你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

SAP 迁移的网络拓扑和连接

本文基于 Azure 登陆区域设计区域中为网络拓扑和连接定义的注意事项和建议。 本文中的指南介绍了与 Microsoft Azure 和 SAP 部署中的网络和连接的关键设计注意事项和最佳做法。 由于 SAP 是一个任务关键型平台，因此设计还应遵循有关 Azure 登陆区域设计区域的指南。

IP 寻址计划

Azure 中 IP 寻址的计划对于确保：

• IP 地址空间不会与本地位置和 Azure 区域重叠。
• 虚拟网络包含正确的地址空间。
• 子网配置计划会提前进行。

以下体系结构关系图显示了 Azure 登陆区域加速器上的 SAP 中的网络注意事项：

SAP 实现的设计注意事项：

可以将 子网专用 化并委托给某些服务，然后在这些子网中创建这些服务的实例。 尽管 Azure 可帮助在虚拟网络中创建多个委派子网，但只能在虚拟网络中为Azure NetApp 文档创建一个委派子网。 如果将多个委托子网用于Azure NetApp 文档，则无法创建新卷。

用例：

需要委托的子网来实现Azure NetApp 文档。 此方法适用于共享文件系统的 SAP 部署。 在负载均衡期间，只需为应用程序网关或 SAP BusinessObjects Business Intelligence（这是对 SAP Web 应用程序服务器进行负载均衡）的委托子网。

为本地和 Azure 资源配置 DNS 和名称解析

域名系统（DNS）是 Azure 登陆区域体系结构的重要组成部分。 某些组织可能希望利用其现有的 DNS 投资。 其他组织可能将云采用视为一个契机，借以实现内部 DNS 基础结构现代化，并使用原生 Azure 功能。

针对 SAP 实现的设计建议：

在迁移期间虚拟机的 DNS 或虚拟名称不会更改时，请使用以下用例建议。

用例：

• 后台 DNS 和虚拟名称连接 SAP 环境中的许多系统接口，客户有时只知道开发人员在一段时间内定义的接口。 迁移后虚拟名称或 DNS 名称发生更改时，系统之间会出现连接挑战。 为简单起见，建议保留 DNS 别名。

• 使用不同的 DNS 区域来区分每个环境，包括沙盒、开发、预生产环境和生产环境。 一个例外是具有自己的虚拟网络的 SAP 部署。 在这种情况下，可能不需要专用 DNS 区域。

定义 Azure 网络拓扑

企业规模登陆区域支持两个网络拓扑。 一个拓扑基于 Azure 虚拟 WAN。 另一种是基于中心辐射型体系结构的传统网络拓扑。 本部分介绍这两种部署模型的建议 SAP 配置和做法。

如果组织计划执行以下操作，请使用基于虚拟 WAN 的网络拓扑：

• 跨多个 Azure 区域部署资源，并将全局位置连接到 Azure 和本地环境。
• 将软件定义的 WAN 部署与 Azure 完全集成。
• 跨连接到一个虚拟 WAN中心的所有虚拟网络部署多达 2,000 个虚拟机工作负荷。

组织使用虚拟 WAN 来满足大规模的互连需求。 Microsoft 管理此服务，这有助于降低整体网络复杂性并实现组织网络现代化。

如果组织有以下条件，请使用基于中心辐射型体系结构的传统 Azure 网络拓扑：

• 计划仅在选择 Azure 区域中部署资源。
• 不需要全局互连的网络。
• 每个区域的远程或分支位置很少，需要少于 30 个 Internet 协议安全性 （IPSec） 隧道。
• 需要完全控制和粒度才能手动配置 Azure 网络。

针对 SAP 实现的设计建议：

• 在需要跨 Azure 区域和本地位置进行全局传输连接的新网络、大型网络或全局网络中，使用 虚拟 WAN。 通过采用此方法，无需为 Azure 网络手动设置可传递路由，并且可以遵循 Azure 上 SAP 部署的标准。

• 仅当使用合作伙伴 NVA 时，才考虑在区域之间部署网络虚拟设备（NVA）。 如果存在本机 NVA，则不需要区域或虚拟网络之间的 NVA。 部署合作伙伴网络技术和 NVA 时，请按照供应商的指导确定与 Azure 网络冲突的配置。

• 虚拟 WAN管理基于虚拟 WAN拓扑的辐射虚拟网络之间的连接，因此无需设置用户定义的路由（UDR）或 NVA。 同一虚拟中心内网络到网络流量的最大网络吞吐量为 50 Gbps。 为了克服此带宽限制，SAP 登陆区域可以使用虚拟网络对等互连连接到其他登陆区域。

• 两种拓扑都不支持 SAP 应用程序和数据库服务器之间的 NVA 部署。

• 本地和全局虚拟网络对等互连提供连接，是确保跨多个 Azure 区域进行 SAP 部署的登陆区域之间的连接的首选方法。

计划入站和出站 Internet 连接

此部分介绍进出公共 Internet 的入站和出站连接的推荐连接模型。 azure 本机网络安全服务（如 Azure 防火墙、azure Web 应用程序防火墙 on Azure 应用程序网关 和 Azure Front Door）是完全托管服务，因此不会产生与基础结构部署关联的操作和管理成本。

针对 SAP 实现的设计建议：

• 对于具有全球足迹的客户，Azure Front Door 使用Web 应用程序防火墙策略跨 Azure 区域交付和保护全球 HTTP 和 HTTPS 应用程序，从而促进 SAP 部署。

• 使用 Azure Front Door 和 应用程序网关来保护 HTTP 和 HTTPS 应用程序时，利用 Azure Front Door 中的Web 应用程序防火墙策略。 阻止流向应用程序网关，以便仅接收来自 Azure Front Door 的流量。

• 当应用程序网关充当 SAP Web 应用的反向代理时，应用程序网关和Web 应用程序防火墙有限制。 由于 SAP Web 调度程序和 NetScaler 比 应用程序网关 更智能，因此，如果将它们替换为应用程序网关，则需要进行广泛的测试。 验证最新的状态并列出所有受支持的、不支持、测试和未测试的方案（如果可能）。

• 在向 Internet 公开流量时，使用 Web 应用程序防火墙扫描流量。 另一种方法是将其与负载均衡器或具有内置防火墙功能的应用程序网关或第三方解决方案等资源一起使用。

• 为了防止数据泄露，请使用Azure 专用链接安全地访问平台即服务（PaaS）资源，例如Azure Blob 存储、Azure 文件存储、Azure Data Lake 存储 Gen2 和 Azure 数据工厂。 专用终结点还可以帮助保护虚拟网络和服务（如Azure 存储和Azure 备份）之间的流量。 虚拟网络与启用专用终结点的服务之间的流量会跨 Microsoft 全球网络传输，从而阻止其暴露在公共 Internet 中。

实现具有高可用性的 Azure ExpressRoute

Azure ExpressRoute 旨在实现高可用性，以提供与 Microsoft 资源的运营商级专用网络连接。 Microsoft 网络中 ExpressRoute 路径中没有单一故障点。 为了最大限度地提高可用性，还应构建 ExpressRoute 线路的客户和服务提供商段以实现高可用性。

SAP 实现的设计建议：

• 确保将 ExpressRoute 线路的两个物理链接连接到网络中两个不同的边缘设备。 有关最大化 ExpressRoute 线路可用性的建议，请参阅 ExpressRoute 线路复原建议。
• 确保 ExpressRoute 的高可用性。 有关详细信息，请参阅 使用 ExpressRoute 设计高可用性。
• 对 ExpressRoute 进行精心构建的评审。 有关详细信息，请参阅 Azure 架构良好的框架评审 - Azure ExpressRoute 建议。
• 确保有 ExpressRoute 的灾难恢复计划。 有关详细信息，请参阅 使用 ExpressRoute 专用对等互连进行灾难恢复设计。
• 确保 ExpressRoute 线路的两个连接都配置为主动-主动模式。 有关详细信息，请参阅 使用 ExpressRoute - 主动-主动连接设计高可用性。
• 为 ExpressRoute 线路配置监视和警报。
• 配置服务运行状况以接收 ExpressRoute 线路维护通知。

定义网络加密要求

本部分探讨在本地环境和 Azure 环境之间以及跨 Azure 区域加密网络的关键建议。

SAP 实现的设计注意事项：

• 使用 ExpressRoute 配置专用对等互连时，流量默认不会加密。

• 无需通过 ExpressRoute 对 SAP 部署的流量进行加密。 SAP 流量通常会消耗大量带宽，并且对性能很敏感。 默认情况下，IPSec 隧道加密 Internet 流量，加密或解密可能会对流量的性能产生负面影响。

• 客户确定是否应加密 SAP 流量。 若要详细了解企业规模登陆区域中的网络加密选项，请参阅 网络拓扑和连接。

分离系统

SAP 方案中有不同的环境，包括开发、测试、质量、预生产环境和生产环境，客户倾向于将这些系统分类为逻辑或物理构造，以维护安全性和符合性标准。 其思路是在一个通用资源组中管理具有相同生命周期的所有系统。 可以在各种级别定义这些组，例如在订阅或资源组级别。

组织还应考虑在 SAP 布局中对资源进行分组时的安全性和策略结构。 但是，对于 SAP 传输，在开发、测试、质量和生产环境之间流动，组织可能需要：

• 虚拟网络对等互连。
• 在虚拟网络之间打开防火墙端口。
• UDR 和网络安全组 （NSG） 规则。

不建议在不同的虚拟网络中托管 SAP 系统的数据库管理系统（DBMS）和应用程序层，并使用虚拟网络对等互连连接它们。 层之间的网络流量过多可能会产生大量成本。

针对 SAP 实现的其他建议：

• 这两种拓扑都不支持将 SAP 应用程序层和 SAP DBMS 放置在未对等互连的不同 Azure 虚拟网络中。

• 可以使用应用程序安全组 (ASG) 和 NSG 规则来定义 SAP 应用程序和 DBMS 层之间的网络安全访问控制列表。 可以将虚拟机添加到 ASG，以帮助管理其安全性。

• 在 SAP 应用程序和 DBMS 层中使用的虚拟机上启用 Azure 加速网络。 以下操作系统级别支持 Azure 中的加速网络：

  • Windows Server 2012 R2 或更高版本
  • SU标准版 Linux Enterprise Desktop 12 SP3 或更高版本
  • Red Hat Enterprise Linux 7.4 或更高版本
  • Oracle Linux 7.5
    • 与 Red Hat Enterprise Linux 兼容的内核需要版本 3.10.0-862.13.1.el7。
    • Oracle 不可破解的企业内核需要版本 5。

• 请确保为Azure 负载均衡器设置内部部署以使用直接服务器返回功能。 使用内部负载均衡器配置在 DBMS 层上实现高可用性配置时，此功能可降低延迟。

• 如果对 Linux 来宾操作系统使用负载均衡器，请确保将 Linux 网络参数net.ipv4.tcp_timestamps设置为 0。

• 若要降低 SAP 应用程序的网络延迟，请考虑使用 Azure 邻近放置组。

• 对于迁移项目，请考虑优化网络参数。 例如，可以通过在迁移期间禁用确认来提高性能。

• 浏览 SAP 支持门户和 SAP 说明 2391465，了解如何实现 SAP 的详细信息。

RI 的设计注意事项标准版实现

在 Azure 中运行 SAP RI标准版部署时，SAP 托管环境与你自己的 Azure 生态系统的集成至关重要。 若要详细了解最佳做法和指南，请参阅将 Azure 与 SAP RI 集成标准版托管工作负荷。

SAP RI标准版实现通常有两个选项用于连接：站点到站点 VPN 或虚拟网络对等互连。 如果没有以前的 Azure 工作负载，站点到站点 VPN 可能是更简单的选项。 但是，如果要采用 Azure 作为战略平台，可以设置适当的 Azure 登陆区域，并使用虚拟网络对等互连到 SAP RI标准版 租户。 对于这些方案，简化的登陆区域（如 Azure 登陆区域 ）可能是一个不错的选择。 可以轻松地将此现成的部署体验适应你的要求，特别是虚拟网络参数。

将跨租户虚拟网络对等互连部署到 SAP RI标准版 租户也需要更多工作。 需要仔细规划虚拟网络体系结构，以确保没有重叠的无类域间路由范围。 还必须将 DNS 正确对等互连到 SAP RI标准版 租户。

如果你决定设置虚拟 WAN解决方案，并且需要站点到站点 VPN 或 ExpressRoute 连接，请考虑这些限制和限制。