Připojení veřejného koncového bodu Virtual Machines s využitím Azure Standard Load Balancer ve scénářích s vysokou dostupností SAP

  • Článek
  • 10 min ke čtení

Tento článek popisuje konfigurace, které umožní odchozí připojení k veřejným koncovým bodům. Konfigurace jsou hlavně v kontextu vysoké dostupnosti s Pacemakerem pro SUSE/RHEL.

Pokud ve svém řešení vysoké dostupnosti používáte Pacemaker s agentem plotu Azure, pak virtuální počítače musí mít odchozí připojení k rozhraní API pro správu Azure. Článek obsahuje několik možností, jak vybrat možnost, která je pro váš scénář vhodná.

Přehled

Při implementaci vysoké dostupnosti pro řešení SAP prostřednictvím clusteringu je jedna z nezbytných komponent Azure Load Balancer. Azure nabízí dvě SKU nástroje pro vyrovnávání zatížení: Standard a Basic.

Nástroj pro vyrovnávání zatížení Azure standard nabízí oproti nástroji pro vyrovnávání zatížení basic určité výhody. Funguje například napříč zónami dostupnosti Azure, má lepší možnosti monitorování a protokolování pro snazší řešení potíží a snížení latence. Funkce Porty s ha-ka pokrývá všechny porty, to znamená, že už není nutné vy listovat všechny jednotlivé porty.

Mezi základní a standardní SKU nástroje pro vyrovnávání zatížení Azure existují některé důležité rozdíly. Jednou z nich je zpracování odchozího provozu do veřejného koncového bodu. Úplné porovnání nástroje pro vyrovnávání zatížení se SKU Basic a Standard najdete v Load Balancer porovnání SKU.

Pokud jsou virtuální počítače bez veřejných IP adres umístěny do back-endového fondu interního nástroje pro vyrovnávání zatížení Azure standardu (bez veřejné IP adresy), neexistuje odchozí připojení k veřejným koncovým bodům, pokud není provedena další konfigurace.

Pokud je virtuálnímu počítače přiřazena veřejná IP adresa nebo se virtuální počítač nachází v back-endového fondu nástroje pro vyrovnávání zatížení s veřejnou IP adresou, bude mít odchozí připojení k veřejným koncovým bodům.

Systémy SAP často obsahují citlivá obchodní data. Je zřídka přijatelné, aby virtuální počítače hostující systémy SAP byly přístupné prostřednictvím veřejných IP adres. Zároveň existují scénáře, které by vyžadovaly odchozí připojení z virtuálního počítače k veřejným koncovým bodům.

Mezi příklady scénářů, které vyžadují přístup k veřejnému koncovému bodu Azure, patří:

  • Agent Azure Fence vyžaduje přístup k management.azure.com a login.microsoftonline.com
  • Azure Backup
  • Azure Site Recovery
  • Použití veřejného úložiště pro opravy operačního systému
  • Tok dat aplikací SAP může vyžadovat odchozí připojení k veřejnému koncovému bodu.

Pokud vaše nasazení SAP nevyžaduje odchozí připojení k veřejným koncovým bodům, nemusíte implementovat další konfiguraci. Pro scénář vysoké dostupnosti stačí vytvořit interní Azure Load Balancer standardní SKU za předpokladu, že také není potřeba příchozí připojení z veřejných koncových bodů.

Poznámka

Pokud jsou virtuální počítače bez veřejných IP adres umístěny do back-endového fondu interního nástroje pro vyrovnávání zatížení Azure standardu (bez veřejné IP adresy), nebude k dispozici žádné odchozí připojení k internetu, pokud není provedena další konfigurace umožňující směrování do veřejných koncových bodů.
Pokud virtuální počítače mají buď veřejné IP adresy, nebo jsou již v back-endového fondu nástroje pro vyrovnávání zatížení Azure s veřejnou IP adresou, virtuální počítač už bude mít odchozí připojení k veřejným koncovým bodům.

Nejprve si přečtěte následující dokumenty:

Možnost 1: Další externí Standard Load Balancer Azure pro odchozí připojení k internetu

Jednou z možností, jak dosáhnout odchozího připojení k veřejným koncovým bodům, aniž by bylo možné příchozí připojení k virtuálnímu počítače z veřejného koncového bodu, je vytvořit druhý nástroj pro vyrovnávání zatížení s veřejnou IP adresou, přidat virtuální počítače do back-endového fondu druhého nástroje pro vyrovnávání zatížení a definovat pouze odchozí pravidla.
Pomocí skupin zabezpečení sítě můžete řídit veřejné koncové body, které jsou přístupné pro odchozí volání z virtuálního počítače.
Další informace najdete v tématu Scénář 2 v dokumentu Odchozí připojení.
Konfigurace by vypadala takhle:

Řízení připojení k veřejným koncovým bodům pomocí skupin zabezpečení sítě

Důležité informace

  • K dosažení odchozího připojení k veřejnému Load Balancer a optimalizaci nákladů můžete použít jednu další veřejnou ip adresu pro několik virtuálních Load Balancer ve stejné podsíti.
  • Pomocí skupin zabezpečení sítě můžete řídit, které veřejné koncové body jsou z virtuálních počítače přístupné. Skupinu zabezpečení sítě můžete přiřadit buď k podsíti, nebo ke každému virtuálnímu počítače. Pokud je to možné, použijte značky služeb ke snížení složitosti pravidel zabezpečení.
  • Azure Standard Load Balancer s veřejnou IP adresou a pravidly odchozích přenosů umožňuje přímý přístup k veřejnému koncovému bodu. Pokud máte požadavky na zabezpečení společnosti, aby veškerý odchozí provoz prošl prostřednictvím centralizovaného podnikového řešení pro auditování a protokolování, možná nebudete moct tento požadavek s tímto scénářem splnit.

Tip

Pokud je to možné, použijte značky služeb ke snížení složitosti skupiny zabezpečení sítě .

Kroky nasazení

  1. Vytvoření Load Balancer

    1. Na Azure Portal klikněte na Všechny prostředky, Přidat a vyhledejte Load Balancer
    2. Klikněte na Vytvořit.
    3. Load Balancer myPublicILB
    4. Jako typ vyberte Public (Veřejné), Standard as SKU (Standardní jako SKU).
    5. Vyberte Create Public IP address (Vytvořit veřejnou IP adresu) a zadejte název MyPublicILBFrondEndIP.
    6. Vyberte Zónově redundantní jako zónu dostupnosti.
    7. Klikněte na Zkontrolovat a vytvořit a pak na Vytvořit.

  2. Vytvořte back-endový fond MyBackendPoolOfPublicILB a přidejte virtuální počítače.

    1. Vyberte virtuální síť.
    2. Vyberte virtuální počítače a jejich IP adresy a přidejte je do back-endových fondu.

  3. Vytvořte pravidla odchozích přenosů. V současné době není možné vytvořit pravidla odchozích přenosů z Azure Portal. Odchozí pravidla můžete vytvořit pomocí Azure CLI.

     az network lb outbound-rule create --address-pool MyBackendPoolOfPublicILB --frontend-ip-configs MyPublicILBFrondEndIP --idle-timeout 30 --lb-name MyPublicILB --name MyOutBoundRules  --outbound-ports 10000 --enable-tcp-reset true --protocol All --resource-group MyResourceGroup

  4. Vytvořte pravidla skupiny zabezpečení sítě, která omezují přístup ke konkrétním veřejným koncovým bodům. Pokud existuje skupina zabezpečení sítě, můžete ji upravit. Následující příklad ukazuje, jak povolit přístup k rozhraní API pro správu Azure:

    1. Přejděte do skupiny zabezpečení sítě.
    2. Klikněte na Odchozí pravidla zabezpečení.
    3. Přidejte pravidlo pro odepření veškerého odchozího přístupu k internetu.
    4. Přidejte pravidlo do části Povolit přístup k AzureCloudu s prioritou nižší než priorita pravidla, které odepře veškerý přístup k internetu.

    Odchozí pravidla zabezpečení by vypadala takhle:

    Odchozí připojení s druhou Load Balancer s veřejnou IP adresou

    Další informace o skupinách zabezpečení sítě Azure najdete v tématu Skupiny zabezpečení.

Možnost 2: Azure Firewall pro odchozí připojení k internetu

Další možností, jak dosáhnout odchozího připojení k veřejným koncovým bodům bez povolení příchozího připojení k virtuálnímu počítače z veřejných koncových bodů, je Azure Firewall. Azure Firewall je spravovaná služba s integrovanou vysokou dostupností, která může zahrnovat více Zóny dostupnosti.
Budete také muset nasadit trasu definovanou uživatelem přidruženou k podsíti, ve které jsou nasazené virtuální počítače a nástroj pro vyrovnávání zatížení Azure, které odkazují na bránu Azure Firewall, aby se provoz směroval přes Azure Firewall.
Podrobnosti o tom, jak nasadit Azure Firewall, najdete v tématu Nasazení a konfigurace Azure Firewall.

Architektura by vypadala takhle:

Odchozí připojení s Azure Firewall

Důležité informace

  • Azure Firewall je nativní cloudová služba s integrovanou vysokou dostupností a podporuje zónové nasazení.
  • Vyžaduje další podsíť, která musí mít název AzureFirewallSubnet.
  • Pokud přenášíte velké datové sady odchozí z virtuální sítě, ve které jsou umístěné virtuální počítače SAP, do virtuálního počítače v jiné virtuální síti nebo do veřejného koncového bodu, nemusí to být nákladově efektivní řešení. Jedním z takových příkladů je kopírování velkých záloh napříč virtuálními sítěmi. Podrobnosti najdete v Azure Firewall cenách.
  • Pokud podnikové řešení brány firewall Azure Firewall a máte požadavky na zabezpečení, aby veškerý odchozí provoz prošl centralizovaným podnikovým řešením, nemusí být toto řešení praktické.

Tip

Pokud je to možné, použijte značky služeb ke snížení složitosti pravidel Azure Firewall služeb.

Kroky nasazení

  1. Kroky nasazení předpokládají, že už máte pro virtuální počítače definovanou virtuální síť a podsíť.

  2. Vytvořte podsíť AzureFirewallSubnet ve stejné Virtual Network, kde jsou nasazené virtuální počítače a Standard Load Balancer podsítě.

    1. V Azure Portal přejděte na Virtual Network: Klikněte na Všechny prostředky, vyhledejte Virtual Network, klikněte na ikonu Virtual Network vyberte Podsítě.
    2. Klikněte na Přidat podsíť. Jako název zadejte AzureFirewallSubnet . Zadejte odpovídající rozsah adres. Uložte.

  3. Vytvořte Azure Firewall.

    1. V Azure Portal vyberte všechny prostředky, klikněte na Přidat, brána firewall, vytvořit. Vyberte skupinu prostředků (vyberte stejnou skupinu prostředků, kde Virtual Network).
    2. Zadejte název prostředku Azure Firewall. Například MyAzureFirewall.
    3. Vyberte oblast a vyberte aspoň dvě zóny dostupnosti zarovnané do zón dostupnosti, ve kterých jsou nasazené vaše virtuální počítače.
    4. Vyberte svůj Virtual Network, kde se nasadí virtuální počítače SAP a služba Azure Load Balancer úrovně Standard.
    5. Veřejná IP adresa: klikněte na vytvořit a zadejte název. Pro instanci MyFirewallPublicIP.

  4. Vytvořte Azure Firewall pravidlo, které povolí odchozí připojení k zadaným veřejným koncovým bodům. V tomto příkladu se dozvíte, jak povolíte přístup ke veřejnému koncovému bodu rozhraní API pro správu Azure.

    1. Vyberte pravidla, kolekce síťových pravidel a pak klikněte na přidat kolekci pravidel sítě.
    2. Název: MyOutboundRule, zadejte priority, vyberte akce Allow.
    3. Služba: název ToAzureAPI. Protokol: vyberte libovolný. Zdrojová adresa: zadejte rozsah vaší podsítě, ve kterém jsou nasazené virtuální počítače a Standard Load Balancer pro instanci: 11.97.0.0/24. Cílové porty: zadejte * .
    4. Uložit
    5. Jak jste pořád na Azure Firewall, vyberte přehled. Poznamenejte si privátní IP adresu Azure Firewall.

  5. Vytvořit trasu pro Azure Firewall

    1. V Azure Portal vyberte všechny prostředky a pak klikněte na Přidat, směrovací tabulku, vytvořit.
    2. Zadejte název MyRouteTable, vyberte předplatné, skupinu prostředků a umístění (které odpovídá umístění virtuální sítě a brány firewall).
    3. Uložit

    Pravidlo brány firewall by vypadalo takto: diagram, který ukazuje, jak by brána firewall vypadala jako.

  6. Vytvořte uživatelsky definovanou trasu z podsítě vašich virtuálních počítačů do privátní IP adresy MyAzureFirewall.

    1. V případě, že jste umístění umístili do směrovací tabulky, klikněte na trasy. Vyberte Přidat.
    2. Název trasy: ToMyAzureFirewall, předpona adresy: 0.0.0.0/0. Typ dalšího segmentu směrování: vyberte virtuální zařízení. Adresa dalšího segmentu směrování: zadejte privátní IP adresu brány firewall, kterou jste nakonfigurovali: 11.97.1.4.
    3. Uložit

Možnost 3: použití proxy serveru pro volání Pacemaker do Azure Management API

Proxy server můžete použít k povolení volání Pacemaker do veřejného koncového bodu rozhraní API pro správu Azure.

Důležité informace

  • Pokud již existuje podnikový proxy server, můžete směrovat odchozí volání na veřejné koncové body. Odchozí volání veřejných koncových bodů procházejí podnikovým řídicím bodem.
  • Ujistěte se, že konfigurace proxy serveru umožňuje odchozí připojení k rozhraní API pro správu Azure: https://management.azure.com a https://login.microsoftonline.com
  • Ujistěte se, že existuje trasa z virtuálních počítačů do proxy serveru.
  • Proxy bude zpracovávat pouze volání HTTP/HTTPS. Pokud je potřeba provést odchozí volání do veřejného koncového bodu přes různé protokoly (například RFC), bude potřeba alternativní řešení.
  • Řešení proxy musí být vysoce dostupné, aby nedošlo k nestabilitě v clusteru Pacemaker.
  • V závislosti na umístění proxy serveru může způsobit další latenci v voláních z agenta Azure plot do rozhraní API pro správu Azure. Pokud je váš podnikový proxy stále v místním prostředí, cluster Pacemaker je v Azure, latence měření a zvážení, pokud je toto řešení vhodné pro vás.
  • Pokud na svém místě ještě nemáte vysoce dostupný podnikový proxy server, nedoporučujeme tuto možnost, protože zákazník by vyvolal další náklady a složitost. Pokud se ale rozhodnete nasadit další řešení proxy serveru, aby bylo možné povolit odchozí připojení z Pacemaker do veřejného rozhraní API pro správu Azure, ujistěte se, že je proxy server vysoce dostupný a že latence z virtuálních počítačů na proxy server je nízká.

Konfigurace Pacemaker s proxy serverem

V odvětví je k dispozici celá řada různých možností proxy serveru. Podrobné pokyny pro nasazení proxy serveru jsou mimo rozsah tohoto dokumentu. V následujícím příkladu předpokládáme, že váš proxy server reaguje na MyProxyService a naslouchá na portu MyProxyPort.
Pokud chcete, aby služba Pacemaker komunikovala s rozhraním API pro správu Azure, proveďte následující kroky na všech uzlech clusteru:

  1. Upravte konfigurační soubor Pacemaker/etc/sysconfig/Pacemaker a přidejte následující řádky (všechny uzly clusteru):

    sudo vi /etc/sysconfig/pacemaker
# Add the following lines
http_proxy=http://MyProxyService:MyProxyPort
https_proxy=http://MyProxyService:MyProxyPort

  2. Restartujte službu Pacemaker na všech uzlech clusteru.

  • SUSE

    # Place the cluster in maintenance mode
sudo crm configure property maintenance-mode=true
#Restart on all nodes
sudo systemctl restart pacemaker
# Take the cluster out of maintenance mode
sudo crm configure property maintenance-mode=true

  • Red Hat

    # Place the cluster in maintenance mode
sudo pcs property set maintenance-mode=true
#Restart on all nodes
sudo systemctl restart pacemaker
# Take the cluster out of maintenance mode
sudo pcs property set maintenance-mode=false

Další možnosti

Pokud je odchozí přenos směrován prostřednictvím třetí strany, proxy serveru brány firewall založené na adrese URL:

  • Pokud používáte Azure plot agent, ujistěte se, že konfigurace brány firewall umožňuje odchozí připojení k rozhraní API pro správu Azure: https://management.azure.com a https://login.microsoftonline.com
  • Pokud používáte infrastrukturu aktualizace veřejného cloudu Azure SUSE k instalaci aktualizací a oprav, přečtěte si téma infrastruktura aktualizace veřejného cloudu azure 101 .

Další kroky