Preparación de la red para la implementación de la infraestructura

En esta guía paso a paso, aprenderá a preparar una red virtual para implementar la infraestructura de S/4 HANA mediante Azure Center for SAP solutions. En este artículo se proporcionan instrucciones generales sobre cómo crear una red virtual. El entorno individual y el caso de uso determinarán cómo debe configurar sus propias opciones de red para su uso con un recurso de Virtual Instance for SAP (VIS).

Si tiene una red existente lista para usar con Azure Center for SAP solutions, consulte la guía de implementación en lugar de seguir esta guía.

Requisitos previos

• Suscripción a Azure.
• Revise las cuotas de la suscripción de Azure. Si las cuotas son bajas, es posible que tenga que crear una solicitud de soporte técnico antes de crear la implementación de la infraestructura. De lo contrario, podría experimentar errores de implementación o un error de cuota insuficiente.
• Se recomienda tener varias direcciones IP en la subred o subredes antes de comenzar la implementación. Por ejemplo, siempre es mejor tener una máscara /26 en lugar de /29.
• Los nombres que incluyen AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet y GatewaySubnet son nombres reservados en Azure. No los use como nombres de subred.
• Tenga en cuenta el tamaño de la memoria de la base de datos y el estándar de rendimiento de aplicaciones de SAP (SAPS) que necesita para permitir que Azure Center for SAP solutions ajuste el tamaño del sistema SAP. Si no está seguro, también puede seleccionar las máquinas virtuales. Hay:
  • Una única máquina virtual o un clúster de máquina virtual de ASCS, que componen una única instancia de ASCS en el VIS.
  • Una única máquina virtual o un clúster de máquina virtual de base de datos, que componen una única instancia de base de datos en el VIS.
  • Una sola máquina virtual del servidor de aplicaciones, que constituye una única instancia de aplicación en el VIS. Según el número de servidores de aplicaciones que se implementan o registran, puede haber varias instancias de aplicación.

Creación de una red

Debe crear una red para la implementación de la infraestructura en Azure. Asegúrese de crear la red en la misma región en la que desea implementar el sistema SAP.

Algunos de los componentes de red necesarios son:

• Una red virtual
• Subredes para servidores de aplicaciones y servidores de bases de datos. La configuración debe permitir la comunicación entre estas subredes.
• Grupos de seguridad de red de Azure
• Tablas de ruta
• Firewalls (o puerta de enlace NAT)

Para más información, consulte la configuración de red de ejemplo.

Conexión de la red

Como mínimo, la red debe tener conectividad saliente a Internet para poder implementar la infraestructura e instalar el software correctamente. Las subredes de la aplicación y de la base de datos también deben poder comunicarse entre sí.

Si no es posible la conectividad a Internet, agregue a la lista de permitidos las direcciones IP de las siguientes áreas:

• Puntos de conexión de SUSE o Red Hat
• Cuentas de Azure Storage
• Lista de permitidos de Azure Key Vault
• Allowlist Microsoft Entra ID
• Lista de permitidos de Azure Resource Manager

A continuación, asegúrese de que todos los recursos de la red virtual se pueden conectar entre sí. Por ejemplo, configure un grupo de seguridad de red para permitir que los recursos de la red virtual se comuniquen escuchando en todos los puertos.

• Establezca los Intervalos de puertos de origen en *.
• Establezca los Intervalos de puertos de destino en *.
• Establezca Acción en Permitir.

Si no es posible permitir que los recursos de la red virtual se conecten entre sí, habilite las conexiones entre las subredes de la aplicación y de la base de datos y abra puertos SAP importantes en la red virtual en su lugar.

Lista de permitidos de puntos de conexión de SUSE o Red Hat

Si usa SUSE para las máquinas virtuales, agregue a la lista de permitidos los puntos de conexión de SUSE. Por ejemplo:

1. Cree una máquina virtual con cualquier sistema operativo mediante Azure Portal o mediante Azure Cloud Shell. O bien, instale openSUSE Leap desde Microsoft Store y habilite WSL.
2. Instale pip3 mediante la ejecución de zypper install python3-pip.
3. Instale el paquete pipsusepubliccloudinfo mediante la ejecución de pip3 install susepubliccloudinfo.
4. Obtenga una lista de direcciones IP para configurar en la red y el firewall mediante la ejecución de pint microsoft servers --json --region con el parámetro de región de Azure adecuado.
5. Agregue a la lista de permitidos todas estas direcciones IP en el firewall o en el grupo de seguridad de red al que planea asociar las subredes.

Si usa Red Hat para las máquinas virtuales, agregue a la lista de permitidos los puntos de conexión de Red Hat según sea necesario. La lista de permitidos predeterminada incluye las direcciones IP globales de Azure. En función de su caso de uso, es posible que también tenga que agregar a la lista de permitidos las direcciones IP de Azure US Government o Azure Alemania. Configure todas las direcciones IP de la lista en el firewall o en el grupo de seguridad de red donde quiera asociar las subredes.

Lista de permitidos de cuentas de almacenamiento

Azure Center for SAP solutions necesita acceso a las siguientes cuentas de almacenamiento para instalar el software de SAP correctamente:

• La cuenta de almacenamiento donde va a almacenar los elementos multimedia de SAP necesarios durante la instalación de software.
• La cuenta de almacenamiento creada por Azure Center for SAP solutions en un grupo de recursos administrado, que Azure Center for SAP solutions también posee y administra.

Hay varias opciones para permitir el acceso a estas cuentas de almacenamiento:

• Permitir la conectividad a Internet.
• Configurar una etiqueta de servicio de Storage.
• Configurar etiquetas de servicio de Storage con ámbito regional. Asegúrese de configurar etiquetas para la región de Azure donde va a implementar la infraestructura y donde existe la cuenta de almacenamiento con los elementos multimedia de SAP.
• Agregar a la lista de permitidos los intervalos de direcciones IP de Azure regionales.

Lista de permitidos de Key Vault

Azure Center for SAP solutions crea un almacén de claves para almacenar las claves secretas durante la instalación del software y también para acceder a ellas. Este almacén de claves también almacena la contraseña del sistema SAP. Para permitir el acceso a este almacén de claves, puede hacer lo siguiente:

• Permitir la conectividad a Internet.
• Configurar una etiqueta de servicio AzureKeyVault.
• Configurar una etiqueta de servicio AzureKeyVault con ámbito regional. Asegúrese de configurar la etiqueta en la región donde va a implementar la infraestructura.

Allowlist Microsoft Entra ID

El Centro de Azure para soluciones de SAP usa microsoft Entra ID para obtener el token de autenticación para obtener secretos de un almacén de claves administrado durante la instalación de SAP. Para permitir el acceso a Microsoft Entra ID, puede hacer lo siguiente:

• Permitir la conectividad a Internet.
• Configurar una etiqueta de servicio AzureActiveDirectory.

Lista de permitidos de Azure Resource Manager

Azure Center for SAP solutions usa una identidad administrada para la instalación de software. La autenticación de la identidad administrada requiere una llamada al punto de conexión de Azure Resource Manager. Para permitir el acceso a este punto de conexión, puede hacer lo siguiente:

• Permitir la conectividad a Internet.
• Configurar una etiqueta de servicio AzureResourceManager.

Apertura de puertos SAP importantes

Si no puede permitir la conexión entre todos los recursos de la red virtual como se ha descrito anteriormente, en su lugar, puede abrir puertos SAP importantes en la red virtual. Este método permite que los recursos de la red virtual escuchen en estos puertos con fines de comunicación. Si usa más de una subred, esta configuración también permite la conectividad dentro de las subredes.

Abra los puertos SAP que aparecen en la tabla siguiente. Reemplace los valores de marcador de posición (xx) en los puertos aplicables por el número de instancia de SAP. Por ejemplo, si el número de instancia de SAP es 01, 32xx se convierte en 3201.

Servicio SAP	Intervalo de puertos	Permitir el tráfico entrante	Permitir el tráfico saliente	Propósito
Agente de host	1128, 1129	Sí	Sí	Puerto HTTP/S para el agente host de SAP
Web Dispatcher	32xx	Sí	Sí	Comunicación SAPGUI y RFC
Puerta de enlace	33xx	Sí	Sí	Comunicación RFC
Puerta de enlace (protegida)	48xx	Sí	Sí	Comunicación RFC
Internet Communication Manager (ICM)	80xx, 443xx	Sí	Sí	Comunicación HTTP/S para SAP Fiori, WEB GUI
Servidor de mensajes	36xx, 81xx, 444xx	Sí	No	Equilibrio de carga; ASCS para la comunicación de los servidores de aplicaciones; inicio de sesión de GUI; tráfico HTTP/S hacia y desde el servidor de mensajes
Agente de control	5xx13, 5xx14	Sí	No	Detener, iniciar y obtener el estado del sistema SAP
Instalación de SAP	4237	Sí	No	Instalación inicial de SAP
HTTP y HTTPS	5xx00, 5xx01	Sí	Sí	Puerto de servidor HTTP/S
IIOP	5xx02, 5xx03, 5xx07	Sí	Sí	Puerto para solicitud de servicio
P4	5xx04-6	Sí	Sí	Puerto para solicitud de servicio
Telnet	5xx08	Sí	No	Puerto de servicio para administración
Comunicación SQL	3xx13, 3xx15, 3xx40-98	Sí	No	Puerto de comunicación de base de datos con la aplicación, incluida la subred ABAP o JAVA
SQL Server	1433	Sí	No	Puerto predeterminado para MS-SQL en SAP; necesario para la comunicación de la base de datos de ABAP o JAVA
Motor XS de HANA	43xx, 80xx	Sí	Sí	Puerto de solicitud HTTP/S para contenido web

Configuración de red de ejemplo

El proceso de configuración de una red de ejemplo podría suponer:

1. Crear una red virtual o usar una existente.

2. Crear las siguientes subredes dentro de la red virtual:

   1. una subred de capa de aplicación,

   2. una subred de capa de base de datos,

   3. una subred para su uso con el firewall, denominada Azure FirewallSubnet.

3. Crear un recurso de firewall:

   1. Conectar el firewall a la red virtual.

   2. Crear una regla para agregar a la lista de permitidos los puntos de conexión de RHEL o SUSE. Asegúrese de permitir todas las direcciones IP de origen (*), establezca el puerto de origen en Cualquiera, permita las direcciones IP de destino para RHEL o SUSE y establezca el puerto de destino en Cualquiera.

   3. Crear una regla para admitir las etiquetas de servicio. Asegúrese de permitir todas las direcciones IP de origen (*) y establezca el tipo de destino en Etiqueta de servicio. A continuación, permita las etiquetas Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager y Microsoft.AzureActiveDirectory.

4. Crear un recurso de tabla de enrutamiento:

   1. Agregar una nueva ruta del tipo Aplicación virtual.

   2. Establezca la dirección IP en la dirección IP del firewall, que puede encontrar en la información general del recurso de firewall en Azure Portal.

5. Actualizar las subredes para las capas de aplicación y base de datos para usar la nueva tabla de enrutamiento.

6. Si usa un grupo de seguridad de red con la red virtual, agregue la siguiente regla de entrada. Esta regla proporciona conectividad entre las subredes para las capas de aplicación y base de datos.

   Prioridad	Puerto	Protocolo	Origen	Destino	Acción
   100	Any	Any	red virtual	red virtual	Permitir

7. Si usa un grupo de seguridad de red en lugar de un firewall, agregue reglas de salida para permitir la instalación.

   Prioridad	Puerto	Protocolo	Origen	Destino	Acción
   110	Any	Any	Any	Puntos de conexión de SUSE o Red Hat	Permitir
   115	Any	Any	Any	Azure Resource Manager	Allow
   116	Any	Any	Any	Microsoft Entra ID	Permitir
   117	Any	Any	Any	Cuentas de almacenamiento	Permitir
   118	8080	Any	Any	Key Vault	Permitir
   119	Any	Any	Any	red virtual	Permitir

Pasos siguientes

• Implementación de la infraestructura de S/4HANA