检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
放业务必须的[IP]:[PORT]。 例如,对于企业内部管理员,可访问管理区堡垒机远程登录端口,而其他一般用户,或内部系统则无法访问。对于企业内部一般用户,应仅能访问内网应用区的SAP业务端口。系统内部各区域间(子网隔离),应使用网络ACL限制默认拒绝所有流量,业务必须流量已白名单方式添加。
绑定共享盘和浮动IP 操作场景 在分布式HA部署场景下,ASCS主备节点通过共享盘实现数据同步。本章节指导用户将ASCS主节点的数据盘绑定给ASCS备节点并为ASCS主备节点绑定浮动IP。详情请参考《SAP NetWeaver用户指南》中“绑定共享盘和浮动IP”章节。 父主题: 安装SAP
海外的用户如何访问国内华为云上的SAP系统? 华为云推出云连接服务(Cloud Connect),打造全球一张网,方便客户在全球任何节点轻松连入华为云的全球骨干网,不管是企业出海还是海外企业进中国,都能轻松满足。 父主题: 产品篇
则控制云服务器对外开放的端口范围以及源IP范围,如公网IP较为固定,可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。 图5 安全组策略示例 如公网IP不固定的场景,可根据业务需要(如模拟测试,技术支持),临时放通特定公网源IP,相应事务完成后删除策略。 父主题: 开发测试环境安全解决方案
将所有的SAP系统节点的主机名称和IP地址写入到hosts文件中。 此处的IP地址为SAP节点上业务/客户端平面的IP地址。 Full-Quallified-Hostname和Short-Hostname均为服务器的host名称,例如“hana001” 格式为:IP-Address Ful
主机添加虚拟 IP: ip addr add <ASCS VIP>/24 broadcast dev eth0:0 例如: ip addr add 172.16.0.12/24 broadcast 172.16.0.255 dev eth0:0 备机添加虚拟 IP: ip addr add
ternet对专用堡垒的访问。 以EIP网卡属于DEV-管理区子网为例,增加如下入站ACL策略: 本节中提到的IP地址及端口号仅为示例。如有特殊情况,需新增临时策略放通其它源IP。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝
单击“管理虚拟IP地址”,弹出“虚拟IP地址”界面。 单击“申请虚拟IP地址”,在弹出的窗口,单击“手动分配”,按照云服务器规划分配规划的浮动IP地址。 需要申请10.0.3.100、10.0.3.110、10.0.3.120三个虚拟IP地址。 在创建好的虚拟IP地址后面,单击“绑定服务器”,将浮动IP地址10
组件之一,为SAP数据和非SAP数据的采集、存储、分析和管理提供一个集成的,面向商务的平台。它可以智能化地管理整个企业管理信息系统的海量数据信息并从中挖掘出有价值的信息,以向企业管理者提供的决策支持,从而使企业对市场反应更灵敏快捷,整个企业也更具有生命力和竞争力。 华为云为SAP
/etc/hosts 将所有的SAP系统节点的主机名称和IP地址写入到hosts文件中。 此处的IP地址,单节点部署时为心跳平面的IP地址,集群场景下为SAP HANA节点内部通信平面的IP地址。 Full-Quallified-Hostname和Short-Hostname均为服务器的host名称,例如“hana001”。
SAP客户如何连接华为云上的SAP系统? 目前主要有IPSEC VPN和专线两种方式,前者按带宽大小按需收费,后者需要客户自行找电信运营商采购,华为侧只收取专线端口费用。当网络连接打通后客户可以使用传统方式(SAP GUI或WEB)方式登录云上的SAP系统,和线下使用没有任何区别。 针对
配置IP与主机名称映射 SAP HANA服务器配置 SAP S/4HANA服务器配置 父主题: 资源创建
产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。 安全策略 网络ACL“NACL-P
DOWN”的网卡,设置为“qdisc mq state UP”,示例中为“eth2”和“eth3”。 ip link set eth2 up ip link set eth3 up 重新查询网卡的状态。 ip link 返回信息示例如下: 1: lo: <LOOPBACK,UP,LOWER_UP>
产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。 安全策略 如图1 开发测试环境网络
HANA的安装过程中,安装程序使用主机名称来进行通信。因此需要配置主机名称和IP地址的映射关系。 操作步骤 登录SAP HANA主节点云服务器“hana001”,编辑/etc/hosts文件,将所有SAP HANA节点的主机名称与IP地址写入其中。 如果/etc/hosts文件中存在127.0
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
SAP启动失败 问题现象 SAP启动失败,disp+work实例未启动 2. 查看log 错误原因为未加域名所致 解决方案 在hosts文件中加入域名 重新启动SAP,成功启动 父主题: FAQ
有业务以及运维通道均通过公网接入,安全方案建议见图1 特殊场景安全方案。 图1 特殊场景安全方案 此方案主要区别为: 管理区合一,部署一台堡垒机,不再区分PRD与DEV。 各业务出口、运维通道,如无必要对全网开放,建议加强网络ACL策略,严格限制源IP。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
