SAP yüksek kullanılabilirlik senaryolarında Azure Standart Load Balancer kullanan sanal makineler için genel uç nokta bağlantısı

Bu makalenin kapsamı, genel uç noktaları için giden bağlantıyı etkinleştiren yapılandırmaların tanımlanmasında kullanılır. Konfigürasyonlar, genellikle SUSE/RHEL için pacemaker ile yüksek kullanılabilirlik bağlamıdır.

Yüksek kullanılabilirlik çözümünüzde Azure sınır Aracısı ile Pacemaker kullanıyorsanız, VM 'Lerin Azure Yönetim API 'sine giden bağlantısı olması gerekir. Makalesinde senaryonuz için en uygun seçeneği seçmenizi sağlayan çeşitli seçenekler sunulmaktadır.

Genel Bakış

Kümeleme aracılığıyla SAP Çözümleri için yüksek kullanılabilirlik uygularken, gerekli bileşenlerden biri Azure Load Balancer. Azure iki yük dengeleyici SKU 'su sunar: Standart ve temel.

Standart Azure yük dengeleyici, temel yük dengeleyiciye bazı avantajlar sunmaktadır. Örneğin, Azure kullanılabilirlik bölgelerinde çalışarak, daha kolay sorun giderme ve gecikme süresini azaltmak için daha iyi izleme ve günlüğe kaydetme olanakları sağlar. "HA bağlantı noktaları" özelliği tüm bağlantı noktalarını kapsamakta, diğer bir deyişle, tüm tek bağlantı noktalarını listelemek artık gerekli değildir.

Azure Yük dengeleyicinin temel ve standart SKU 'SU arasında bazı önemli farklılıklar vardır. Bunlardan biri, giden trafiğin genel uç noktasına işlenmesiyle aynıdır. Tam temel ve standart SKU yük dengeleyici karşılaştırması için bkz. Load Balancer SKU karşılaştırması.

Ortak IP adresleri olmayan VM 'Ler, iç (genel IP adresi olmayan) standart Azure yük dengeleyiciye yerleştirildiğinde, ek yapılandırma yapılmadığı takdirde genel uç noktalarına giden bağlantı yok demektir.

Bir VM 'ye genel bir IP adresi atanırsa veya VM ortak IP adresi olan bir yük dengeleyicinin arka uç havuzudur, genel uç noktalarına giden bağlantılara sahip olur.

SAP sistemleri genellikle hassas iş verileri içerir. SAP sistemlerini barındıran VM 'Ler için genel IP adresleri aracılığıyla erişilebilmesi nadiren kabul edilebilir. Aynı zamanda, VM 'den ortak uç noktalara giden bağlantı gerektiren senaryolar da vardır.

Azure genel uç noktasına erişim gerektiren senaryolara örnek olarak şunlar verilebilir:

  • Azure çit Aracısı, Management.Azure.com ve login.microsoftonline.com için erişim gerektirir
  • Azure Backup
  • Azure Site Recovery
  • Işletim sisteminde düzeltme eki uygulama için ortak depoyu kullanma
  • SAP uygulama veri akışı, genel uç noktasına giden bağlantı gerektirebilir

SAP dağıtımınız ortak uç noktalara giden bağlantı gerektirmiyorsa, ek yapılandırmayı uygulamanız gerekmez. Yüksek kullanılabilirlik senaryonuz için iç standart SKU Azure Load Balancer oluşturmak yeterlidir, bu da genel uç noktalarından gelen bağlantı için gerekli değildir.

Not

Ortak IP adresleri olmayan VM 'Ler, iç (genel IP adresi olmayan) standart Azure yük dengeleyicisine yerleştirildiğinde, genel uç noktalara yönlendirmeye izin vermek için ek yapılandırma gerçekleştirilmediği takdirde giden internet bağlantısı olmaz.
VM 'Ler genel IP adreslerine sahip veya genel IP adresi olan Azure Yük dengeleyicisinin arka uç havuzunda zaten varsa, VM 'nin ortak uç noktalarına giden bağlantısı zaten olur.

Önce aşağıdaki kağıtları okuyun:

Seçenek 1: internet 'e giden bağlantılar için ek dış Azure Standart Load Balancer

Ortak uç noktalara giden bağlantılara izin vermeden, genel uç noktalarına giden bağlantı sağlamak için bir seçenek, genel IP adresine sahip ikinci bir yük dengeleyici oluşturmak, VM 'Leri ikinci yük dengeleyicinin arka uç havuzuna eklemek ve yalnızca giden kurallarıtanımlamak.
VM 'den giden çağrılar için erişilebilen genel uç noktalarını denetlemek için ağ güvenlik grupları 'nı kullanın.
Daha fazla bilgi için belge giden bağlantılarındaSenaryo 2 ' ye bakın.
Yapılandırma şöyle görünür:

Ağ güvenlik gruplarıyla ortak uç noktalara bağlantıyı denetleme

Önemli noktalar

  • Ortak uç noktasına giden bağlantı sağlamak ve maliyeti iyileştirmek için aynı alt ağda birden fazla VM için ek bir genel Load Balancer kullanabilirsiniz
  • VM 'lerden hangi ortak uç noktaların erişilebilir olduğunu denetlemek için ağ güvenlik gruplarını kullanın. Ağ güvenlik grubunu alt ağa ya da her bir VM 'ye atayabilirsiniz. Mümkün olduğunda, güvenlik kurallarının karmaşıklığını azaltmak için hizmet etiketlerini kullanın.
  • Genel IP adresi ve giden kuralları olan Azure Standart yük dengeleyici, genel uç noktasına doğrudan erişim sağlar. Tüm giden trafiğin, denetim ve günlüğe kaydetme için merkezi kurumsal çözümle geçişini sağlamak üzere kurumsal güvenlik gereksinimleriniz varsa, bu senaryoya gereksinimi karşılamayabilir.

İpucu

Mümkün olduğunda, ağ güvenlik grubunun karmaşıklığını azaltmak için hizmet etiketlerini kullanın.

Dağıtım adımları

  1. Load Balancer oluştur

    1. Azure Portal , tüm kaynaklar ' a tıklayın, ekleyin ve sonra Load Balancer arayın
    2. Oluştur seçeneğine tıklayın
    3. Load Balancer adı Mypublicilb
    4. Tür olarak genel ' i SEÇIN, SKU olarak Standart
    5. Genel IP adresi oluştur ' u seçin ve ad olarak belirtin Mypublicilbmindendip
    6. Kullanılabilirlik alanı olarak bölge yedekli seçeneğini belirleyin
    7. Gözden geçir ve Oluştur ' a ve ardından Oluştur ' a tıklayın
  2. Mybackendpoolofpublicılb arka uç havuzunu oluşturun ve VM 'leri ekleyin.

    1. Sanal ağı seçin
    2. VM 'Leri ve IP adreslerini seçin ve arka uç havuzuna ekleyin
  3. Giden kuralları oluşturun. Şu anda Azure portal giden kuralların oluşturulması mümkün değildir. Azure CLIile giden kurallar oluşturabilirsiniz.

     az network lb outbound-rule create --address-pool MyBackendPoolOfPublicILB --frontend-ip-configs MyPublicILBFrondEndIP --idle-timeout 30 --lb-name MyPublicILB --name MyOutBoundRules  --outbound-ports 10000 --enable-tcp-reset true --protocol All --resource-group MyResourceGroup
    
  4. Belirli genel uç noktalarına erişimi kısıtlamak için ağ güvenlik grubu kuralları oluşturun. Var olan bir ağ güvenlik grubu varsa, bunu ayarlayabilirsiniz. Aşağıdaki örnekte, Azure Yönetim API 'sine erişimin nasıl etkinleştirileceği gösterilmektedir:

    1. Ağ güvenlik grubuna git
    2. Giden güvenlik kuralları ' na tıklayın
    3. Internet'e giden tüm erişimi reddetmek için bir kural ekleyin.
    4. Tüm internet erişimini reddetmek için kuralın önceliğinden daha düşük olan Azurecı'ye erişime izin veren bir kural ekleyin.

    Giden güvenlik kuralları şöyle görünür:

    Genel IP ile Ikinci Load Balancer giden bağlantı

    Azure ağ güvenlik grupları hakkında daha fazla bilgi için bkz. güvenlik grupları .

Seçenek 2: internet 'e giden bağlantılar için Azure Güvenlik Duvarı

Ortak uç noktalara giden bağlantılara izin vermeden, genel uç noktalarına giden bağlantı sağlamak için başka bir seçenek de Azure güvenlik duvarıdır. Azure Güvenlik Duvarı, yerleşik yüksek kullanılabilirliğe sahip ve birden çok Kullanılabilirlik Alanları yayılabilen bir yönetilen hizmettir.
Ayrıca, Azure Güvenlik Duvarı üzerinden trafiği yönlendirmek için VM 'Lerin ve Azure Yük dengeleyicinin dağıtıldığı alt ağla ilişkili Kullanıcı tanımlı yoluda dağıtmanız gerekir.
Azure Güvenlik Duvarı 'nı dağıtma hakkında daha fazla bilgi için bkz. Azure Güvenlik duvarını dağıtma ve yapılandırma.

Mimari şöyle görünür:

Azure Güvenlik Duvarı ile giden bağlantı

Önemli noktalar

  • Azure Güvenlik Duvarı, yerleşik yüksek kullanılabilirliğe sahip bulut Yerel hizmetidir ve bu da bölgesel dağıtımını destekler.
  • AzureFirewallSubnet adında olması gereken ek alt ağ gerektirir.
  • SAP VM 'lerinin bulunduğu sanal ağ, başka bir sanal ağdaki bir VM 'ye veya genel uç noktaya giden büyük veri kümelerini aktardıysanız, uygun maliyetli bir çözüm olmayabilir. Bu tür bir örnek, sanal ağlarda büyük yedeklemeleri kopyalamadır. Ayrıntılar için bkz. Azure Güvenlik Duvarı fiyatlandırması.
  • Şirket güvenlik duvarı çözümü Azure Güvenlik Duvarı değilse ve tüm giden trafiğin Merkezi şirket çözümüne geçmesine yönelik güvenlik gereksinimleriniz varsa, bu çözüm pratik olmayabilir.

İpucu

Mümkün olduğunda, Azure Güvenlik Duvarı kurallarının karmaşıklığını azaltmak için hizmet etiketlerini kullanın.

Dağıtım adımları

  1. Dağıtım adımları, VM 'niz için zaten sanal ağ ve alt ağ tanımladığınız varsayılmaktadır.

  2. VM 'lerin ve Standart Load Balancer dağıtıldığı aynı sanal ağda alt ağ AzureFirewallSubnet oluşturun.

    1. Azure portal, sanal ağa gidin: tüm kaynaklar ' a tıklayın, sanal ağı arayın, sanal ağ ' a tıklayın, alt ağlar ' ı seçin.
    2. Alt ağ Ekle ' ye tıklayın. Ad olarak AzureFirewallSubnet girin. Uygun adres aralığını girin. Kaydedin.
  3. Azure Güvenlik duvarı oluşturun.

    1. Azure portal tüm kaynaklar ' ı seçin, Ekle, güvenlik duvarı, Oluştur ' a tıklayın. Kaynak grubu ' nu seçin (sanal ağın bulunduğu kaynak grubunu seçin).
    2. Azure Güvenlik Duvarı kaynağı için ad girin. Örneğin, Myazurefirewall.
    3. Bölge ' yi seçin ve VM 'nizin dağıtıldığı kullanılabilirlik bölgeleriyle hizalı en az iki kullanılabilirlik bölgesi seçin.
    4. SAP VM 'lerinin ve Azure Standart yük dengeleyicinin dağıtıldığı Sanal ağınızı seçin.
    5. Genel IP adresi: oluştur ' a tıklayın ve bir ad girin. Örneğin, Myfirewallpublicıp.
  4. Belirtilen genel uç noktalara giden bağlantılara izin vermek için Azure Güvenlik Duvarı kuralı oluşturun. Örnekte, Azure Yönetim API 'SI genel uç noktasına erişime nasıl izin verilecek gösterilmektedir.

    1. Kurallar, ağ kuralı koleksiyonu ' nu seçin ve ardından ağ kuralı koleksiyonu Ekle ' ye tıklayın.
    2. Ad: mbir Boundrule, öncelik girin, eylem izin ver' i seçin.
    3. Hizmet: adı ToAzureAPI. Protokol: herhangi bir seçin. Kaynak adresi: VM 'Lerin ve Standart Load Balancer örneği için dağıtıldığı alt ağınız için aralığı girin: 11.97.0.0/24. Hedef bağlantı noktaları: girin * .
    4. Kaydet
    5. Hala Azure Güvenlik duvarında konumlandırılmakta olduğunuz için genel bakış ' ı seçin. Azure Güvenlik duvarının özel IP adresini aklınızda edin.
  5. Azure Güvenlik Duvarı 'na yol oluşturma

    1. Azure portal tüm kaynaklar ' ı seçin ve ardından Ekle, rota tablosu, Oluştur ' a tıklayın.
    2. MyRouteTable adını girin, abonelik, kaynak grubu ve konum ' u seçin (sanal ağınızın ve güvenlik duvarınızın konumuyla eşleşen).
    3. Kaydet

    Güvenlik duvarı kuralı şöyle görünür:  güvenlik duvarının neye benzebileceklerini gösteren diyagram.

  6. VM 'nizin alt ağından, Myazurefirewall özel IP 'Sinden Kullanıcı tanımlı yol oluşturun.

    1. Yol tablosuna yerleştirdiğiniz gibi rotalar ' ı tıklatın. Ekle ' yi seçin.
    2. Yol adı: ToMyAzureFirewall, adres ön eki: 0.0.0.0/0. Sonraki atlama türü: Sanal Gereç seçin. Sonraki atlama adresi: yapılandırdığınız güvenlik duvarının özel IP adresini girin: 11.97.1.4.
    3. Kaydet

Seçenek 3: Azure Yönetim API 'sine pacemaker çağrıları için proxy kullanma

Azure Yönetim API 'SI genel uç noktasına pacemaker çağrılarına izin vermek için proxy kullanabilirsiniz.

Önemli noktalar

  • Zaten şirket proxy 'si varsa, giden çağrıları ortak uç noktalarına yönlendirebilir. Genel uç noktalarına giden çağrılar, kurumsal denetim noktası üzerinden yapılır.
  • Proxy yapılandırmasının Azure Yönetim API 'sine giden bağlantıya izin verdiğinden emin olun: https://management.azure.com ve https://login.microsoftonline.com
  • VM 'lerden ara sunucuya bir yol olduğundan emin olun
  • Proxy yalnızca HTTP/HTTPS çağrılarını işleymeyecektir. Genel uç noktasına giden çağrıları farklı protokoller üzerinden (RFC gibi) yapmak için ek bir gereksinim varsa, alternatif çözüm gerekecektir
  • Pacemaker kümesinde kararsızlığa engel olmak için ara sunucu çözümü yüksek oranda kullanılabilir olmalıdır
  • Proxy 'nin konumuna bağlı olarak, Azure sınır aracılarından Azure Yönetim API 'sine yapılan çağrılarda ek gecikme olabilir. Şirket proxy 'niz hala şirket içinde ise, pacemaker kümeniz Azure 'da, gecikme süresi ölçer ve bu çözüm size uygunsa göz önünde bulundurun.
  • Zaten yüksek oranda kullanılabilir kurumsal proxy yoksa, müşteri ek maliyet ve karmaşıklık altına alcağından bu seçeneği önermiyoruz. Bununla birlikte, ek proxy çözümü dağıtmaya karar verirseniz, pacemaker 'dan Azure Yönetim ortak API 'sine giden bağlantıya izin vermek için, proxy 'nin yüksek oranda kullanılabilir olduğundan ve VM 'lerden ara sunucuya gecikme olmadığından emin olun.

Proxy ile paceoluşturucu yapılandırması

Sektörde kullanılabilen birçok farklı proxy seçeneği vardır. Proxy dağıtımı için adım adım yönergeler, bu belgenin kapsamı dışındadır. Aşağıdaki örnekte, proxy 'nizin Myproxyservice 'e yanıt verdiğini ve myproxyport bağlantı noktasını dinlediğini varsaytık.
Pacemaker 'ın Azure Yönetim API 'siyle iletişim kurmasına izin vermek için tüm küme düğümlerinde aşağıdaki adımları gerçekleştirin:

  1. /Etc/sysconfig/pacemaker yapılandırma dosyasını düzenleyin ve aşağıdaki satırları (tüm küme düğümleri) ekleyin:

    sudo vi /etc/sysconfig/pacemaker
    # Add the following lines
    http_proxy=http://MyProxyService:MyProxyPort
    https_proxy=http://MyProxyService:MyProxyPort
    
  2. Tüm küme düğümlerinde paceyapıcısı hizmetini yeniden başlatın.

  • SUSE

    # Place the cluster in maintenance mode
    sudo crm configure property maintenance-mode=true
    #Restart on all nodes
    sudo systemctl restart pacemaker
    # Take the cluster out of maintenance mode
    sudo crm configure property maintenance-mode=true
    
  • Red Hat

    # Place the cluster in maintenance mode
    sudo pcs property set maintenance-mode=true
    #Restart on all nodes
    sudo systemctl restart pacemaker
    # Take the cluster out of maintenance mode
    sudo pcs property set maintenance-mode=false
    

Diğer seçenekler

Giden trafik üçüncü taraf ile yönlendirilmemişse, URL tabanlı güvenlik duvarı proxy 'SI:

  • Azure sınır Aracısı 'nı kullanıyorsanız, Güvenlik Duvarı yapılandırmasının Azure Yönetim API 'sine giden bağlantıya izin verdiğinden emin olun: https://management.azure.com ve https://login.microsoftonline.com
  • SUSE 'un güncelleştirmeleri ve düzeltme eklerini uygulamak için Azure genel bulut güncelleştirme altyapısını kullanıyorsanız bkz. Azure genel bulut güncelleştirme altyapısı 101

Sonraki adımlar