SAP yüksek kullanılabilirlik senaryolarında Azure Standart Load Balancer kullanan sanal makineler için genel uç nokta bağlantısı

Bu makalenin kapsamı, genel uç noktaları için giden bağlantıyı etkinleştiren yapılandırmaların tanımlanmasında kullanılır. Konfigürasyonlar, genellikle SUSE/RHEL için pacemaker ile yüksek kullanılabilirlik bağlamıdır.

Yüksek kullanılabilirlik çözümünüzde Azure sınır Aracısı ile Pacemaker kullanıyorsanız, VM 'Lerin Azure Yönetim API 'sine giden bağlantısı olması gerekir. Makalesinde senaryonuz için en uygun seçeneği seçmenizi sağlayan çeşitli seçenekler sunulmaktadır.

Genel Bakış

kümeleme aracılığıyla SAP çözümleri için yüksek kullanılabilirlik uygularken, gerekli bileşenlerden biri Azure Load Balancer. Azure iki yük dengeleyici SKU 'su sunar: Standart ve temel.

Standart Azure yük dengeleyici, temel yük dengeleyiciye bazı avantajlar sunmaktadır. Örneğin, Azure kullanılabilirlik bölgelerinde çalışarak, daha kolay sorun giderme ve gecikme süresini azaltmak için daha iyi izleme ve günlüğe kaydetme olanakları sağlar. "HA bağlantı noktaları" özelliği tüm bağlantı noktalarını kapsamakta, diğer bir deyişle, tüm tek bağlantı noktalarını listelemek artık gerekli değildir.

Azure Yük dengeleyicinin temel ve standart SKU 'SU arasında bazı önemli farklılıklar vardır. Bunlardan biri, giden trafiğin genel uç noktasına işlenmesiyle aynıdır. Tam temel ve standart SKU yük dengeleyici karşılaştırması için bkz. Load Balancer SKU karşılaştırması.

Ortak IP adresleri olmayan VM 'Ler, iç (genel IP adresi olmayan) standart Azure yük dengeleyiciye yerleştirildiğinde, ek yapılandırma yapılmadığı takdirde genel uç noktalarına giden bağlantı yok demektir.

Bir VM 'ye genel bir IP adresi atanırsa veya VM ortak IP adresi olan bir yük dengeleyicinin arka uç havuzudur, genel uç noktalarına giden bağlantılara sahip olur.

SAP sistemleri genellikle hassas iş verileri içerir. SAP sistemlerini barındıran VM 'Ler için genel IP adresleri aracılığıyla erişilebilmesi nadiren kabul edilebilir. Aynı zamanda, VM 'den ortak uç noktalara giden bağlantı gerektiren senaryolar da vardır.

Azure genel uç noktasına erişim gerektiren senaryolara örnek olarak şunlar verilebilir:

• Azure çit Aracısı, Management.Azure.com ve login.microsoftonline.com için erişim gerektirir
• Azure Backup
• Azure Site Recovery
• Işletim sisteminde düzeltme eki uygulama için ortak depoyu kullanma
• SAP uygulama veri akışı, genel uç noktasına giden bağlantı gerektirebilir

SAP dağıtımınız ortak uç noktalara giden bağlantı gerektirmiyorsa, ek yapılandırmayı uygulamanız gerekmez. yüksek kullanılabilirlik senaryonuz için iç standart SKU Azure Load Balancer oluşturmak yeterlidir, bu da genel uç noktalarından gelen bağlantı için gerekli değildir.

Önce aşağıdaki kağıtları okuyun:

• Azure Standart Load Balancer
  • Azure standart Load Balancer genel bakış -Azure Standard yük dengeleyici, önemli ilkeler, kavramlar ve öğreticiler hakkında kapsamlı genel bakış
  • Azure 'Da giden bağlantılar -Azure 'da giden bağlantıya ulaşmak için senaryolar
  • Yük dengeleyici giden kuralları-yük dengeleyici giden kuralları kavramlarını ve giden kuralların nasıl oluşturulacağını açıklar
• Azure Güvenlik Duvarı
  • Azure Güvenlik duvarına genel bakış-Azure Güvenlik Duvarı 'na genel bakış
  • Öğretici: Azure Güvenlik Duvarı 'Nı dağıtma ve yapılandırma -Azure güvenlik duvarını Azure Portal aracılığıyla yapılandırma yönergeleri
• Sanal ağlar-Kullanıcı tanımlı kurallar -Azure yönlendirme kavramları ve kuralları
• Güvenlik grupları hizmet etiketleri -hizmet etiketleriyle ağ güvenlik gruplarınızı ve güvenlik duvarı yapılandırmanızı basitleştirme

Seçenek 1: internet 'e giden bağlantılar için ek dış Azure Standart Load Balancer

Ortak uç noktalara giden bağlantılara izin vermeden, genel uç noktalarına giden bağlantı sağlamak için bir seçenek, genel IP adresine sahip ikinci bir yük dengeleyici oluşturmak, VM 'Leri ikinci yük dengeleyicinin arka uç havuzuna eklemek ve yalnızca giden kurallarıtanımlamak.
VM 'den giden çağrılar için erişilebilen genel uç noktalarını denetlemek için ağ güvenlik grupları 'nı kullanın.
Daha fazla bilgi için belge giden bağlantılarındaSenaryo 2 ' ye bakın.
Yapılandırma şöyle görünür:

Önemli noktalar

• Ortak uç noktasına giden bağlantı sağlamak ve maliyeti iyileştirmek için aynı alt ağda birden fazla VM için ek bir genel Load Balancer kullanabilirsiniz
• VM 'lerden hangi ortak uç noktaların erişilebilir olduğunu denetlemek için ağ güvenlik gruplarını kullanın. Ağ güvenlik grubunu alt ağa ya da her bir VM 'ye atayabilirsiniz. Mümkün olduğunda, güvenlik kurallarının karmaşıklığını azaltmak için hizmet etiketlerini kullanın.
• Genel IP adresi ve giden kuralları olan Azure Standart yük dengeleyici, genel uç noktasına doğrudan erişim sağlar. Tüm giden trafiğin, denetim ve günlüğe kaydetme için merkezi kurumsal çözümle geçişini sağlamak üzere kurumsal güvenlik gereksinimleriniz varsa, bu senaryoya gereksinimi karşılamayabilir.

Dağıtım adımları

1. Load Balancer oluştur

   1. Azure Portal , tüm kaynaklar ' a tıklayın, ekleyin ve sonra Load Balancer arayın
   2. Oluştur seçeneğine tıklayın
   3. Load Balancer adı Mypublicilb
   4. Tür olarak genel ' i SEÇIN, SKU olarak Standart
   5. Genel IP adresi oluştur ' u seçin ve ad olarak belirtin Mypublicilbmindendip
   6. Kullanılabilirlik alanı olarak bölge yedekli seçeneğini belirleyin
   7. Gözden geçir ve Oluştur ' a ve ardından Oluştur ' a tıklayın

2. Mybackendpoolofpublicılb arka uç havuzunu oluşturun ve VM 'leri ekleyin.

   1. Sanal ağı seçin
   2. VM 'Leri ve IP adreslerini seçin ve arka uç havuzuna ekleyin

3. Giden kuralları oluşturun. Şu anda Azure portal giden kuralların oluşturulması mümkün değildir. Azure CLIile giden kurallar oluşturabilirsiniz.

    az network lb outbound-rule create --address-pool MyBackendPoolOfPublicILB --frontend-ip-configs MyPublicILBFrondEndIP --idle-timeout 30 --lb-name MyPublicILB --name MyOutBoundRules  --outbound-ports 10000 --enable-tcp-reset true --protocol All --resource-group MyResourceGroup
   

4. Belirli genel uç noktalarına erişimi kısıtlamak için ağ güvenlik grubu kuralları oluşturun. Var olan bir ağ güvenlik grubu varsa, bunu ayarlayabilirsiniz. Aşağıdaki örnekte, Azure Yönetim API 'sine erişimin nasıl etkinleştirileceği gösterilmektedir:

   1. Ağ güvenlik grubuna git
   2. Giden güvenlik kuralları ' na tıklayın
   3. Internet'e giden tüm erişimi reddetmek için bir kural ekleyin.
   4. Tüm internet erişimini reddetmek için kuralın önceliğinden daha düşük olan Azurecı'ye erişime izin veren bir kural ekleyin.

   Giden güvenlik kuralları şöyle görünür:

   

   Azure ağ güvenlik grupları hakkında daha fazla bilgi için bkz. güvenlik grupları .

Seçenek 2: internet 'e giden bağlantılar için Azure Güvenlik Duvarı

Ortak uç noktalara giden bağlantılara izin vermeden, genel uç noktalarına giden bağlantı sağlamak için başka bir seçenek de Azure güvenlik duvarıdır. Azure Güvenlik Duvarı, yerleşik yüksek kullanılabilirliğe sahip ve birden çok Kullanılabilirlik Alanları yayılabilen bir yönetilen hizmettir.
Ayrıca, Azure Güvenlik Duvarı üzerinden trafiği yönlendirmek için VM 'Lerin ve Azure Yük dengeleyicinin dağıtıldığı alt ağla ilişkili Kullanıcı tanımlı yoluda dağıtmanız gerekir.
Azure Güvenlik Duvarı 'nı dağıtma hakkında daha fazla bilgi için bkz. Azure Güvenlik duvarını dağıtma ve yapılandırma.

Mimari şöyle görünür:

Önemli noktalar

• Azure Güvenlik Duvarı, yerleşik yüksek kullanılabilirliğe sahip bulut Yerel hizmetidir ve bu da bölgesel dağıtımını destekler.
• AzureFirewallSubnet adında olması gereken ek alt ağ gerektirir.
• SAP VM 'lerinin bulunduğu sanal ağ, başka bir sanal ağdaki bir VM 'ye veya genel uç noktaya giden büyük veri kümelerini aktardıysanız, uygun maliyetli bir çözüm olmayabilir. Bu tür bir örnek, sanal ağlarda büyük yedeklemeleri kopyalamadır. Ayrıntılar için bkz. Azure Güvenlik Duvarı fiyatlandırması.
• Şirket güvenlik duvarı çözümü Azure Güvenlik Duvarı değilse ve tüm giden trafiğin Merkezi şirket çözümüne geçmesine yönelik güvenlik gereksinimleriniz varsa, bu çözüm pratik olmayabilir.

Dağıtım adımları

1. Dağıtım adımları, VM 'niz için zaten sanal ağ ve alt ağ tanımladığınız varsayılmaktadır.

2. VM 'lerin ve Standart Load Balancer dağıtıldığı aynı sanal ağda alt ağ AzureFirewallSubnet oluşturun.

   1. Azure portal, sanal ağa gidin: tüm kaynaklar ' a tıklayın, sanal ağı arayın, sanal ağ ' a tıklayın, alt ağlar ' ı seçin.
   2. Alt ağ Ekle ' ye tıklayın. Ad olarak AzureFirewallSubnet girin. Uygun Adres Aralığı girin. Kaydedin.

3. Yeni Azure Güvenlik Duvarı.

   1. Bu Azure portal Kaynaklar'ı seçin, Ekle, Güvenlik Duvarı, Oluştur'a tıklayın. Kaynak grubu'nda (Sanal Ağın bulunduğu kaynak grubunu seçin).
   2. Kaynak için Azure Güvenlik Duvarı girin. Örneğin, MyAzureFirewall.
   3. Bölge'yi seçin ve VM'nizin dağıtılacağı Kullanılabilirlik alanlarıyla uyumlu en az iki Kullanılabilirlik bölgesi seçin.
   4. SAP VM'leri ve Azure Standart Yük dengeleyicinin dağıtılacağı Sanal Ağımız'ı seçin.
   5. Genel IP Adresi: Oluştur'a tıklayın ve bir ad girin. Örneğin MyFirewallPublicIP.

4. Belirtilen Azure Güvenlik Duvarı noktalarına giden bağlantılara izin vermek için Bir Kural oluşturun. Örnekte Genel uç nokta üzerinden Azure Yönetim API'si izin verebilirsiniz.

   1. Kurallar, Ağ Kuralı Koleksiyonu'u seçin ve ağ kuralı koleksiyonu ekle'ye tıklayın.
   2. Ad: MyOutboundRule, Priority girin, Eyleme İzin Ver'i seçin.
   3. Hizmet: Ad:AzureAPI. Protokol: Herhangi birini seçin. Kaynak Adresi: Sanal ağların ve sanal Standart Load Balancer dağıtılacağı alt ağınız için aralığı girin: 11.97.0.0/24. Hedef bağlantı noktaları: * girin.
   4. Kaydet
   5. Henüz yeni bir konuma Azure Güvenlik Duvarı'yi seçin. Yapılandırmanın Özel IP Adresini not Azure Güvenlik Duvarı.

5. Azure Güvenlik Duvarı için yol oluşturma

   1. Bu Azure portal Kaynaklar'ı seçin, ardından Ekle, Yönlendirme Tablosu, Oluştur'a tıklayın.
   2. MyRouteTable Adını girin, Abonelik, Kaynak grubu ve Konum 'u seçin (Sanal ağ ve Güvenlik Duvarı'nız ile eşleşen konum).
   3. Kaydet

   Güvenlik duvarı kuralı şöyle görünür:

6. VM'lerinizi alt ağın MyAzureFirewall'ın özel IP'sini kullanarak Kullanıcı Tanımlı Yol oluşturun.

   1. Rota Tablosunda konum olarak Yollar'a tıklayın. Add (Ekle) seçeneğini belirleyin.
   2. Yol adı: ToMyAzureFirewall, Address ön eki: 0.0.0.0/0. Sonraki atlama türü: Sanal Gereç'i seçin. Sonraki atlama adresi: Yapılandırmış olduğunu güvenlik duvarının özel IP adresini girin: 11.97.1.4.
   3. Kaydet

3. Seçenek: Pacemaker çağrıları için Azure Yönetim API'si

Pacemaker'ın Azure yönetim API'si genel uç noktasına çağrılarına izin vermek için ara sunucu kullanabilirsiniz.

Önemli noktalar

• Şirket proxy'si zaten varsa, giden çağrıları genel uç noktalarına yönlendirerek bu çağrıyı yönlendirin. Genel uç noktalarına giden çağrılar, şirket denetim noktasından geçerek devam ediyor.
• Ara sunucu yapılandırmasının Azure yönetim API'sini giden bağlantılara izin olduğundan emin olun: https://management.azure.com ve https://login.microsoftonline.com
• VM'lerden Ara Sunucuya giden bir yol olduğundan emin olun
• Ara sunucu yalnızca HTTP/HTTPS çağrılarını işler. Farklı protokoller (RFC gibi) üzerinden genel uç noktasına giden çağrılar yapmak için ek ihtiyaç varsa alternatif çözüm gerekir
• Pacemaker kümesinde yer alan bir sorundan kaçınmak için Ara Sunucu çözümünün yüksek oranda kullanılabilir olması gerekir
• Ara sunucu konumu bağlı olarak, Azure Çit Aracısı'nın Azure Güvenlik Duvarı'Yönetim API'si. Pacemaker kümeniz Azure'dayken şirket proxy'niz hala şirket içinde ise, gecikme süresini ölçün ve bu çözümün sizin için uygun olup olmadığını göz önünde bulundurabilirsiniz
• Zaten yüksek oranda kullanılabilir şirket proxy'si yoksa, müşteri ek maliyet ve karmaşıklıklara neden olacağını için bu seçeneği önerilmez. Bununla birlikte, Pacemaker'dan Azure Management genel API'lerine giden bağlantılara izin vermek amacıyla ek ara sunucu çözümü dağıtmaya karar veriyorsanız ara sunucunun yüksek oranda kullanılabilir olduğundan ve VM'lerden ara sunucuya gecikme süresinin düşük olduğundan emin olun.

Proxy ile Pacemaker yapılandırması

Sektörde birçok farklı Proxy seçeneği mevcuttur. Ara sunucu dağıtımına ilişkin adım adım yönergeler bu belgenin kapsamı dışındadır. Aşağıdaki örnekte, proxy'nizin MyProxyService'e yanıt vermekte ve MyProxyPort bağlantı noktasını dinlediğini varsaymaktadır.
Pacemaker'ın Azure yönetim API'si ile iletişim kurmasına izin vermek için tüm küme düğümlerde aşağıdaki adımları gerçekleştirin:

1. Pacemaker yapılandırma dosyasını /etc/sysconfig/pacemaker düzenleyin ve aşağıdaki satırları ekleyin (tüm küme düğümleri):

   sudo vi /etc/sysconfig/pacemaker
   # Add the following lines
   http_proxy=http://MyProxyService:MyProxyPort
   https_proxy=http://MyProxyService:MyProxyPort
   

2. Tüm küme düğümlerde pacemaker hizmetini yeniden başlatın.

• SUSE

  # Place the cluster in maintenance mode
  sudo crm configure property maintenance-mode=true
  #Restart on all nodes
  sudo systemctl restart pacemaker
  # Take the cluster out of maintenance mode
  sudo crm configure property maintenance-mode=true
  

• Red Hat

  # Place the cluster in maintenance mode
  sudo pcs property set maintenance-mode=true
  #Restart on all nodes
  sudo systemctl restart pacemaker
  # Take the cluster out of maintenance mode
  sudo pcs property set maintenance-mode=false
  

Diğer seçenekler

Giden trafik üçüncü taraf, URL tabanlı güvenlik duvarı ara sunucusu üzerinden yönlendirildi ise:

• Azure çit aracısını kullanıyorsanız, güvenlik duvarı yapılandırmasının Azure yönetim API'sini giden bağlantılara izin https://management.azure.com verir: ve https://login.microsoftonline.com
• Güncelleştirmeleri ve düzeltme eklerini uygulamak için SUSE'nin Azure genel bulut güncelleştirme altyapısını kullanıyorsanız bkz. Azure Genel Bulut Güncelleştirme Altyapısı 101

Sonraki adımlar

• Azure'da SUSE üzerinde Pacemaker'ın nasıl yapılandırıldığından emin olmak için
• Azure'da Pacemaker on Red Hat'i yapılandırmayı öğrenin