检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
海外的用户如何访问国内华为云上的SAP系统? 华为云推出云连接服务(Cloud Connect),打造全球一张网,方便客户在全球任何节点轻松连入华为云的全球骨干网,不管是企业出海还是海外企业进中国,都能轻松满足。 父主题: 产品篇
放业务必须的[IP]:[PORT]。 例如,对于企业内部管理员,可访问管理区堡垒机远程登录端口,而其他一般用户,或内部系统则无法访问。对于企业内部一般用户,应仅能访问内网应用区的SAP业务端口。系统内部各区域间(子网隔离),应使用网络ACL限制默认拒绝所有流量,业务必须流量已白名单方式添加。
发测试环境DEV-管理区子网,通过策略限制可由管理区堡垒机访问开发测试环境其它区域服务器的管理端口(22等),并拒绝由开发测试环境其它区域发起的对管理区堡垒机的连接。 本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。本节仅涉及开发测试区内部策略。 表1
配置主机名称与IP地址的映射 操作场景 在SAP系统的安装过程中,安装程序使用主机名称来进行通信。因此需要配置主机名称和IP地址的映射关系。 操作步骤 以“root”帐号和密钥文件登录Jump Host,并通过SSH协议,跳转到一台待安装SAP HANA的服务器。 进入hosts文件。
配置主机名与IP地址的映射 操作场景 在SAP系统的安装过程中,安装程序使用主机名称来进行通信。因此需要配置主机名称和IP地址的映射关系。 操作步骤 以“root”帐号和密钥文件登录Jump Host,并通过SSH协议,跳转到一台待安装SAP HANA的裸金属服务器。 在集群场景下,跳转到第一台待安装SAP
HANA的简称,是SAP商务智能(BI)的集成化组件之一,为SAP数据和非SAP数据的采集、存储、分析和管理提供一个集成的,面向商务的平台。它可以智能化地管理整个企业管理信息系统的海量数据信息并从中挖掘出有价值的信息,以向企业管理者提供的决策支持,从而使企业对市场反应更灵敏快捷,整个企业也更具有生命力和竞争力。
配置裸金属服务器上的网卡IP(集群) 操作场景 SAP HANA集群的内部通信平面,在申请裸金属服务器时无法自动创建,需要手动配置该平面网卡的IP地址,满足SAP系统的部署要求。 操作步骤 以“root”用户,使用密钥登录裸金属服务器。 查询网卡信息。 ip link 返回信息示例如下:
创建挂载虚拟IP地址 虚拟IP主要用在弹性云服务器的主备切换,达到高可用性HA(High Availability)的目的。当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换到备服务器,继续对外提供服务。了解更多关于虚拟IP的信息,请参见虚拟IP简介 。 操作步骤 在左侧导航栏,单击,选择“计算
SAP客户如何连接华为云上的SAP系统? 目前主要有IPSEC VPN和专线两种方式,前者按带宽大小按需收费,后者需要客户自行找电信运营商采购,华为侧只收取专线端口费用。当网络连接打通后客户可以使用传统方式(SAP GUI或WEB)方式登录云上的SAP系统,和线下使用没有任何区别。 针对
绑定共享盘和浮动IP 操作场景 在分布式HA部署场景下,ASCS主备节点通过共享盘实现数据同步。本章节指导用户将ASCS主节点的数据盘绑定给ASCS备节点并为ASCS主备节点绑定浮动IP。详情请参考《SAP NetWeaver用户指南》中“绑定共享盘和浮动IP”章节。 父主题: 安装SAP
22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例。管理员也可设置具备End Uesr角色相应的策略,使管理员可访问开发测试环境业务端口。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a
手动添加虚拟IP 将SAP S/4HANA1809的安装包下载到共享的/sapcd目录下,然后进行软件的安装。 使用华为云 SAP ASCS 高可用脚本配置HA,虚拟IP会在安装脚本中自动配置,但安装SAP ASCS和ERS安装前需要在主备机上临时手动添加ASCS和ERS的虚拟IP地址。
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
产环境相应子网,需严格按照最小化的原则控制访问开发测试环境的入方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的出方向策略,这里可以根据实际情况设置稍弱的访问控制策略。 强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置
应子网,需严格控制访问企业内网环境(IDC)的出方向策略,限制其仅能访问企业内网环境(IDC)中特定的[IP]:[PORT]。 对于由IDC发起的对开发测试环境的入方向策略,根据场景不同设置相应的访问控制策略。如AD服务器与保留系统,场景较为固定,应设置相应的策略,使其能够与云上
测试环境子相应网,需严格按照最小化的原则控制访问生产环境的出方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的入方向策略,这里可以根据实际情况设置稍弱的访问控制策略。 强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及
配置Jump Host与其他节点的跳转 操作场景 为了实现通过Jump Host可使用SSH协议跳转到SAP系统节点的功能,以及SAP系统节点和Jump Host互相通过SSH协议跳转的功能,需要配置云服务器之间的互信。 操作步骤 上传密钥文件到Jump Host。 使用WinS
net对专用堡垒的访问。 以EIP网卡属于DEV-管理区子网为例,增加如下入站ACL策略: 本节中提到的IP地址及端口号仅为示例。如有特殊情况,需新增临时策略放通其它源IP。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明
要继续,可在浏览器中添加例外,以绕过警告。 说明: 在登录界面上,输入hacluster用户(或属于haclient组的任何其他用户)的用户名和密码。 用户名为“hacluster”,初始密码为“linux”,请在首次登录后修改密码。 单击“登录”。随即会出现集群状态屏幕,显示集群节点和资源的状态。 父主题: SAP
-e=endpoint ak:租户的access key,即创建访问密钥(AK和SK)中的AK。 sk:租户的secert key,即创建访问密钥(AK和SK)中的SK。 endpoint:不同区域的终端节点地址不同,OBS的终端节点地址如表1所示,也可参见地区和终端节点中关于OBS的内容。 表1 终端节点