Ağı altyapı dağıtımı için hazırlama

  • Makale

Bu nasıl yapılır kılavuzunda, SAP çözümleri için Azure Center'ı kullanarak S/4 HANA altyapısını dağıtmak üzere bir sanal ağ hazırlamayı öğreneceksiniz. Bu makalede sanal ağ oluşturma hakkında genel yönergeler sağlanır. Tek tek ortamınız ve kullanım örneğiniz, SAP için Sanal Örnek (VIS) kaynağıyla kullanmak üzere kendi ağ ayarlarınızı nasıl yapılandırmanız gerektiğini belirler.

SAP çözümleri için Azure Center ile kullanmaya hazır olduğunuz bir ağınız varsa, bu kılavuzu takip etmek yerine dağıtım kılavuzuna gidin.

Önkoşullar

  • Azure aboneliği.
  • Azure aboneliğinizin kotalarını gözden geçirin. Kotalar düşükse, altyapı dağıtımınızı oluşturmadan önce bir destek isteği oluşturmanız gerekebilir. Aksi takdirde dağıtım hataları veya Yetersiz kota hatasıyla karşılaşabilirsiniz.
  • Dağıtıma başlamadan önce alt ağda veya alt ağlarda birden çok IP adresinin olması önerilir. Örneğin, yerine /29maske kullanmak /26 her zaman daha iyidir.
  • AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet ve GatewaySubnet gibi adlar Azure içindeki ayrılmış adlardır. Lütfen bunları alt ağ adları olarak kullanmayın.
  • SAP sisteminizi boyutlandırmak için SAP için Azure Center çözümlerine izin vermek için ihtiyacınız olan SAP Uygulama Performansı Standardı 'na (SAPS) ve veritabanı bellek boyutuna dikkat edin. Emin değilseniz VM'leri de seçebilirsiniz. Şunlar vardır:
    • VIS'de tek bir ASCS örneğini oluşturan tek bir ASCS VM kümesi.
    • VIS'de tek bir Veritabanı örneğini oluşturan tek bir Veritabanı VM'si veya kümesi.
    • VIS'de tek bir Application örneğini oluşturan tek bir Application Server VM. Dağıtılan veya kaydedilen Uygulama Sunucularının sayısına bağlı olarak, birden çok uygulama örneği olabilir.

Ağ oluşturma

Azure'da altyapı dağıtımı için bir ağ oluşturmanız gerekir. Ağı SAP sistemini dağıtmak istediğiniz bölgede oluşturduğunuzdan emin olun.

Gerekli ağ bileşenlerinden bazıları şunlardır:

  • Bir sanal ağ
  • Uygulama Sunucuları ve Veritabanı Sunucuları için alt ağlar. Yapılandırmanızın bu alt ağlar arasında iletişime izin vermesi gerekir.
  • Azure ağ güvenlik grupları
  • Yol tabloları
  • Güvenlik duvarları (veya NAT Ağ Geçidi)

Daha fazla bilgi için örnek ağ yapılandırmasına bakın.

Ağı bağlama

Altyapı dağıtımının ve yazılım yüklemesinin başarılı olması için ağın en azından giden internet bağlantısına sahip olması gerekir. Uygulama ve veritabanı alt ağlarının da birbirleriyle iletişim kurabilmesi gerekir.

İnternet bağlantısı mümkün değilse, aşağıdaki alanların IP adreslerini izin verilenler listesine ekleyin:

Ardından, sanal ağ içindeki tüm kaynakların birbirine bağlanadığından emin olun. Örneğin, sanal ağdaki kaynakların tüm bağlantı noktalarını dinleyerek iletişim kurmasına izin vermek için bir ağ güvenlik grubu yapılandırın.

  • Kaynak bağlantı noktası aralıklarını olarak *ayarlayın.
  • Hedef bağlantı noktası aralıklarını olarak *ayarlayın.
  • Eylemi İzin Ver olarak ayarlama

Sanal ağ içindeki kaynakların birbirine bağlanmasına izin vermek mümkün değilse, uygulama ve veritabanı alt ağları arasında bağlantılara izin verin ve bunun yerine sanal ağda önemli SAP bağlantı noktalarını açın.

İzin Verilenler Listesi SUSE veya Red Hat uç noktaları

VM'ler için SUSE kullanıyorsanız SUSE uç noktalarını izin verilenler listesine ekleyin. Örneğin:

  1. Azure portalını veya Azure Cloud Shell'i kullanarak herhangi bir işletim sistemiyle vm oluşturun. Alternatif olarak, Microsoft Store'dan openSUSE Leap'i yükleyin ve WSL'yi etkinleştirin.
  2. komutunu çalıştırarak zypper install python3-pippip3'ü yükleyin.
  3. komutunu çalıştırarak pip3 install susepubliccloudinfopip package susepubliccloudinfo dosyasını yükleyin.
  4. Uygun Azure bölgesi parametresiyle çalıştırarak pint microsoft servers --json --region ağ ve güvenlik duvarında yapılandırılan IP adreslerinin listesini alın.
  5. Alt ağları eklemeyi planladığınız güvenlik duvarı veya ağ güvenlik grubundaki tüm bu IP adreslerini izin verilenler listesine ekleyin.

VM'ler için Red Hat kullanıyorsanız Red Hat uç noktalarını gerektiği gibi izin verilenler listesine ekleyin. Varsayılan izin verilenler listesi Azure Genel IP adresleridir. Kullanım örneğinize bağlı olarak, Azure ABD Kamu veya Azure Almanya IP adreslerini de izin verilenler listesine eklemeniz gerekebilir. Alt ağları eklemek istediğiniz güvenlik duvarı veya ağ güvenlik grubundaki listenizdeki tüm IP adreslerini yapılandırın.

İzin verilenler listesi depolama hesapları

SAP yazılımlarını doğru yüklemek için SAP çözümleri için Azure Center'ın aşağıdaki depolama hesaplarına erişmesi gerekir:

  • Yazılım yüklemesi sırasında gereken SAP medyasını depoladığınız depolama hesabı.
  • SAP çözümleri için Azure Center tarafından yönetilen bir kaynak grubunda oluşturulan ve SAP çözümleri için Azure Center'ın da sahip olduğu ve yönettiği depolama hesabı.

Bu depolama hesaplarına erişime izin vermek için birden çok seçenek vardır:

İzin Verilenler Listesi Key Vault

SAP çözümleri için Azure Center, yazılım yüklemesi sırasında gizli anahtarları depolamak ve bu anahtarlara erişmek için bir anahtar kasası oluşturur. Bu anahtar kasası SAP sistem parolasını da depolar. Bu anahtar kasasına erişime izin vermek için şunları yapabilirsiniz:

İzin Verilenler Listesi Microsoft Entra Id

SAP çözümleri için Azure Center, SAP yüklemesi sırasında yönetilen anahtar kasasından gizli dizileri almak için kimlik doğrulama belirtecini almak için Microsoft Entra Id kullanır. Microsoft Entra Id'ye erişime izin vermek için şunları yapabilirsiniz:

İzin Verilenler Listesi Azure Resource Manager

SAP çözümleri için Azure Center, yazılım yüklemesi için yönetilen kimlik kullanır. Yönetilen kimlik doğrulaması için Azure Resource Manager uç noktasına çağrı yapılması gerekir. Bu uç noktaya erişime izin vermek için şunları yapabilirsiniz:

Önemli SAP bağlantı noktalarını açma

Daha önce açıklandığı gibi sanal ağdaki tüm kaynaklar arasında bağlantıya izin veremiyorsanız, bunun yerine sanal ağda önemli SAP bağlantı noktalarını açabilirsiniz. Bu yöntem, iletişim amacıyla sanal ağ içindeki kaynakların bu bağlantı noktalarını dinlemesine olanak tanır. Birden fazla alt ağ kullanıyorsanız, bu ayarlar alt ağlar içinde bağlantıya da izin verir.

Aşağıdaki tabloda listelenen SAP bağlantı noktalarını açın. Geçerli bağlantı noktalarındaki yer tutucu değerlerini (xx) SAP örnek numaranızla değiştirin. Örneğin, SAP örnek numaranız ise 01olur 32xx 3201.

SAP hizmeti Bağlantı noktası aralığı Gelen trafiğe izin ver Giden trafiğe izin ver Purpose
Konak Aracısı 1128, 1129 Yes Yes SAP konak aracısı için HTTP/S bağlantı noktası.
Web Dağıtıcısı 32xx Yes Yes SAPGUI ve RFC iletişimi.
Ağ Geçidi 33xx Yes Yes RFC iletişimi.
Ağ geçidi (güvenli) 48xx Yes Yes RFC iletişimi.
Internet Communication Manager (ICM) 80xx, 443xx Yes Yes SAP Fiori, WEB GUI için HTTP/S iletişimi
İleti sunucusu 36xx, 81xx, 444xx Yes Hayır Yük dengeleme; ASCS-uygulama sunucuları iletişimi; GUI oturum açma; İleti sunucusuna gelen ve gelen HTTP/S trafiği.
Denetim aracısı 5xx13, 5xx14 Yes Hayır SAP sisteminin durumunu durdurun, başlatın ve alın.
SAP yüklemesi 4237 Yes Hayır İlk SAP yüklemesi.
HTTP ve HTTPS 5xx00, 5xx01 Yes Yes HTTP/S sunucu bağlantı noktası.
IIOP 5xx02, 5xx03, 5xx07 Yes Yes Hizmet isteği bağlantı noktası.
P4 5xx04-6 Yes Yes Hizmet isteği bağlantı noktası.
Telnet 5xx08 Yes Hayır Yönetim için hizmet bağlantı noktası.
SQL iletişimi 3xx13, 3xx15, 3xx40-98 Yes Hayır ABAP veya JAVA alt ağı dahil olmak üzere uygulamayla veritabanı iletişim bağlantı noktası.
SQL Server 1433 Yes Hayır SAP'de MS-SQL için varsayılan bağlantı noktası; ABAP veya JAVA veritabanı iletişimi için gereklidir.
HANA XS altyapısı 43xx, 80xx Yes Yes Web içeriği için HTTP/S istek bağlantı noktası.

Örnek ağ yapılandırması

Örnek bir ağ için yapılandırma işlemi şunları içerebilir:

  1. Bir sanal ağ oluşturun veya mevcut bir sanal ağı kullanın.

  2. Sanal ağ içinde aşağıdaki alt ağları oluşturun:

    1. Uygulama katmanı alt ağı.

    2. Veritabanı katmanı alt ağı.

    3. güvenlik duvarıyla kullanılmak üzere Azure Güvenlik Duvarı Subnet adlı bir alt ağ.

  3. Yeni bir güvenlik duvarı kaynağı oluşturun:

    1. Güvenlik duvarını sanal ağa ekleyin.

    2. RHEL veya SUSE uç noktalarını izin verilenler listesine eklemek için bir kural oluşturun. Tüm kaynak IP adreslerine ()* izin verin, kaynak bağlantı noktasını Herhangi biri olarak ayarlayın, RHEL veya SUSE için hedef IP adreslerine izin verin ve hedef bağlantı noktasını Tümü olarak ayarlayın.

    3. Hizmet etiketlerine izin vermek için bir kural oluşturun. Tüm kaynak IP adreslerine ()* izin verin, hedef türü Hizmet etiketi olarak ayarlayın. Ardından Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager ve Microsoft.AzureActiveDirectory etiketlerine izin verin.

  4. Rota tablosu kaynağı oluşturma:

    1. Sanal Gereç türüne yeni bir yol ekleyin.

    2. IP adresini güvenlik duvarının IP adresi olarak ayarlayın. Bu adresi Azure portalındaki güvenlik duvarı kaynağına genel bakış sayfasında bulabilirsiniz.

  5. Uygulama ve veritabanı katmanlarının alt ağlarını yeni yol tablosunu kullanacak şekilde güncelleştirin.

  6. Sanal ağ ile bir ağ güvenlik grubu kullanıyorsanız aşağıdaki gelen kuralını ekleyin. Bu kural, uygulama ve veritabanı katmanları için alt ağlar arasında bağlantı sağlar.

    Öncelik Bağlantı noktası Protokol Kaynak Hedef Eylem
    100 Herhangi biri Herhangi biri sanal ağ sanal ağ İzin Ver

  7. Güvenlik duvarı yerine bir ağ güvenlik grubu kullanıyorsanız, yüklemeye izin vermek için giden kuralları ekleyin.

    Öncelik Bağlantı noktası Protokol Kaynak Hedef Eylem
    110 Herhangi biri Herhangi biri Herhangi biri SUSE veya Red Hat uç noktaları İzin Ver
    115 Herhangi biri Herhangi biri Herhangi biri Azure Resource Manager İzin Ver
    116 Herhangi biri Herhangi biri Herhangi biri Microsoft Entra Kimlik İzin Ver
    117 Herhangi biri Herhangi biri Herhangi biri Depolama hesapları İzin Ver
    118 8080 Herhangi biri Herhangi biri Key Vault İzin Ver
    Kategori 119 Herhangi biri Herhangi biri Herhangi biri sanal ağ İzin Ver

Sonraki adımlar