPS olabilir. Application Gateway ile Web Dispatcher VM'leri arasında HTTPS ile, düzenli sertifika döndürme işlemleri için SAP ekibi tarafından iyi bilinen bir sertifika ve sertifika zinciri kullanın. Web uygulaması güvenlik duvarı, OWASP çekirdek kural kümesiyle SAP Web Dispatcher'ın İnternet üzerinden gelen saldırılara karşı korunmasına yardımcı olur. Sap NetWeaver, genellikle çoklu oturum açma (SSO) aracılığıyla Microsoft Entra Id'ye bağlanır ve kullanıcı kimlik doğrulaması gerçekleştirir. Application Gateway'i kullanarak Fiori için SSO'yu yapılandırmak için gereken adımlar için bkz. Genel ve İç URL'ler için SAML ve Microsoft Entra Id kullanarak yapılandırma Çoklu Oturum Açma.
Sap Web Dispatcher'ın yalnızca dahili olarak açık olsa bile, application gateway üzerinden genel IP üzerinden veya diğer ağ araçlarıyla erişilebilen her durumda güvenliğini sağlamanız gerektiğini unutmayın. Daha fazla bilgi için bkz . SAP Web Dispatcher için Güvenlik Bilgileri.
Azure Güvenlik Duvarı ve Application Gateway
Application Gateway tarafından sağlanan tüm web trafiği HTTPS tabanlıdır ve sağlanan TLS sertifikasıyla şifrelenir. Azure Güvenlik Duvarı genel IP adresi aracılığıyla şirket ağına giriş noktası olarak kullanabilir ve ardından SAP Fiori trafiğini güvenlik duvarından Application Gateway'e bir iç IP adresi aracılığıyla yönlendirebilirsiniz. Daha fazla bilgi için bkz . Güvenlik duvarının ardından Application Gateway. TCP/IP katman 7 şifrelemesi TLS aracılığıyla zaten mevcut olduğundan, bu senaryoda güvenlik duvarı kullanmanın sınırlı bir avantajı vardır ve paket denetimi gerçekleştiremezsiniz. Fiori, hem gelen hem de giden trafik için aynı dış IP adresi üzerinden iletişim kurar ve bu genellikle SAP Fiori dağıtımları için gerekli değildir.
Tandem Application Gateway ve katman 4 güvenlik duvarı dağıtımının bazı avantajları vardır:
- Kuruluş genelinde güvenlik ilkesi yönetimiyle olası tümleştirme.
- Güvenlik kurallarını ihlal eden ağ trafiği zaten atıldığından inceleme gerektirmez.
Bu birleşik dağıtım iyi bir mimaridir. Gelen İnternet trafiğini işleme yöntemi, genel kurumsal mimarinize bağlıdır. Ayrıca genel ağ mimarisinin şirket içi istemciler gibi iç IP adresi alanından erişim yöntemlerine nasıl uyduğunu da göz önünde bulundurmanız gerekir. Bu konu bir sonraki bölümde ele alınmıştır.
İç IP adresleri için Application Gateway (isteğe bağlı)
Bu mimari İnternet'e yönelik uygulamalara odaklanır. SAP Fiori'ye, BIR SAP NetWeaver sisteminin web kullanıcı arabirimine veya bir iç, özel IP adresi aracılığıyla başka bir SAP HTTPS arabirimine erişen istemciler için çeşitli seçenekler mevcuttur. Bir senaryo, Fiori'ye tüm erişimi genel IP üzerinden genel erişim olarak ele almaktır. Bir diğer seçenek de Application Gateway'i tamamen atlayarak özel ağ üzerinden SAP Web Dispatchers'a doğrudan ağ erişimi kullanmaktır. Üçüncü bir seçenek de Application Gateway'de hem özel hem de genel IP adreslerini kullanarak hem İnternet'e hem de özel ağa erişim sağlamaktır.
SAP ortamına yalnızca özel ağ erişimi için Application Gateway'de özel IP adresiyle benzer bir yapılandırma kullanabilirsiniz. Bu durumda genel IP adresi yalnızca yönetim amacıyla kullanılır ve onunla ilişkilendirilmiş bir dinleyicisi yoktur.
Application Gateway'i kullanmaya alternatif olarak, bir yük dengeleyiciyi dahili olarak kullanabilirsiniz. Web Dispatcher VM'leri hepsini bir kez deneme arka ucu olarak yapılandırılmış standart bir iç yük dengeleyici kullanabilirsiniz. Bu senaryoda standart yük dengeleyici, SAP üretim uygulaması alt ağına Web Dispatcher VM'leri ile yerleştirilir ve Web Dağıtıcı vm'leri arasında etkin/etkin yük dengeleme sağlar.
İnternet'e yönelik dağıtımlar için, genel IP'ye sahip yük dengeleyici yerine Web Uygulaması Güvenlik Duvarı ile Application Gateway'i öneririz.
SAP İş Teknolojisi Platformu (BTP)
SAP BTP, genellikle İnternet üzerinden genel uç nokta üzerinden erişilen, SaaS veya PaaS adlı büyük bir SAP uygulamaları kümesidir. SAP Bulut Bağlayıcısı genellikle Azure'da çalışan SAP S/4HANA sistemi gibi özel ağlarda çalışan uygulamalar için iletişim sağlamak için kullanılır. SAP Cloud Connector bir VM'de uygulama olarak çalışır. SAP BTP ile TLS ile şifrelenmiş bir HTTPS tüneli oluşturmak için giden İnternet erişimi gerektirir. Sanal ağınızdaki özel IP aralığı ile SAP BTP uygulamaları arasında ters çağrı ara sunucusu işlevi görür. Bu ters çağırma desteği nedeniyle, sanal ağınızdan gelen bağlantı giden olduğundan, gelen bağlantılar için açık güvenlik duvarı bağlantı noktalarına veya başka bir erişime gerek yoktur.
Vm'ler varsayılan olarak Azure'da yerel olarak giden İnternet erişimine sahiptir. Sanal makineyle ilişkili ayrılmış genel IP adresi olmadığında giden trafik için kullanılan genel IP adresi, belirli Azure bölgesindeki genel IP'lerin havuzundan rastgele seçilir. Kontrol altına alamıyorsun. Giden bağlantıların denetimli ve tanımlanabilir bir hizmet ve IP adresi aracılığıyla yapıldığından emin olmak için aşağıdaki yöntemlerden birini kullanabilirsiniz:
- Alt ağ veya yük dengeleyici ve genel IP adresiyle ilişkilendirilmiş bir NAT ağ geçidi.
- Çalıştırdığınız HTTP proxy sunucuları.
- Ağ trafiğini güvenlik duvarı gibi bir ağ gerecine akmaya zorlayan kullanıcı tanımlı bir yol .
Mimari diyagramı en yaygın senaryoyu gösterir: İnternet'e bağlı trafiği merkez sanal ağına ve merkezi güvenlik duvarı üzerinden yönlendirme. SAP BTP hesabınıza bağlanmak için SAP Cloud Connector'da daha fazla ayar yapılandırmanız gerekir.
SAP Cloud Connector için yüksek kullanılabilirlik
Yüksek kullanılabilirlik, SAP Cloud Connector'da yerleşik olarak bulunur. Bulut Bağlayıcısı iki VM'ye yüklenir. Ana örnek etkindir ve gölge örnek buna bağlıdır. Yapılandırmayı paylaşırlar ve yerel olarak eşitlenmiş durumda tutulurlar. Ana örnek kullanılamıyorsa, ikincil VM ana rolü devralmaya ve SAP BTP'ye TLS tünelini yeniden oluşturmaya çalışır. Mimaride yüksek kullanılabilirlikli bir Bulut Bağlayıcısı ortamı gösterilir. Yapılandırma için yük dengeleyici veya küme yazılımı gibi başka azure teknolojilerine ihtiyacınız yoktur. Yapılandırma ve işlem hakkında ayrıntılı bilgi için SAP belgelerine bakın.
SAP Analytics Bulut Aracısı
Bazı uygulama senaryolarında SAP Analytics Bulut Aracısı, vm'de yüklü olan bir uygulamadır. SAP BTP bağlantısı için SAP Bulut Bağlayıcısı'nı kullanır. Bu mimaride SAP Analytics Bulut Aracısı VM'si SAP Cloud Connector VM'lerinin yanı sıra SAP çevre uygulaması alt asında çalışır. Azure sanal ağı gibi özel ağlardan SAP Analytics Bulut Aracısı aracılığıyla SAP BTP'ye trafik akışı için SAP belgelerine bakın.
Azure'da SAP Özel Bağlantı hizmeti
SAP, SAP BTP için Özel Bağlantı hizmeti sağlar. Seçili SAP BTP hizmetleri ile Azure aboneliğinizdeki ve sanal ağınızdaki seçili hizmetler arasında özel bağlantılar sağlar. Özel Bağlantı hizmeti kullandığınızda, iletişim genel İnternet üzerinden yönlendirilmez. Yüksek güvenlikli Azure genel ağ omurgası üzerinde kalır. Azure hizmetleriyle iletişim, özel bir adres alanı üzerinden gerçekleşir. Özel uç nokta belirli Bir Azure hizmetini bir IP adresiyle eşlediğinden, Özel Bağlantı hizmeti kullandığınızda geliştirilmiş veri sızdırma koruması yerleşiktir. Erişim, eşlenen Azure hizmetiyle sınırlıdır.
Bazı SAP BTP tümleştirme senaryolarında Özel Bağlantı hizmet yaklaşımı tercih edilir. Diğerleri için SAP Cloud Connector daha iyidir. Hangisini kullanacağınıza karar vermenize yardımcı olacak bilgiler için bkz. Cloud Connector ve SAP Özel Bağlantı yan yana çalıştırma.
SAP RISE/ECS
SAP, SAP sisteminizi bir SAP RISE/ECS sözleşmesi kapsamında çalıştırırsa, YÖNETILEN hizmet ortağı SAP'dir. SAP ortamı SAP tarafından dağıtılır. SAP mimarisinde, burada gösterilen mimari, SAP/ECS ile RISE içinde çalışan sistemleriniz için geçerli değildir. Bu tür SAP ortamını Azure hizmetleri ve ağınızla tümleştirme hakkında bilgi için Bkz . Azure belgeleri.
Diğer SAP iletişim gereksinimleri
İnternet'e bağlı iletişimlerle ilgili ek konular, Azure'da çalışan bir SAP yatay ortamı için geçerli olabilir. Bu mimarideki trafik akışı, bu giden trafik için merkezi bir Azure güvenlik duvarı kullanır. Uç sanal ağlarındaki kullanıcı tanımlı kurallar, İnternet'e bağlı trafik isteklerini güvenlik duvarına yönlendirir. Alternatif olarak, NAT ağ geçitlerini belirli alt ağlarda, varsayılan Azure giden iletişiminde, VM'lerde genel IP adreslerinde (önerilmez) veya giden kuralları olan bir genel yük dengeleyicide kullanabilirsiniz. Tipik senaryolar Microsoft Entra ID'nin genel uç noktalarına, management.azure.com Azure yönetim API'lerine ve giden ağ erişimi aracılığıyla üçüncü taraf uygulamaların veya kamu uygulamalarının hizmetlerine ulaşır.
Azure'da varsayılan giden erişimde yapılan değişiklikler nedeniyle ölçeklenebilir bir giden erişimin tanımlandığından emin olun. Kümelenmiş ortamlardakiler gibi standart bir iç yük dengeleyicinin arkasındaki VM'ler için, Standart Load Balancer genel bağlantı davranışını değiştirdiğini unutmayın. Daha fazla bilgi için bkz. SAP yüksek kullanılabilirlik senaryolarında Azure Standart Load Balancer kullanan VM'ler için genel uç nokta bağlantısı.
VM'lerden varsayılan giden bağlantı hakkında daha fazla bilgi için Azure Ağ blogundaki Özel Alt Ağlardan VM'ler için yönlendirme seçenekleri bölümüne bakın.
İşletim sistemi güncelleştirmeleri
İşletim sistemi güncelleştirmeleri genellikle genel bir uç noktanın arkasında bulunur ve İnternet üzerinden erişilir. Hiçbir kurumsal depo ve güncelleştirme yönetimi mevcut değilse ve satıcılardan gelen işletim sistemi güncelleştirmelerini özel IP adreslerine/ VM'lere yansıtıyorsa SAP iş yükünüzün satıcıların güncelleştirme depolarına erişmesi gerekir.
Linux işletim sistemleri için, Azure'dan işletim sistemi lisansı alırsanız aşağıdaki depolara erişebilirsiniz. Lisansları doğrudan satın alıp Azure'a (BYOS) getirirseniz işletim sistemi depolarına ve ilgili IP adresi aralıklarına bağlanma yolları hakkında işletim sistemi satıcısına başvurun.
- SUSE Enterprise Linux için SUSE, her Azure bölgesindeki sunucuların listesini tutar .
- Red Hat Enterprise Linux için Red Hat Güncelleştirme Altyapısı burada belgelenmiştir.
- Windows için Windows Update, Azure Güvenlik Duvarı için FQDN etiketleri aracılığıyla kullanılabilir.
Yüksek kullanılabilirlik kümesi yönetimi
Kümelenmiş SAP ASCS/SCS veya veritabanları gibi yüksek oranda kullanılabilir sistemler, STONITH cihazı olarak Azure çit aracısıyla bir küme yöneticisi kullanabilir. Bu sistemler Azure Resource Manager'a erişmeye bağlıdır. Resource Manager, Azure kaynakları hakkındaki durum sorguları ve vm'leri durdurup başlatan işlemler için kullanılır. Resource Manager genel bir uç nokta olduğundan, altında management.azure.com
kullanılabilir durumdaki VM giden iletişimin buna ulaşabilmesi gerekir. Bu mimari, SAP sanal ağlarından gelen trafiği yönlendiren kullanıcı tanımlı kurallarla merkezi bir güvenlik duvarı kullanır. Alternatifler için önceki bölümlere bakın.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazarlar:
- Robert Biro | Kıdemli Mimar
- Dennis Padia | Kıdemli SAP Mimarı
Diğer katkıda bulunan:
- Mick Alberts | Teknik Yazar
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Topluluklar
Soruların yanıtlarını almak ve dağıtım ayarlama konusunda yardım almak için bu toplulukları kullanmayı göz önünde bulundurun:
Sonraki adımlar
- SAP Blogları | Azure'da SAP: İnternet'e yönelik SAP Fiori Uygulamaları için Azure Uygulaması Lication Gateway Web Uygulaması Güvenlik Duvarı v2 Kurulumu
- SAP Blogları | Azure için BTP Özel Bağlantı Hizmeti ile Çalışmaya Başlama
- SAP Blogları | BTP özel bağlantısı, Bulut Bağlayıcısı ve SAP Özel Bağlantı yan yana çalışan Azure ile yemin eder
- Azure Ağ Blogu | Özel Alt Ağlardan VM'ler için yönlendirme seçenekleri
- Azure Teknoloji Topluluğu'nda SAP | Azure Güvenlik Duvarı ile SAProuter yapılandırması
- Azure Teknoloji Topluluğu'nda SAP | Azure'da Linux ile SAP Sanal Konak Adlarını kullanma
- SAP Belgeleri | Bulut Bağlayıcısı nedir?
- SAP Belgeleri | SAP Analytics Bulut Aracısı nedir?
- Azure'da varsayılan giden erişim
- SAP yüksek kullanılabilirlik senaryolarında Azure Standart Load Balancer kullanan sanal makineler için genel uç nokta bağlantısı
- Abonelik karar kılavuzu
- YouTube | Fiori'yi Uygun Ölçekte Dağıtma