编辑

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 上的 SAP 的入站和出站 Internet 连接

Azure 虚拟机
Azure 虚拟网络
Azure 应用程序网关
Azure 负载均衡器

本文提供了一套成熟做法,用于改善 Azure 上的 SAP 的入站和出站 Internet 连接的安全性。

体系结构

示意图显示了 Azure 上的 SAP 面向 Internet 通信的解决方案。

下载本文中体系结构的 Visio 文件

此解决方案演示了常见的生产环境。 可以根据需求减小配置的大小和范围。 这可能适用于 SAP 环境:虚拟机 (VMs) 更少、不具备高可用性、具有嵌入式 SAP Web Dispatcher,而非离散 VM。 还适用于网络设计的替代方法,如本文后面部分所述。

由业务策略驱动的客户要求需要适应体系结构,尤其是网络设计。 如有可能,我们会包含替代项。 许多解决方案是可行的。 选择适合业务的方法。 它需要帮助你保护 Azure 资源,但仍提供高性能解决方案。

此体系结构未涵盖灾难恢复 (DR)。 适用于主要生产区域的相同原则和设计适用于网络设计。 在网络设计中,根据受 DR 保护的应用程序,请考虑在另一个 Azure 区域中启用 DR。 有关详细信息,请参阅 SAP 工作负载的灾难恢复概述和基础结构指导一文

工作流

  • 本地网络通过 Azure ExpressRoute 连接到中心。 中心虚拟网络包含网关子网、Azure 防火墙子网、共享服务子网和 Azure 应用程序网关子网。
  • 中心通过虚拟网络对等互连连接到 SAP 生产订阅。 此订阅包含两个辐射虚拟网络:
    • SAP 外围虚拟网络包含 SAP 外围应用程序子网。
    • SAP 生产虚拟网络包含应用程序子网和数据库子网。
  • 中心订阅和 SAP 生产订阅通过公共 IP 地址连接到 Internet。

组件

订阅。 此体系结构实现 Azure 登陆区域方法。 一个 Azure 订阅用于每个工作负荷。 一个或多个订阅用于包含网络中心和中央共享服务(如防火墙)或 Active Directory 和 DNS 的中央 IT 服务。 另一个订阅用于 SAP 生产工作负荷。 使用 Azure 云采用框架中的决策指南来确定方案的最佳订阅策略。

虚拟网络。Azure 虚拟网络以增强的安全性将 Azure 资源相互连接起来。 在此体系结构中,虚拟网络通过部署在中心辐射型拓扑中心的 ExpressRoute 或虚拟专用网络 (VPN) 网关连接到本地环境。 SAP 生产环境使用自己的辐射虚拟网络。 两个不同的辐射虚拟网络执行不同的任务,子网提供网络隔离。

通过工作负载分离到子网,可以使用网络安全组 (NSG) 来为部署的应用程序 VM 或 Azure 服务设置安全规则。

区域冗余网关。 网关的作用是连接不同的网络,将本地网络扩展到 Azure 虚拟网络。 建议使用 ExpressRoute 创建不使用公共 Internet 的专用连接。 你也可以使用站点到站点连接。 可以跨区域部署 ExpressRoute 或 VPN 网关,以帮助避免区域故障。 请参阅区域冗余虚拟网络网关,了解区域部署和区域冗余部署之间的区别。 对于网关的区域部署,需要使用标准 SKU IP 地址。

NSG。 若要限制传入和传出虚拟网络的网络流量,请创建 NSG 并将其分配给特定子网。 使用特定于工作负荷的 NSG 为单个子网提供安全性。

应用程序安全组。 若要基于以应用程序为中心的工作负载在 NSG 中定义细致缜密的网络安全策略,请使用应用程序安全组而不是显式 IP 地址。 通过使用应用程序安全组,可以按目的对 VM 进行分组,例如 SAP SID。 应用程序安全组通过筛选受信任网络段中的流量来帮助保护应用程序。

专用终结点。 许多 Azure 服务以公共服务的形式运行,可通过 Internet 进行访问。 若要允许通过专用网络范围进行专用访问,可以将专用终结点用于某些服务。 专用终结点是虚拟网络中的网络接口。 专用终结点可有效地将服务引入专用网络空间。

Azure 应用程序网关。应用程序网关是一种 Web 流量负载均衡器。 它具有 Web 应用程序防火墙功能,是向 Internet 公开 Web 应用程序、提高安全性的理想服务。 应用程序网关可以根据配置为公共 (Internet) 或专用客户端提供服务,也可以同时为这两者提供服务。

在该体系结构中,应用程序网关允许使用公共 IP 地址通过 HTTPS 与 SAP 环境建立入站连接。 其后端池是两个或多个 SAP Web Dispatcher VM,可通过轮循机制访问并提供高可用性。 应用程序网关是一种反向代理和 Web 流量负载均衡器,但不会替换 SAP Web Dispatcher。 SAP Web Dispatcher 支持与 SAP 系统进行应用程序集成,并包括应用程序网关本身不具备的功能。 客户端身份验证在到达 SAP 系统时,由 SAP 应用程序层以本机方式或通过单一登录执行。 启用 Azure DDoS 防护时,请考虑使用 DDoS 网络保护 SKU,因为你会看到应用程序网关 Web 应用程序防火墙折扣。

为了获得最佳性能,请启用对应用程序网关、SAP Web Dispatcher 和 SAP NetWeaverHTTP/2 支持

Azure 负载均衡器 Azure 标准负载均衡器为 SAP 系统的高可用性设计提供网络元素。 对于群集系统,标准负载均衡器为群集服务(例如在 VM 上运行的 ASCS/SCS 实例和数据库)提供虚拟 IP 地址。 Azure 网卡上的辅助 IP 不可用时,还可以使用标准负载均衡器为非群集系统的虚拟 SAP 主机名提供 IP 地址。 本文稍后将介绍使用标准负载均衡器代替应用程序网关来解决出站 Internet 访问问题。

网络设计

此体系结构使用两个离散虚拟网络,两个辐射虚拟网络都与中心虚拟网络对等互连。 没有辐射对等互连。 使用星形拓扑,通过中心进行通信。 网络分离有助于保护应用程序,避免违规。

特定于应用程序的外围网络(也称为 DMZ)包含面向 Internet 的应用程序,例如 SAProuter、SAP Cloud Connector、SAP Analytics Cloud Agent 和其他应用程序。 在体系结构关系图中,外围网络名为“SAP 外围 -- 辐射虚拟网络”。 由于 SAP 系统的依赖关系,SAP 团队通常负责这些服务的部署、配置和管理。 这就是为什么这些 SAP 外围服务经常不位于中央中心订阅和网络中。 通常,组织挑战是由于工作负载特定的应用程序或服务的中央中心位置造成的。

以下是使用单独的 SAP 外围虚拟网络的一些优势:

  • 检测到漏洞时,快速立即隔离已泄露的服务。 删除从 SAP 外围虚拟网络到中心的对等互连会立即将 SAP 外围工作负载和 SAP 应用程序虚拟网络应用程序与 Internet 隔离开来。 更改或删除允许访问的 NSG 规则只会影响新连接,并且不会切断现有连接。
  • 对虚拟网络和子网进行更严格的控制,严格锁定进出 SAP 外围网络和 SAP 应用程序网络的通信合作伙伴。 可以通过 SAP 外围应用程序的不同授权后端、特权访问或登录凭据,加强控制 SAP 外围应用程序上的授权用户和访问方法。

缺点是会增加 Internet 绑定 SAP 流量的复杂性和产生额外的虚拟网络对等互连成本(因为通信需要通过虚拟网络对等互连两次)。 对辐射中心辐射对等互连流量的延迟影响取决于已到位且需要测量的任何防火墙。

简化的体系结构

若要解决本文中的建议但要限制缺点,可以将单个辐射虚拟网络用于外围和 SAP 应用程序。 以下体系结构包含单个 SAP 生产虚拟网络中的所有子网。 如果泄露,则通过终止虚拟网络与 SAP 外围的对等互连来立即隔离将不起作用。 在此方案中,对 NSG 的更改只会影响新连接。

示意图显示了 Azure 上的 SAP 面向 Internet 通信的简化体系结构。

下载本文中体系结构的 Visio 文件

对于规模和范围较小的部署,简化的体系结构可能更适合,并且仍遵循更复杂体系结构的原则。 除非另有说明,否则本文指的是更复杂的体系结构。

简化的体系结构使用 SAP 外围子网中的 NAT 网关。 此网关为 SAP Cloud Connector 和 SAP Analytics Cloud Agent 提供出站连接,为部署的 VM 提供 OS 更新。 由于 SAProuter 需要入站和出站连接,因此 SAProuter 通信路径通过防火墙而不是使用 NAT 网关。 简化的体系结构还在 SAP 外围虚拟网络中将应用程序网关与其自己的指定子网放在一起,作为中心虚拟网络的替代方法。

NAT 网关是一项服务,它为出站连接提供静态公共 IP 地址。 NAT 网关分配给子网。 所有出站通信都使用 NAT 网关的 IP 地址进行 Internet 访问。 入站连接不使用 NAT 网关。 SAP Cloud Connector 等应用程序或访问 Internet 上的存储库的 VM OS 更新服务可以使用 NAT 网关,而不是通过中央防火墙路由所有出站流量。 用户定义的规则通常在所有子网上实现,以强制所有虚拟网络的 Internet 绑定流量通过中央防火墙。

根据需求,你可能只能在出站连接上使用 NAT 网关来替代中央防火墙。 这样做可以减少中央防火墙上的负载,同时与 NSG 允许的公共终结点通信。 还可以获取出站 IP 控制,因为可以在 NAT 网关的集 IP 列表中配置目标防火墙规则。 示例包括访问公共服务、OS 补丁存储库或第三方接口使用的 Azure 公共终结点。

对于高可用性配置,请记住,NAT 网关仅部署在特定区域中,当前不会跨区域冗余部署。 对于为虚拟机使用区域冗余(跨区域)部署的 SAP 部署来说,使用单个 NAT 网关并不理想。

跨 SAP 环境使用网络组件

体系结构文档通常仅描述一个 SAP 系统或环境。 这样就更容易理解。 通常结果是,未解决更大的问题,即体系结构如何适应包含多个系统轨道和层的较大 SAP 环境。

如果部署了防火墙、NAT 网关和代理服务器等中心网络服务,最好在所有层的整个 SAP 环境中使用:生产、预生产、开发和沙盒。 根据你的需求、组织规模和业务策略,你可能会考虑在每个层、一个生产环境和一个沙盒/测试环境中单独实现。

通常为 SAP 系统提供服务的服务最好按如下所述进行分离:

  • 负载均衡器应专用于单个服务。 公司策略规定资源的命名和分组。 建议将一个负载均衡器用于 ASCS/SCS 和 ERS,另一个用于数据库,分别用于每个 SAP SID。 或者,在一个 SAP 系统中为 (A)SCS、ERS 和 DB 群集使用单个负载均衡器也是不错的设计。 此配置有助于确保故障排除不会变得复杂,具有多个前端和后端池以及单个负载均衡器上的所有负载均衡规则。 每个 SAP SID 的单个负载均衡器还可以确保资源组中的放置与其他基础结构组件的放置匹配。
  • 应用程序网关(如负载均衡器)支持多个后端、前端、HTTP 设置和规则。 决定将一个应用程序网关用于多种用途在这里更为常见,因为并非环境中的所有 SAP 系统都需要公共访问。 此上下文中的多个用途包括针对同一 SAP S/4HANA 系统或不同 SAP 环境的不同 Web 调度程序端口。 我们建议每层(生产、非生产和沙盒)至少一个应用程序网关,除非连接系统的复杂性和数量过高。
  • SAP 服务(如 SAProuter、Cloud Connector 和 Analytics Cloud Agent)根据应用程序要求进行集中部署或拆分部署。 通常需要生产和非生产分离。

子网大小调整和设计

为 SAP 环境设计子网时,请务必遵循大小调整和设计原则:

  • 多个 Azure 平台即服务 (PaaS) 服务需要自己的指定子网。
  • 应用程序网关建议使用 /24 子网进行缩放。 如果选择限制应用程序网关规模,则可以使用较小的子网,最小值为 /26 或更大的值。 不能在同一子网中使用两个版本 (1 和 2) 的应用程序网关。
  • 如果将 Azure NetApp 文件用于 NFS/SMB 共享或数据库存储,则需要指定子网。 默认使用 /24 子网。 根据要求进行适当的大小调整
  • 如果使用 SAP 虚拟主机名,则 SAP 子网中需要有更多地址空间,包括 SAP 外围。
  • 中心服务(例如 Azure Bastion 或 Azure 防火墙)通常由中心 IT 团队管理,需要其自己的专用子网且大小足够。

通过将专用子网用于 SAP 数据库和应用程序,可以将 NSG 设置为更严格,这有助于使用自己的规则集保护这两种应用程序类型。 然后,可以更轻松地限制对 SAP 应用程序的数据库访问,而无需使用应用程序安全组进行精细控制。 将 SAP 应用程序和数据库子网分离也使得在 NSG 中管理安全规则更容易。

SAP 服务

SAProuter

可以使用 SAProuter 启用 SAP 支持或合作伙伴等第三方来访问 SAP 系统。 SAProuter 在 Azure 中的一个 VM 上运行。 使用 SAProuter 的路由权限存储在名为 saprouttab 的平面文件中。 saprouttab 条目允许从任何 TCP/IP 端口连接到 SAProuter 后面的网络目标,通常是 SAP 系统 VM。 SAP 支持的远程访问依赖于 SAProuter。 主要体系结构使用前面所述的设计,并在指定的 SAP 外围虚拟网络中运行 SAProuter VM。 SAProuter 通过虚拟网络对等互连,随后与在其自己的辐射虚拟网络和子网中运行的 SAP 服务器通信。

SAProuter 是 SAP 或合作伙伴的隧道。 此体系结构描述如何结合使用 SAProuter 和 SNC 来与 SAP/合作伙伴建立加密的应用程序隧道(第 7 网络层)。 此体系结构目前未涵盖基于 IPSEC 的隧道的使用。

以下功能有助于保护 Internet 通信路径:

  • Azure 防火墙或第三方 NVA 向 Azure 网络提供公共 IP 入口点。 防火墙规则将通信限制为仅授权 IP 地址。 为了连接到 SAP 支持,SAP 说明 48243 - 将 SAProuter 软件集成到防火墙环境中记录了 SAP 路由器的 IP 地址。
  • 与防火墙规则一样,网络安全规则允许在 SAProuter 的端口上(通常为 3299)与指定目标进行通信。
  • 在 saprouttab 文件中维护 SAProuter 允许/拒绝规则,指定谁可以联系 SAProuter 以及可以访问哪些 SAP 系统。
  • 其他 NSG 规则位于包含 SAP 系统的 SAP 生产子网中的相应子网上。

有关使用 Azure 防火墙配置 SAProuter 的步骤,请参阅使用 Azure 防火墙配置 SAProuter

SAProuter 安全注意事项

由于 SAProuter 不与 SAP 系统在同一应用程序子网中运行,因此 OS 的登录机制可能有所不同。 根据策略,可以为 SAProuter 使用单独的登录域或完全托管的用户凭据。 如果存在安全漏洞,由于凭据基础不同,则无法对内部 SAP 系统进行级联访问。 在这种情况下,网络分离(如前面所述)可以将从已泄露 SAProuter 进行进一步访问分离到应用程序子网中。 可以通过断开 SAP 外围虚拟网络对等互连来实现此隔离。

SAProuter 高可用性注意事项

由于 SAProuter 是一种简单可执行文件,含有基于文件的路由权限表,因此可以轻松启动。 应用程序不具备内置的高可用性。 如果 VM 或应用程序发生故障,服务需要在另一个 VM 上启动。 将虚拟主机名用于 SAProuter 服务是理想操作。 虚拟主机名绑定到一个 IP,该 IP 分配为配置有 VM 的 NIC 的辅助 IP 或分配至连接到 VM 的内部负载均衡器。 在此配置中,如果需要将 SAProuter 服务移至另一个 VM,则可以删除服务虚拟主机名的 IP 配置。 然后,在另一个 VM 上添加虚拟主机名,而无需更改路由表或防火墙配置。 它们都配置为使用虚拟 IP 地址。 有关详细信息,请参阅 在 Azure 中将 SAP 虚拟主机名与 Linux 配合使用

级联 SAProuters

若要实现级联 SAProuter,可以为 SAP 支持连接定义多达两个 SAProuter。 第一个在 SAP 外围应用程序子网中运行的 SAProuter 可以从中央防火墙和 SAP 或合作伙伴 SAProuter 进行访问。 唯一允许的目标是使用特定工作负荷运行的其他 SAProuter。 级联 SAProuter 可以使用每个层、每个区域或每个 SID 分离,具体取决于体系结构。 第二个 SAProuter 仅接受来自第一个 SAProuter 的内部连接,并提供对单个 SAP 系统和 VM 的访问权限。 此设计允许需要时在不同团队之间单独访问和管理。 有关级联 SAProuter 的示例,请参阅具有 Azure 防火墙的 SAProuter 配置

SAP Fiori 和 WebGui

SAP Fiori 和其他适用于 SAP 应用程序的 HTTPS 前端通常从内部企业网络外部使用。 需要在 Internet 上提供高安全性解决方案来帮助保护 SAP 应用程序。 具有 Web 应用程序防火墙的应用程序网关是实现此目的的理想服务。

对于访问绑定到应用程序网关的公共 IP 的公共主机名的用户,HTTPS 会话将在应用程序网关终止。 两个或多个 SAP Web Dispatcher VM 的后端池从应用程序网关获取轮循机制会话。 Web Dispatcher 的内部流量应用程序网关可以是 HTTP 或 HTTPS,具体取决于要求。 Web 应用程序防火墙有助于通过 OWASP 核心规则集保护 SAP Web Dispatcher 免受来自 Internet 的攻击。 通常通过单一登录 (SSO) 绑定到 Microsoft Entra ID 的 SAP NetWeaver 将执行用户身份验证。 有关使用应用程序网关为 Fiori 配置 SSO 所需的步骤,请参阅使用 SAML 和 Microsoft Entra ID 进行单一登录配置,以获取公共 URL 和内部 URL

请记住,在任何情况下都需要保护 SAP Web Dispatcher。 即使它仅在内部开放,也可以通过公共 IP 向应用程序网关开放,或者可以通过任何其他网络方式进行访问。 有关详细信息,请参阅 SAP Web Dispatcher 的安全信息

Azure 防火墙和应用程序网关

应用程序网关提供的所有 Web 流量都基于 HTTPS,并使用提供的 TLS 证书进行加密。 可以使用 Azure 防火墙作为公司网络的入口点,通过其公共 IP,然后通过内部 IP 地址将 SAP Fiori 流量从防火墙路由到应用程序网关。 有关详细信息,请参阅防火墙后的应用程序网关。 由于 TCP/IP 第 7 层加密已通过 TLS 准备就绪,因此在此方案中使用防火墙的好处有限,且无法执行数据包检查。 Fiori 通过入站和出站流量的相同外部 IP 地址进行通信,而 SAP Fiori 部署通常不需要。

串联应用程序网关和第 4 层防火墙部署的好处如下:

  • 可能与企业范围的安全策略管理集成。
  • 违反安全规则的网络流量已弃用,因此不需要检查。

这种组合部署是很好的体系结构。 处理入站 Internet 流量的方法取决于整个企业体系结构。 还需要考虑整体网络体系结构如何适应来自本地客户端等内部 IP 地址空间的访问方法。 下一部分介绍了此注意事项。

内部 IP 地址应用程序网关(可选)

此体系结构侧重于面向 Internet 的应用程序。 对于通过内部专用 IP 地址访问 SAP Fiori、SAP NetWeaver 系统的 Web UI 或另一个 SAP HTTPS 接口的客户端,有多种选项可用。 一种方案是通过公共 IP 将所有对 Fiori 的访问视为公共访问。 另一个选项是通过专用网络直接网络访问 SAP Web Dispatcher,完全绕过应用程序网关。 第三个选项是使用应用程序网关上的专用和公共 IP 地址,从而提供对 Internet 和专用网络的访问权限。

可以将类似配置与应用程序网关上的专用 IP 地址配合使用,以便对 SAP 环境进行专用网络访问。 在本例中,公共 IP 地址仅用于管理目的,并且没有与之关联的侦听器。

可以在内部使用负载均衡器作为应用程序网关的替代方法。 可以将标准内部负载均衡器与配置为轮循机制后端的 Web Dispatcher VM 配合使用。 在此方案中,标准负载均衡器与 SAP 生产应用程序子网中的 Web Dispatcher VM 一起放置,并支持在 Web Dispatcher VM 之间进行主动/主动负载均衡。

对于面向 Internet 的部署,我们建议使用具备 Web 应用程序防火墙而不是具有公共 IP 的负载均衡器的应用程序网关。

SAP 业务技术平台 (BTP)

SAP BTP 是一组大型 SAP 应用程序(SaaS 或 PaaS),通常通过 Internet 通过公共终结点进行访问。 SAP Cloud Connector 通常用于为专用网络中运行的应用程序提供通信,例如在 Azure 上运行的 SAP S/4HANA 系统。 SAP Cloud Connector 作为 VM 中的应用程序运行。 它需要出站 Internet 访问才能使用 SAP BTP 建立 TLS 加密的 HTTPS 隧道。 它充当虚拟网络中专用 IP 范围与 SAP BTP 应用程序之间的反向调用代理。 由于此反向调用支持,因此无需对入站连接开放防火墙端口或其他访问权限,因为来自虚拟网络的连接是出站连接。

默认情况下,VM 在 Azure 上进行出站 Internet 本机访问。 如果没有与虚拟机关联的专用公共 IP 地址,则从特定 Azure 区域中的公共 IP 池中随机选择用于出站流量的公共 IP 地址。 无法控制这点。 若要确保通过受控且可识别的服务和 IP 地址建立出站连接,可以使用下列方法之一:

  • 与子网或负载均衡器及其公共 IP 地址关联的 NAT 网关。
  • 你运行的 HTTP 代理服务器。
  • 用户定义的路由,强制网络流量流向防火墙等网络设备。

体系结构图显示了最常见的方案:将 internet-bound 流量路由到中心虚拟网络,并通过中心防火墙。 需要在 SAP Cloud Connector 中配置更多设置才能连接到 SAP BTP 帐户。

SAP Cloud Connector 的高可用性

高可用性内置于 SAP Cloud Connector 中。 Cloud Connector 安装在两个 VM 上。 主实例处于活动状态,阴影实例已连接到主实例。 它们共享配置,并保持本机同步。 如果主实例不可用,辅助 VM 会尝试接管主角色,并重新建立到 SAP BTP 的 TLS 隧道。 体系结构中显示了高可用性 Cloud Connector 环境。 无需负载均衡器或群集软件等任何其他 Azure 技术即可进行配置。 有关配置和操作的详细信息,请参阅 SAP 文档

SAP Analytics Cloud Agent

对于某些应用程序方案,SAP Analytics Cloud Agent 是 VM 中安装的应用程序。 它使用 SAP Cloud Connector 进行 SAP BTP 连接。 在此体系结构中,SAP Analytics Cloud Agent VM 与 SAP Cloud Connector VM 一起在 SAP 外围应用程序子网中运行。 有关通过 SAP Analytics Cloud Agent 从专用网络(如 Azure 虚拟网络)流向 SAP BTP 的流量,请参阅 SAP 文档

SAP 为 SAP BTP 提供专用链接服务。 它支持在所选 SAP BTP 服务与 Azure 订阅和虚拟网络中的所选服务之间建立专用连接。 使用专用链接服务时,不会通过公共 Internet 路由通信。 它保留在具有高安全性的 Azure 全球网络主干上。 与 Azure 服务的通信通过专用地址空间进行。 使用专用链接服务时,内置了改进的数据外泄保护,因为专用终结点会将特定的 Azure 服务映射到 IP 地址。 访问仅限于映射的 Azure 服务。

对于某些 SAP BTP 集成方案,首选专用链接服务方法。 对于其他人来说,SAP Cloud Connector 更好。 有关确定使用何种方法的帮助信息,请参阅并行运行 Cloud Connector 和 SAP 专用链接

SAP RISE/ECS

如果 SAP 根据 SAP RISE/ECS 合同运行 SAP 系统,则 SAP 是托管服务合作伙伴。 SAP 环境由 SAP 部署。 在 SAP 的体系结构上,此处显示的体系结构不适用于在 RISE 中按照 SAP/ECS 运行的系统。 有关将此类 SAP 环境与 Azure 服务和网络集成的信息,请参阅 Azure 文档

其他 SAP 通信要求

有关 internet-bound 通信的其他注意事项可能适用于在 Azure 上运行的 SAP 环境。 此体系结构中的流量流使用此出站流量的中央 Azure 防火墙。 辐射虚拟网络中用户定义的规则将 internet-bound 流量请求路由到防火墙。 或者,可以使用特定子网上的 NAT 网关、默认的 Azure 出站通信、VM 上的公共 IP 地址(不建议)或具有出站规则的公共负载均衡器。

对于标准内部负载均衡器后面的虚拟机(如群集环境中的虚拟机),请记住标准负载均衡器会修改公共连接的行为。 有关详细信息,请参阅 SAP 高可用性方案中使用 Azure 标准负载均衡器的虚拟机的公共终结点连接一文。

操作系统更新

操作系统更新通常位于公共终结点后面,并通过 Internet 进行访问。 如果没有企业存储库和更新管理,则对专用 IP 地址 / VM 上的供应商进行镜像 OS 更新,SAP 工作负载需要访问供应商的更新存储库。

对于 Linux 操作系统,如果从 Azure 获取了 OS 许可证,则可以访问以下存储库。 如果直接购买许可证并将其带到 Azure (BYOS),请联系 OS 供应商,了解如何连接到 OS 存储库及其各自的 IP 地址范围。

高可用性群集管理

群集 SAP ASCS/SCS 或数据库等高可用性系统可能会将群集管理器与 Azure 隔离代理用作 STONITH 设备。 这些系统依赖于访问 Azure 资源管理器。 资源管理器用于有关 Azure 资源的状态查询以及停止和启动 VM 的操作。 由于资源管理器是公共终结点,可在 management.azure.com 下使用,因此 VM 出站通信需要能够访问它。 此体系结构依赖于具有用户定义规则的中央防火墙,用于路由来自 SAP 虚拟网络的流量。 有关替代项,请参阅前面部分。

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

主要作者:

其他参与者:

若要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。

社区

请考虑使用这些社区来获取问题答案,并获取有关设置部署的帮助:

后续步骤