IBM Cloud Docs
Hinweise zum Netzbetriebdesign

Hinweise zum Netzbetriebdesign

Die SAP-Systeme in einer Umgebung stellen spezifische Anforderungen an Server, Betriebssysteme, Netzkonfiguration und unterstützten Speicher.

In gewisser Hinsicht gleichen die Vorgehensweisen in Bezug auf SAP-Workloads, die IaaS eines Cloud-Service-Providers (z. B. IBM Cloud® for SAP) nutzen, den vorhandenen, teilweise über Jahrzehnte etablierten Vorgehensweisen in Bezug auf SAP-Workloads, für die ein externes Rechenzentrum bzw. ein Rechenzentrumsanbieter verwendet wird. Eine SAP-Landschaft stellt spezifische Anforderungen an die Konnektivität zwischen Hosts in der Cloud IaaS und zu externen Systemen. IBM Cloud® for SAP bietet eine große Bandbreite an Funktionen zur Verbesserung Ihrer SAP-Landschaft, die über das reine Hosting von SAP-Systemen hinausgehen.

Im Folgenden finden Sie verschiedene Designhinweise zum IBM Cloud® for SAP-Portfolio in Bezug auf den Netzbetrieb, die in der Planungsphase Ihres Projekts hilfreich sind.

Vorbemerkungen - Maßeinheiten für Daten/Informationen

Häufig wird der Durchsatz von Netzspeicher in Mb/s oder Gb/s angezeigt.

Dabei ist zu beachten, dass Mb (Megabit) ein Dezimalpräfix darstellt, MiB (Mebibyte) dagegen ein Binärpräfix. Diese Einheiten sind somit in verschiedenen Größenordnungen angesiedelt. Noch verwirrender wird es angesichts der Tatsache, dass für MiB (Mebibyte) in Microsoft Windows allgemein die Langform Megabyte verwendet wurde.

Für nachfolgende Verweise werden in der gesamten Dokumentation zum Netzbetrieb die Einheiten Mb (Megabits) und MiB (Mebibyte) gemäß dem von der IEC definierten Einheitensystem (SI) verwendet, das von Organisationen wie IEEE, ISO und NIST übernommen wurde.

Beispiel:

  • 100 Mb/s (Megabit pro Sekunde) entsprechen 12 MiB/s (Mebibyte pro Sekunde)
  • 1000 Mb/s (Megabit pro Sekunde), auch als 1 Gb/s (Gigabit pro Sekunde) bezeichnet, entsprechen 120 MiB/s (Mebibyte pro Sekunde)
  • 10 Gb/s (Gigabit pro Sekunde) entsprechen 1200 MiB/s (Mebibyte pro Sekunde)

Hinweise zur Netzkonnektivität

Eine Übersicht über die verfügbaren Konnektivitätsoptionen finden Sie unter Zugang zur SAP-Systemlandschaft bestimmen.

Betriebsoperationen sind oft auf SAP-Systeme konzentriert, wobei eine Vielzahl integrierter Anwendungen (traditionelle Anwendungen eingeschlossen) eingebunden sind.

In den meisten Fällen erfordern SAP-Workloads eine Verbindung zum vorhandenen internen Netz. Es wird empfohlen, IBM Cloud® Direct Link 2.0 zu verwenden, um über eine sichere Verbindung mit niedriger Latenzzeit und hohem Durchsatz (bis zu 10 Gb/s) als Verbindung in OSI-Schicht 2/3 mit Routing zu verfügen.

Die folgenden Konnektivitätsoptionen richten sich nach den Geschäftsanforderungen, z. B. danach, ob ein Unternehmen die Cloud verwenden und außerdem das Sicherheitsrisiko durch eine Isolierung von Datenflüssen über die vorhandenen Netzstrukturen und Sicherheitseinrichtungen verringern möchte. Kunden wird bei diesen 'abgetrennten' oder 'rein privaten' Konnektivitätsdesigns geraten, zusätzliche Informationen bei IBM Cloud® einzuholen und die jeweiligen Anwendungsfälle zu erörtern.

Darüber hinaus wird von SAP ausdrücklich nicht empfohlen, das SAP-System-Tiering über einen oder mehrere lokale Standorte und Cloud-Standorte hinweg aufzuteilen, wobei das jeweilige Unternehmen für eine Bewertung dieser Empfehlung zuständig ist. SAP rät z. B. davon ab, SAP AnyDB, betrieben in der Infrastruktur eines lokalen Standorts, beizubehalten und Verbindungen zu SAP NetWeaver, betrieben in der Infrastruktur eines Cloud-Standorts, herzustellen. Bei IBM Power Virtual Server-Instanzen wird diese Aufteilung im Rahmen des SAP-System-Tierings nicht unterstützt.

Bring-Your-Own Network (Teilnetz-/CIDR-/IP-Adressbereich)

Unternehmen ziehen es oft vor, den vorhandenen Teilnetz-/CIDR-/IP-Adressbereich (BYOIP) in ihr IBM Cloud-Konto einzubringen. Dies ist je nach Infrastrukturentscheidung und Umgebung möglich.

VPC-Infrastruktur

Bei Verwendung von VPC-Infrastruktur können Sie ein eigenes Teilnetz definieren und verwenden. Weitere Informationen finden Sie im Abschnitt zum Thema VPC - Eigenes Teilnetz einbringen.

Dies ändert sich je nachdem, ob RFC 1918 IANA reservierte IPv4 private Netzwerkadressbereiche verwendet werden, da jede IP-Adresse innerhalb dieser Bereiche als nicht routingfähig gilt. Diese Adressen sind zwar im privaten Netz, jedoch nicht im Internet eindeutig, da sie von jedem privaten Netz ohne eine Koordination mit der IANA oder einer Internet-Registry genutzt werden können. Es handelt sich um folgende IPv4-Adressräume für private Netze:

  • Class A - 10.0.0.0/8
  • Class B - 172.16.0.0/12
  • Class C - 192.168.0.0/16

Wenn Sie einen Bring-Your-Own-Subnetzbereich verwenden , der unter RFC 1918 IANA-reservierten privaten IPv4 Netzwerkadressräumen definiert ist, ist bei Verwendung beliebiger VPC-Funktionen (z. B. Public Gateway oder Floating IPs) eine Verbindung zu einem vorhandenen internen Netzwerk möglich.

Die Verwendung eines eigenen Subnetzbereichs, der nicht unter RFC 1918 definiert ist, wird nicht unterstützt. IPv4 ist ein von der IANA reservierter privater Netzwerkadressraum, da dies bei Verwendung mit einem Public Gateway (PGW) und Floating IPs keine Verbindung zu einem bestehenden internen Netzwerk zulässt.

Classic Infrastructure mit VMware

Wenn ein Geschäft bereits SAP in VMware betreibt, kann IBM Cloud for VMware zusammen mit VMware HCX und IBM Cloud® Direct Link zum Erstellen eines bidirektionalen, als 'bridged' konfigurierten Netzes zwischen dem vorhandenem Rechenzentrum mit VMware und IBM Cloud for VMware verwendet werden. Dadurch wird das vorhandene VMware-Servicenetzrouting an VMware HCX und an über VMWare NSX erstellte Overlay-Netze (Overlay) in IBM Cloud for VMware verwendet, wodurch Folgendes erstellt wird:

  • Ein Migrationstunnel mit verschlüsselter Übertragung, bei dem HCX Cloud Gateway (CGW) und HCX WAN Optimizer (WAN-OPT) verwendet werden
  • Ein Anwendungstunnel mit verschlüsselter Übertragung, bei dem HCX High Throughput Layer 2 Concentrator (HT L2C) verwendet wird

Weitere Informationen finden Sie im Abschnitt mit der Übersicht zu IBM Cloud for VMware Solutions - VMware HCX.

Hinweise zur Netztopologie

Die Netztopologie variiert erheblich je nach Anzahl und Konfiguration der SAP-Systeme, die aus Sicherheits- oder Leistungsgründen mit der Anordnung der Netzflüsse zwischen diesen Systemen kombiniert werden. Das Design dieser Topologie spiegelt die Anforderungen der Firma in Bezug auf Sicherheit, Leistung, Kosten, Flexibilität und Konnektivität wider.

Bei Verwendung der SAP ERP-Geschäftsanwendung (ERP = Enterprise Resource Planning) gilt z. B. für ein als Host der Produktionsinstanz eingesetztes SAP-System, das dem SAP-System-Tiering-Konzept entspricht und die Hochverfügbarkeitskonfiguration für SAP NetWeaver und SAP HANA verwendet, Folgendes:

  • SAP NetWeaver - mit mindestens vier Hosts anstelle eines einzigen Hosts:

    • ASCS (Central Services)
    • PAS (primärer Anwendungsserver), auch als CI (Central Instance) bezeichnet
    • ERS-Instanz (Enqueue-Replikationsserverinstanz)
    • AAS (zusätzlicher Anwendungsserver)

  • SAP HANA - mit mindestens zwei Hosts (von 3 möglichen) anstelle eines einzigen Hosts:

    • SAP HANA-Primärknoten (mit SAP HANA System Replication)
    • Sekundärer SAP HANA-Failover-Knoten (mit SAP HANA System Replication)
    • SAP HANA Failover-Knoten für tertiäre Disaster-Recovery (mit SAP HANA System Replication)

  • Diese Beschreibung bezieht sich auf ein einzelnes SAP-System innerhalb der SAP-Landschaft. Eine SAP-Landschaft kann Folgendes beinhalten:

    • 1 Track, 5 SAP-Systeme (Sandbox > Entwicklung > Tests > Staging > Produktion)
    • 2 Tracks, 5 SAP-Systeme (Sandbox > Entwicklung neuer Features + Wartungsentwicklung > Testen neuer Features + Wartungstests > Staging > Produktion)

**Für eine SAP-Landschaft sind deshalb potenziell 30 bis 50 Instanzen von SAP erforderlich, die auf 10 bis 50 physische oder virtualisierte Host-Server verteilt sind. ** Dies ist die Ausgangslage, bevor weitere Geschäftsanwendungen für bestimmte Geschäftsoperationen oder branchen- bzw. standortbezogene Operationen hinzugefügt werden.

Die Größe der SAP-Landschaften wirkt sich unmittelbar auf die Netztopologie aus.

In der Regel sind die folgenden Netze erforderlich, um den Szenarios und den zugehörigen Leistungsanforderungen gerecht zu werden, die ein Unternehmen, in dem SAP-Geschäftsanwendungen eingesetzt werden, auszeichnen:

  • Internes Netz für die Kommunikation zwischen mehreren Instanzen in einer SAP-Landschaft mit unterschiedlichen SAP-System-Tiering-Konzepten
  • Netz für die Management- und Speichertransfers der Datenbanksysteme
  • In der Produktionsumgebung verwendetes Netz

Im einfachsten Szenario könnte es jedoch ein einziges privates Netz für alle Zwecke geben. Dies hängt von den Geschäftsanforderungen ab.

Zusätzliche Managementsysteme für den Betrieb der SAP-Systeme

Je nach Betriebssystem, SAP-Workload und Netzkonnektivität müssen Sie möglicherweise zusätzlich Zugriff auf zahlreiche weitere SAP-Systeme und Systeme anderer Anbieter konfigurieren. In der folgenden Liste sind verschiedene Managementsysteme aufgeführt, die möglicherweise für den Betrieb Ihrer SAP-Workloads benötigt werden:

  • Server für Betriebssystempaketaktualisierungen. Dazu gehören die verschiedenen als Subskription verfügbaren Kanäle für Betriebssystempakete für SAP HANA und SAP NetWeaver.
    • Für IBM Power Virtual Servers können Sie öffentlich verfügbare AIX-SUMA- oder SUSE-Update-Repositorys verwenden oder eigene AIX-NIM- oder SUSE-RMT-Server nutzen.
  • Download-Server für Software und Patches. Nachdem die Software auf den Server heruntergeladen wurde, können Sie die Dateien unter Verwendung verschiedener Datenübertragungsprotokolle wie SCP oder SFTP zur Installation auf den Zielserver übertragen.
  • NTP-Zeitserver (NTP = Network Time Protocol), wobei NTP im privaten IBM Cloud-Backbone, NTP im öffentlichen Internet oder ein privater NTP-Host verwendet wird.
  • Gateway (und Proxy) und Firewall-Hosts.
  • Bastion/Jump-Host. Ermöglicht einen sicheren Durchgriff auf Ihre Cloud-Ressourcen vom öffentlichen Internet aus oder über einen anderen Netzzugriff. Häufig wird dabei SSH an einem nicht standardmäßigen Port für einen hochgradig sicheren Netzbetrieb verwendet.
  • Jump-Host mit aktiviertem VNC oder RDP. Dies ermöglicht GUI-Zugriffe auf eine Zielmaschine (sofern die grafische Benutzerschnittstelle (GUI) oder VNC bzw. RDP auf dem Ziel installiert sind).
  • VPN-Hosts. Ermöglicht eine sichere Verbindung zu Ihrem vorhandenen internen Netz.
  • Hosts für Netzrouting über ein Telekommunikationsunternehmen oder einen Netzserviceanbieter. Ermöglicht eine sichere private Verbindung mit hohem Durchsatz zu Ihrem vorhandenen internen Netz.
  • Hosts mit Management-Service für Sicherungen.
  • Über NFS (z. B. NFSv3 oder NFSv4.1) verfügbarer Dateispeicher im Netz. Führt in TCP/IP-Pakete verpackte Dateisystembefehle aus.
  • Über das iSCSI-Protokoll verfügbarer Blockspeicher im Netz, der über MPIO (Multipfad-E/A) gesteuert wird. Führt in TCP/IP-Pakete verpackte SCSI-Befehle aus.
  • Blockspeicher in FC-Netz (FC = Fibre Channel). Führt in FC-Rahmen verpackte SCSI-Befehle aus.

Fibre Channel ist nur für IBM Power Virtual Servers erforderlich und wird bei der Einrichtung ohne Ihr Zutun entsprechend berücksichtigt.

Hybrid Cloud-Setup für SAP

Die folgenden Konfigurationselemente können hilfreich sein, wenn Sie Ihre SAP-Landschaft unter Verwendung der vorhandenen lokalen SAP-Supportsysteme in Kombination mit dem IBM Cloud® for SAP-Portfolio für das Erstellen einer Hybrid Cloud-Konfiguration planen:

  • SAP Transport Management System (STMS, auch bekannt als. TMS) . Konfigurieren Sie STMS basierend auf Transportgruppen, um die Dateifreigabe über Rechenzentren hinweg zu verhindern.
  • SAProuter. Das Programm bietet Zugriff auf das SAP Online Service System (OSS). Verwenden Sie die lokale SAProuter-Instanz für den Zugriff auf das OSS. SAProuter kann über weitere SAProuter-Hops verwendet werden, falls IP-basiertes Routing zwischen den IBM Cloud-basierten Systemen und der lokalen SAProuter-Instanz nicht zulässig ist. Sie können stattdessen auch das Einrichten einer weiteren SAProuter-Instanz in Betracht ziehen, die auf einem einzigen IBM Cloud-basierten Server mit einer öffentlichen IP basiert, und diese Instanz über das Internet mit dem OSS-System von SAP verbinden.
  • SAP Solution Manager. Für den Zugriff auf den SAP Solution Manager gelten unterschiedliche Anforderungen an Verbindungen zwischen einem SAP Solution Manager und den zugehörigen verwalteten Systemen. Diese Unterschiede ergeben sich durch das jeweilige Nutzungsszenario. Bei diesen Szenarios wird vorausgesetzt, dass Sie mit den Anforderungen in Bezug auf die erforderliche Netzkonnektivität vertraut sind.
  • Wenn Sie öffentliche Gateways oder variable IP-Adressen bereitstellen, müssen Sie sich näher mit den NAT-Details (NAT = Network Address Translation, Netzadressumsetzung) und dem Verhalten von SAP-Anwendungen befassen. Beziehen Sie sich auf das Dokument SAP zu NAT, um potenzielle Probleme auf der Anwendungsschicht zu berücksichtigen, insbesondere in den SAP Remote Function Calls (RFCs).

Hinweise zur Netzauslastung

Die Netzkommunikation für konventionelle SAP-Workload ist mit einem Netzverkehr unter 100 MiB pro Tag relativ gering. Dazu einige Beispiele:

  • Benutzertransaktionen über SAP GUI, für Windows, für Java (verwendet mit macOS oder Linux)
  • Benutzertransaktionen über SAP WebGUI
  • Benutzertransaktionen mit SAP-Apps mit Web Dynpro über SAP NetWeaver Business Client (NWBC)
  • SAP-RFC (Remote Function Call) zwischen SAP-Systemen und Systemen anderer Anbieter
  • Eingehende und ausgehende SAP-iDocs beim Datenverkehr zwischen SAP-Systemen und Systemen anderer Anbieter, z. B. beim Datenaustausch mit Fremdfirmen wie Lieferanten oder Banken

Es gibt darüber hinaus jedoch eine deutlich umfangreichere Netzkommunikation für SAP-Workloads, die zu wesentlich mehr Netzverkehr beiträgt. Dazu einige Beispiele:

  • Vorinstallierte SAPUI5-Bibliotheken und -Themen für SAP Fiori Launchpad und Apps
    • 10 MiB - 25 MiB (Schätzung) pro neuer Sitzung, die aus SAP Web Assistant geladen wird (auch bekannt als. XRay), diese Vorinstallationsbibliotheken werden dann vom Browser zwischengespeichert. Einmal zwischengespeichert sind die Bibliotheken für die Verwendung in einer neuen Browserregisterkarte verfügbar, auch nach einem Neustart des Browsers oder einer SAP Fiori-Abmeldung; bis der Browser-Cache gelöscht ist
    • Geschätzte 20 - 500 KiB für jede neue Fiori-App, die innerhalb der Session geladen wird
  • SAP HANA System Replication (HSR), synchron oder asynchron, mit einem Datenstreaming vom primären Knoten zum sekundären (oder tertiären) Knoten im Umfang von mehreren Gigabyte pro Monat

Mit dem erhöhten Datenverkehr bei der SAP-Software mit neuem Design wird der Umfang an Netzverkehr, der bei der SAP-Nutzung bisher üblich war, möglicherweise erheblich überschritten.

Beim Entwurf Ihrer SAP-Anwendungen ist darauf zu achten, dass das private IBM Cloud-Backbone für diese Datenübertragungen verwendet wird, da keine Gebühren für eingehenden und abgehenden Datenverkehr anfallen, während beim Datenverkehr über das öffentliche Internet Kosten für abgehenden Datenverkehr entstehen.

Es empfiehlt sich, den Umfang der übertragenen Daten zu schätzen. In den ersten Stadien der Projektimplementierung kann dies schwierig sein. Es sollte jedoch zumindest eine grobe Schätzung vorgenommen werden.

Hinweise zur Leistung in Bezug auf Netzdurchsatz

SAP empfiehlt im Allgemeinen einen Netzdurchsatz von 10 Gb/s für den Datenverkehr zwischen den SAP-Anwendungsservern und SAP HANA-Datenbanken sowie für andere SAP HANA-Clients, z. B. SAP Business Intelligence.

Für SAP NetWeaver-Bereitstellungen mit SAP AnyDB und lokalem Speicher, sogar für dreischichtige Konfigurationen, sind in der Regel Netze mit 1 Gb/s ausreichend.

Hinweise zur Leistung in Bezug auf Netzlatenz

Bei Ihren Geschäftsoperationen und abhängigen Systemen anderer Anbieter müssen Sie möglicherweise sicherstellen, dass bestimmte Leistungsindikatoren für die Latenzzeit (Key Performance Indicators, KPIs) erfüllt werden. Dabei sollte der Standort Ihrer Hosts berücksichtigt und das Einsetzen von Latenztests unter Verwendung des privaten IBM Cloud-Backbonenetzes erwogen werden.

Latenztests mit der RTT-Metrik (RTT = Round Trip Time, Umlaufzeit) sind erforderlich, wenn SAP HANA für Hochverfügbarkeit (High Availability, HA) und Disaster-Recovery (DR) konzipiert wird.

Wenn das Design ein HA-Failover innerhalb eines einzigen Standorts vorsieht, ist dies in fast allen Fällen mit den SAP HANA System Replication-Anforderungen vereinbar.

Wenn jedoch Hochverfügbarkeit über mehrere Standorte einer Region hinweg für SAP HANA vorgesehen wird oder das Design Disaster-Recovery über mehrere Regionen hinweg beinhaltet, muss die Latenzzeit sorgfältig mithilfe der RTT-Metrik getestet und beim Design entsprechend berücksichtigt werden.

Dies ist dadurch bedingt, dass IBM Cloud bestrebt ist, eine hohe Verfügbarkeit der Plattform sicherzustellen, indem geografisch verteilte Standorte mit Fehlertoleranz (z. B. unterschiedliche Risikobewertungen) verwendet werden. Weitere Informationen dazu, wie IBM Cloud eine hohe Verfügbarkeit und Redundanz gewährleistet.

Insbesondere bei VPC-Infrastruktur stellen die Verfügbarkeitszonen innerhalb der Region verteilte Standorte dar. Für die meisten Workloads bietet dieses Design eine größere Redundanz in der gesamten Region. SAP HANA System Replication erfordert jedoch eine geringe Netzlatenz, die aufgrund der derzeitigen rein physikalisch vorliegenden technischen Einschränkungen bei der physischen Datenübertragung über Kabel (Lichtgeschwindigkeit bei Glasfaserkabeln) möglicherweise schwer zu erreichen ist.

Hinweise zur Sicherheit von Netzports

Die folgenden Informationen sind eine kurze Zusammenfassung des SAP-Hilfeportals – TCP/IP-Ports aller SAP-Produkte, das ein Beispiel für die Überlegungen bietet, die für die Sicherheit Ihrer SAP-Systeme und der gesamten IT-Infrastrukturlandschaft auf IBM Cloud erforderlich sind.

Abhängig von den verwendeten SAP-IT-Anwendungen und den jeweiligen Geschäftsszenarios müssen für verschiedene Hosts Ports geöffnet sein. Normalerweise werden zu diesem Zweck Firewall-Portgruppen mit Firewallregeln kombiniert. Es ist auch möglich, individuelle Firewallregeln für jeden Host zu verwenden, dies bedeutet jedoch häufig einen kaum zu bewältigenden Aufwand.

Die folgende Tabelle enthält einige der wichtigsten Ports für SAP-Systeme mit SAP NetWeaver und SAP HANA. Die Ports variieren je nach der Instanznummer der SAP Technical Appliance. Die Instanznummern 00, 01, 02 stellen die Standardwerte für die verschiedenen SAP-IT-Anwendungen dar und entsprechen unterschiedlichen Mustern (diese Muster werden im Folgenden mit der für code blocks vorgesehenen Hervorhebung angezeigt):

Häufig verwendete Ports für technische Anwendungen von SAP
SAP-IT-Anwendung Komponente Port
SAP-Router
SAP-Router 3200
SAP-Router 3299
SAP NetWeaver
SAP NetWeaver AS Primary App Server-Instanz (PAS-Dialog-Instanz) 01 3201
SAP NetWeaver AS PAS Gateway-Instanz 01 3301
SAP NetWeaver AS Central Services Messenger Server-Instanz (ASCS-MS-Instanz) 01 3602
SAP NetWeaver AS PAS Gateway-Instanz (mit aktivierter SNC) 01 4801
SAP NetWeaver AS ICM HTTP (Portpräfix 80) 8001
SAP NetWeaver AS ICM HTTPS (Sichere Übertragung, Portpräfix 443) 44301
SAP NetWeaver sapctrl HTTP (Installation mit zwei Hosts) 50113
SAP NetWeaver sapctrl HTTPS (Installation mit zwei Hosts) 50114
SAP HANA
SAP HANA sapctrl HTTP (Installation mit einem Host) 50013
SAP HANA sapctrl HTTPS (Installation mit einem Host) 50014
SAP HANA Internal Web Dispatcher 30006
SAP HANA MDC System Tenant SYSDB Index Server 30013
SAP HANA MDC Tenant 1 Index Server 30015
SAP HANA ICM HTTP Internal Web Dispatcher 8000
SAP HANA ICM HTTPS (Sichere Übertragung) Internal Web Dispatcher 4300
SAP-Web-Dispatcher
SAP Web Dispatcher ICM HTTP-Instanznummer (Portpräfix 80) 90 8090
SAP Web Dispatcher ICM HTTPS-Instanznummer (Sichere Übertragung, Portpräfix 443) 90 44390
SAP HANA XSA
SAP HANA XSA-Instanz 00 Client HTTPS für die Verbindung zum Web-Dispatcher mit xscontroller-Verwaltung (Plattformrouter) zur Benutzerauthentifizierung. 30032
SAP HANA XSA-Instanz 00 Internal HTTPS für die Verbindung vom Web-Dispatcher mit xscontroller-Verwaltung (Plattformrouter) zu xsuaaserver zur Benutzerauthentifizierung. 30031
SAP HANA XSA-Instanz 00 Client HTTPS für die Verbindung zum Web-Dispatcher mit xscontroller-Verwaltung für den Datenzugriff. 30030
SAP HANA XSA-Instanz 00 Dynamic Range Internal HTTPS für die Verbindung vom Client zum Web-Dispatcher mit xscontroller-Verwaltung (Plattformrouter) für den Zugriff auf die Anwendunsinstanz. 51000-51500
SAP HANA XSA-Instanz 00 Internal HTTPS xsexecagent zu xscontroller 30029
SAP HANA XSA-Instanz 00 Web-Dispatcher-HTTP(S)-Routing 30033
SAP NetWeaver Java
SAP NetWeaver AS JAVA P4 Port 50304
SAP NetWeaver AS JAVA P4 Port 50404

Sicherheitsaspekte bei der Trennung des Netzdatenverkehrs

Sie können verschiedene Netzverkehrstypen in Ihrer Umgebung voneinander trennen, wenn dies aufgrund von Sicherheitsbeschränkungen oder für den Netzdurchsatz erforderlich bzw. sinnvoll ist.

Das Trennen von Netzen ist bei den folgenden Anwendungsfällen für SAP-Workloads hilfreich:

  • Mehrere Server, die Daten austauschen
    • SAP-Systeme in einer dreischichtigen logischen Architektur, in der sich die SAP-Datenbank und die SAP-Anwendungsinstanzen auf verschiedenen Hosts befinden.
  • Mehrere SAP-Systeme, die große Datenvolumen austauschen
    • Datenbankserver, die eine geringe Netzlatenz und einen hohen Netzdurchsatz für den Blockspeicher bzw. Dateispeicher im Netz benötigen und bei denen Firewalls deshalb vermieden werden müssen. Die Datenbank benötigt jedoch weiterhin Schutz gegenüber anderen Systemen und Netzwerken.

Um einen echten Nutzen aus der Netztrennung ziehen zu können, muss unter bestimmten Umständen eine Vernetzung zugelassen werden.

Trennung von Teilnetzen in VPC-Infrastruktur

Trennen Sie den Datenverkehr mithilfe mehrerer Teilnetze.

Jede VPC für eine Region kann mehrere Teilnetze enthalten. Die Kommunikation zwischen diesen Teilnetzen innerhalb der VPC ist möglich, sofern sie nicht durch eine Netz-ACL (Access Control List) oder eine Sicherheitsgruppe blockiert wird. Zwei virtuelle Server in VPC-Infrastruktur können daher über eine vNIC (Virtual Network Interface Card) in jeweils unterschiedlichen Teilnetzen verfügen.

Die Netz-ACL oder die Sicherheitsgruppe würde in diesem Fall bestimmte Datenflüsse für den Datenaustausch im Netz über diese separaten Teilnetze hinweg zulassen.

Ein virtueller Server in VPC-Infrastruktur kann jedoch nicht über mehrere virtuelle Netzschnittstellen (vNICs) verfügen, die mehreren Teilnetzen zugeordnet sind.

Trennung von Teilnetzen in Classic Infrastructure

Trennen Sie den Datenverkehr mithilfe mehrerer VLANs und mehrerer VLAN-Teilnetze.

Jedes VLAN ist entweder öffentlich oder privat und gehört zu einem bestimmten Rechenzentrum und Rechenzentrums-Pod. Das VLAN kann mehrere Teilnetze enthalten. Die Kommunikation zwischen den Teilnetzen in dem VLAN ist möglich, sofern sie nicht durch eine Gateway-Appliance blockiert wird.

Zwei Bare-Metal-Hosts in Classic Infrastructure könnten in diesem Fall über physische Netzschnittstellenkarten verfügen, die zu jeweils unterschiedlichen VLANs und Teilnetzen zugeordnet sind.

Die Gateway-Appliance würde eine bestimmte Vernetzung über diese separaten Teilnetze hinweg ermöglichen.

Ein Bare-Metal-Server verfügt standardmäßig (Änderungen je nach Hardwarespezifikationen vorbehalten) über physische Netzschnittstellenkarten (NICs) und verwendet vier Ethernet-Ports:

  • eth0 NIC / eth2 redundante NIC
    • Öffentliches VLAN, als DMZ per Trunking mit Gateway Appliance verbunden
      • Öffentliches primäres Teilnetz
        • Öffentliche IP hinter DMZ
  • eth1 NIC / eth3 redundante NIC
    • Privates VLAN, als DMZ per Trunking mit Gateway Appliance verbunden
      • Primäres privates Teilnetz
        • Private IP hinter DMZ
  • mgmt0 --- IPMI (Verwaltungsnetzzone)

Bare-Metal-Server können abweichend von der Standardspezifikation mit mehreren Teilnetzen konfiguriert werden, sofern die Hardwarespezifikation es zulässt. Dies ermöglicht eine maximale Datenverkehrstrennung und kann sich positiv auf die Leistung auswirken, indem durch eine Verwendung unterschiedlicher Netzschnittstellenkarten (NICs) mehr Netzdurchsatz parallel abgewickelt werden kann. Nachfolgend ein Beispiel für diese Rekonfiguration:

  • eth0 NIC / eth2 redundante NIC
    • Öffentliches VLAN, als DMZ per Trunking mit Gateway Appliance verbunden
      • Öffentliches primäres Teilnetz
        • Öffentliche IP hinter DMZ
  • eth1 NIC / altered to eth4 redundante NIC
    • Privates VLAN, als DMZ per Trunking mit Gateway Appliance verbunden
      • Primäres privates Teilnetz
        • Private IP hinter DMZ
  • eth3 zusätzliche NIC / eth5 zusätzliche redundante NIC
    • Privates VLAN
      • Sekundäres portierbares privates Teilnetz A
        • Private IP hinter DMZ
      • Sekundäres portierbares privates Teilnetz B
        • Private IP hinter DMZ
  • mgmt0 --- IPMI (Verwaltungsnetzzone)

Eine Rekonfiguration wie in diesem Beispiel ist nicht in allen Szenarios verfügbar.

Im Hinblick auf SAP HANA und die hohen Anforderungen an Netzleistung und -sicherheit können zusätzliche VLANs hilfreich sein. Lesen Sie die Empfehlungen von SAP für lokale Umgebungen unter SAP HANA Network Requirements und ermitteln Sie die geeignete Netzwerkkonfiguration für Ihre geschäftlichen Anforderungen.

Trennung von Teilnetzen bei VMware in Classic Infrastructure

Sie können den Datenverkehr mit IBM Cloud for VMware Solutions Dedicated aufteilen, indem Sie mehrere Teilnetze innerhalb des VMware Overlay-VXLAN (unterstützt durch VMware NSX) verwenden.

In IBM Cloud for VMware Solutions Dedicated wird das VMware Overlay-VXLAN (unterstützt durch VMware NSX) als Underlay-Netz wieder mit öffentlichem VLAN und privatem VLAN im Classic Infrastructure-Netz verbunden. Von der VMware NSX-Verwaltung werden die sekundären portierbaren privaten Teilnetze zur Einrichtung des VXLAN genutzt. Dies ermöglicht bei einem Betrieb unter VMware eine umfassende Steuerung des Netzdesigns und gestattet die Zuordnung einer IP aus einem beliebigen definierten IP-Bereich zu VMware-VMs.

Bei einer manuellen VMware-Bereitstellung auf einem Bare-Metal-Server würde der VMware-vSwitch das sekundäre portierbare Teilnetz des privaten VLAN direkt verwenden, um VMware-VMs eine IP-Adresse aus dem Classic Infrastructure-Netz zuzuordnen.

Eine Aufteilung des Datenverkehrs innerhalb von VMware-Bereitstellungen muss sorgfältig durchdacht werden, da aufwändige VMware-basierte Bereitstellungen mit verschiedenen Typen von Netzverkehr möglicherweise eine striktere Trennung erfordern.