检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
可限制能够访问管理区主机的22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。 表1 网络ACL“NACL-PRD-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a TCP
网络ACL“NACL-DEV-APP”出方向与表2。 本节中提到的IP地址及端口号仅为示例,如有其它业务流,可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。 表1 网络ACL“NACL-DEV-APP”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对PRD-DMZ区
SAP系统安全网络接入 所有SAP系统在云上都在一个VPC 中(专属网络),所有系统IP 都为内网地址,屏蔽其他租户访问。 Access server内部安装HANA Studio/NAT/SAP Router,安装在公有子网,绑定弹性IP,SAP工程师可以通过该server访问处于私有子网的SAP系统做技术支持。
新发放出的来的弹性云服务器IP地址可能与源系统不同,如有需要,请更新所有对源系统IP地址的引用。同时,您也需要登录到新系统,更新新系统的“/etc/hosts”文件以及hostname信息等。 弹性云服务器支持修改私有IP地址,但是如果源系统与目标系统在同一个VPC内,需将源服务器的IP地址释放之
主机的22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例。管理员也可设置具备End Uesr角色相应的策略,使管理员可访问开发测试环境业务端口。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a
成安全组设置,具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。 安全组规划要根据SAP的主机间通信要求制定,主要安全组规则请参考表2进行设定。 网段信息与IP地址信息请根据实际部署规划。下面的安全组规则仅是推荐的最佳
SAP客户如何连接华为云上的SAP系统? 目前主要有IPSEC VPN和专线两种方式,前者按带宽大小按需收费,后者需要客户自行找电信运营商采购,华为侧只收取专线端口费用。当网络连接打通后客户可以使用传统方式(SAP GUI或WEB)方式登录云上的SAP系统,和线下使用没有任何区别。
在华为云部署时保持应用的架构不变,将第三方云的云服务替换成华为云云服务。 请参考部署方案章节完成部署方案的设计。 组网方案 迁移至华为云后,网络规划复制源端网络架构。通过EIP、VPN或云专线与第三方云互通。 详细信息参考组网方案部分。 安全设计 请参考安全设计章节,推荐查看华为云SAP安全白皮书。 权限管理请参考业务账号体系设计部分。
SAP系统安全网络接入 所有SAP系统在云上都在一个VPC 中(专属网络),所有系统IP 都为内网地址,屏蔽其他租户访问。 Access server内部安装HANA Studio/NAT/SAP Router,安装在公有子网,绑定弹性IP,SAP工程师可以通过该server访问处于私有子网的SAP系统做技术支持。
ss One/HANA Client,两台ECS详情如下所示,下表和截图均为示例,仅展示操作步骤,请根据实际情况购买 主机名 业务/客户端IP地址 规格 类型 镜像 b123 10.10.1.178 m6.2xlarge.8 Business One SUSE Enterprise
由于目的端服务器/etc/hosts文件中的内容与源端服务器/etc/hosts文件中的一样,所以根据实际情况修改此文件中的内容,主要是修改主机名称映射的IP地址,将原IP根据实际改成目的端服务器的IP。 启动SAP HANA数据库 启动SAP S/4HANA。 先执行 sapcontrol -nr 01 -function
保持一致。否则,迁移完成后服务器OS系统类型与镜像类型不一致,造成名字冲突及其他问题。 确保源端服务器可以访问目的端服务器,即要有可用的EIP,或者配置VPN、专线。 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统,开放TC
HANA主节点云服务器网络配置 参数 说明 网络 选择创建VPC创建的VPC以及子网。 扩展网卡 单击“增加一块网卡”增加网卡。 安全组 选择1创建的安全组。 弹性公网IP 选择“暂不购买”。 单击“下一步:高级配置”,根据表3配置HANA主节点云服务器高级信息。 表3 HANA主节点云服务器高级配置 参数 说明
S/4HANA主节点云服务器网络配置 参数 说明 网络 选择创建VPC创建的VPC以及子网。 扩展网卡 单击“增加一块网卡”增加网卡。 安全组 选择2创建的安全组。 弹性公网IP 选择“暂不购买”。 单击“下一步:高级配置”,根据界面提示配置SAP S/4HANA主节点云服务器高级信息,具体参数请参见表3。 表3 SAP
com/ha_auto_script/ha_auto_script.zip 华北-北京四:https://obs-sap-cn-north-4.obs.cn-north-4.myhuaweicloud.com/ha_auto_script/ha_auto_script.zip 华东-上海二:https://obs-sap
-sr_unregister 使用数据库用户登录源端数据库后台,执行: HDB stop 修改旧服务器IP 登录华为云console界面,将源端5台服务器主网卡和拓展网卡的物理IP修改为临时规划的临时IP。 注意:修改主网卡IP需要服务器关机状态。 父主题: 迁移上线阶段实施步骤
云服务器名的最大长度不应超过13个字符。 磁盘选择“专属分布式存储”,并根据部署方案选择磁盘所属存储池。 不绑定弹性IP。 创建Jump Host时,可根据实际情况选择是否绑定弹性IP。 “登录凭证”选择“密钥对”,SAP系统内需要内部通信的节点之间和主备节点之间必须指定同一份密钥,否则会导致后续SAP软件无法正常安装。
x8664:sn.38370da481a5/tpg1/portals create Using default IP port 3260 Automatically selected IP address 192.168.124.10. Created network portal 192
则控制云服务器对外开放的端口范围以及源IP范围,如公网IP较为固定,可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。 图5 安全组策略示例 如公网IP不固定的场景,可根据业务需要(如模拟测试,技术支持),临时放通特定公网源IP,相应事务完成后删除策略。 父主题: 开发测试环境安全解决方案
业务/备份平面IP地址,分发给除SAP HANA Studio之外的所有服务器。 命令格式如下: scp /root/.ssh/id_rsa 对端的IP地址:/root/.ssh/id_rsa scp /root/.ssh/authorized_keys 对端的IP地址:/root/
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
