Considérations relatives à la conception des réseaux
Les systèmes SAP en paysage ont des exigences spécifiques pour les serveurs, les systèmes d'exploitation, la configuration réseau et le stockage pris en charge.
A certains égards, les charges de travail SAP qui utilisent un fournisseur de services Cloud (par exemple, IBM Cloud® for SAP) au modèle Infrastructure-as-a-Service sont similaires aux pratiques existantes (sur de nombreuses décennies) pour l'exécution de charges de travail SAP utilisant un centre de données externe ou un fournisseur de centre de données. Dans la mesure où un environnement SAP a des exigences spécifiques de connectivité, entre les hôtes de Cloud IaaS et les systèmes externes, IBM Cloud® for SAP fournit un ensemble riche de fonctions au-delà de l'hébergement de systèmes SAP pour améliorer votre paysage SAP.
Pour vous aider dans la phase de planification de votre projet, les sections ci-dessous présentent les considérations de conception du portefeuille IBM Cloud® for SAP pour la mise en réseau.
Préface : unités de mesure des données/informations
Souvent, le débit du réseau de stockage est indiqué en Mbit/s ou Gbit/s.
Il est important de noter que Mb (mégabits) est un préfixe décimal et Mio (mébioctet) est un préfixe binaire, ils sont donc à des échelles différentes. La confusion est d'autant plus grande que Mio (mébioctet) était communément appelé Megabyte
dans Microsoft Windows.
Pour toute référence future dans la documentation sur la mise en réseau, Mb (mégabits) et Mio (mébioctet) sont utilisés en fonction du système d'unités (SI) défini par la CEI et adopté par l'IEEE, l'ISO et le NIST.
Par exemple :
- 100 Mbit/s (mégabits par seconde), soit 12 Mio/s (mébioctet par seconde)
- 1000 Mbit/s (mégabits par seconde), soit 1 Gbit/s (gigabit par seconde), soit 120 Mio/s (mébioctet par seconde)
- 10 Gbit/s (gigabits par seconde), soit 1200 Mio/s (mébioctet par seconde)
Considérations relatives à la connectivité des réseaux
Pour une présentation des options de connectivité disponibles, voir Détermination de l'accès à votre environnement système SAP.
Les systèmes SAP sont souvent le point central des opérations métier, avec un grand nombre d'applications intégrées (y compris les applications existantes).
Dans la plupart des cas pour les charges de travail SAP, une connexion au réseau interne existant est requise, et il est recommandé d'utiliser IBM Cloud® Direct Link 2.0 pour utiliser la connexion sécurisée, à faible temps d'attente et à haut débit (disponible jusqu'à 10 Gbit/s) sous la forme d'une connexion OSI Layer-2/3 Routed.
Ces options de connectivité dépendent des exigences métier, par exemple, si l'entreprise souhaite utiliser le cloud et diminue également le risque de sécurité en isolant les flux de réseau via leur structure de réseau et leur sécurité existantes. Dans ces conceptions de connectivité "déconnectée" ou "privée uniquement", il est préférable de consulter IBM Cloud® pour obtenir des informations supplémentaires et de discuter de vos cas d'utilisation.
En outre, il n'est pas recommandé par SAP de répartir la hiérarchisation du système SAP entre les sites locaux et les sites dans le cloud, et il appartient à l'entreprise de l'évaluer ; par exemple, il n'est pas recommandé par SAP de conserver SAP AnyDB exécuté à partir de l'infrastructure d'un site local et de se connecter à SAP NetWeaver exécuté à partir de l'infrastructure d'un site dans le cloud. Pour IBM Power Virtual Servers, cette répartition de la hiérarchisation du système SAP n'est pas prise en charge.
Réseau de type "bring-your-own network" (plage de sous-réseaux/CIDR/d'adresses IP)
Il est souvent préférable pour les entreprises d'utiliser un réseau de type "bring-your-own network" (plage de sous-réseaux/CIDR/d'adresses IP) (BYOIP) pour leur compte IBM Cloud. Cette possibilité dépend de la sélection de l'infrastructure et de l'environnement.
Infrastructure de cloud privé virtuel
Lors de l'utilisation de l'infrastructure VPC, il est possible de définir et d'utiliser votre propre sous-réseau. Voir VPC - Apportez votre propre sous-réseau.
Cela change selon que les espaces d'adresses de réseau privé réservés par l'IANA ( IPv4 ) RFC 1918 sont utilisés ou non, car toute adresse IP comprise dans ces plages est considérée comme non routable. Ces adresses ne sont pas uniques sur Internet, car elles pourraient être utilisées par n'importe quel réseau privé sans aucune coordination avec l'IANA ou un registre Internet, de sorte que ces adresses ne sont uniques que dans un réseau privé. Ces espaces d'adresse réseau privés IPv4 sont les suivants :
- Classe A - 10.0.0.0/8
- Classe B - 172.16.0.0/12
- Classe C - 192.168.0.0/16
Si vous utilisez une plage de sous-réseaux « bring-your-own » définie dans les espaces d'adresses de réseau privé réservés à l'IANA ( IPv4 ) RFC 1918, la connectivité à un réseau interne existant est possible lorsque vous utilisez des fonctions VPC (par exemple, Public Gateway ou Floating IPs).
Il n'est pas recommandé d'utiliser une plage de sous-réseaux « apportez votre propre sous-réseau » non définie dans les espaces d'adresses de réseau privé réservés à l'IANA ( IPv4 ) RFC 1918, car cela ne permettrait pas la connectivité à un réseau interne existant lorsqu'il est utilisé avec un routeur de passerelle de périphérie ( Public Gateway, PGW) et des adresses IP flottantes.
Classic Infrastructure avec VMware
Si l'entreprise existante exploite SAP sur VMware, il est possible d'utiliser IBM Cloud for VMware avec VMware HCX et IBM Cloud® Direct Link pour créer un réseau bidirectionnel ponté entre le centre de données existant avec VMware et IBM Cloud for VMware. Ce processus utilise le routage maillé des services VMware existants dans VMware HCX et en superposition de VMWare NSX sur IBM Cloud for VMware, qui crée :
- Un tunnel de migration chiffré qui utilise HCX Cloud Gateway (CGW) + HCX WAN Optimizer (WAN-OPT)
- Un tunnel d'application chiffré qui utilise le concentrateur HCX High Throughput Layer 2 Concentrator (HT L2C)
Pour plus d'informations, voir IBM Cloud for VMware Solutions - Présentation de VMware HCX.
Considérations relatives à la topologie du réseau
En fonction du nombre et de la configuration des systèmes SAP combinés à l'agencement des flux réseau entre ces systèmes pour des raisons de sécurité ou de performance, la topologie du réseau sera sensiblement différente. La conception de cette topologie reflète les exigences de l'entreprise pour la sécurité, les performances, le coût, la flexibilité et la connectivité.
A l'aide de l'application métier ERP (Enterprise Resource Planning), par exemple, un système SAP hébergeant l'instance de production qui utilise l'approche SAP System Tiering à l'aide de la haute disponibilité de SAP NetWeaver et SAP HANA :
-
SAP NetWeaver, il y a au moins quatre hôtes au lieu d'un :
- Services centraux (ASCS)
- Serveur d'applications principal (PAS), également appelé Instance centrale (CI)
- Instance de serveur de réplication de mise en file d'attente (ERS)
- Serveur d'applications supplémentaire (SAA)
-
SAP HANA, il y a au moins 2 hôtes (peut-être 3) au lieu d'un :
- Nœud principal SAP HANA (à l'aide de la réplication du système SAP HANA)
- SAP Nœud de reprise secondaire HANA (à l'aide de la réplication du système SAP HANA)
- Nœud de reprise en ligne de reprise après incident SAP HANA (à l'aide de la réplication du système SAP HANA)
-
Voici un système SAP dans le paysage SAP. Un paysage SAP peut utiliser :
- Une piste, 5 systèmes SAP (Sandbox > Development > Testing > Staging > Production)
- Deux pistes, 5 systèmes SAP (Sandbox > New Feature Development + Maintenance Development > New feature testing + Maintenance testing > Staging > Production)
Par conséquent, pour un paysage SAP, 30 à 50 instances de SAP, réparties sur 10 à 50 serveurs hôtes (physiques ou virtualisés) peuvent être nécessaires. Cela était le cas avant que d'autres applications métier ne soient ajoutées pour des opérations métier, des secteurs d'activité ou des fonctions géographiques spécifiques.
La taille des paysages SAP a un impact direct sur la topologie du réseau.
Généralement, bien que cela varie d'un cas à l'autre, les réseaux suivants sont requis pour répondre aux scénarios et aux performances requis par l'entreprise qui utilise les applications métier SAP :
- Réseau interne pour la communication entre plusieurs instances dans un paysage SAP avec différentes approches de hiérarchisation du système SAP
- Réseau pour les transferts de gestion et de stockage des systèmes de base de données
- Réseau utilisé en production
Toutefois, dans le scénario le plus simple, un seul réseau privé peut répondre à tous les objectifs. Cela dépend des besoins de l'entreprise.
Systèmes de gestion supplémentaires permettant d'activer les systèmes SAP
En fonction de votre système d'exploitation, de la charge de travail SAP et de la connectivité réseau, vous devrez peut-être configurer l'accès à de nombreux autres systèmes SAP et non SAP. Voici une liste des différents systèmes de gestion qui peuvent s'avérer nécessaires pour permettre l'exploitation de vos charges de travail SAP :
- Serveur de mises à jour des modules de système d'exploitation, avec les différents canaux d'abonnement des modules de système d'exploitation pour SAP HANA et SAP NetWeaver.
- Pour IBM Power Virtual Servers, vous pouvez utiliser les référentiels de mises à jour AIX SUMA ou SUSE publics, ou utiliser vos propres serveurs AIX NIM ou SUSE RMT.
- Serveur de téléchargement de logiciels et de correctifs. Lorsque le logiciel est téléchargé sur le serveur, vous pouvez utiliser différents protocoles pour transférer les fichiers tels que SCP ou SFTP pour transférer le logiciel vers le serveur cible pour l'installation.
- Serveur d'horloge (NTP), à l'aide de NTP sur le réseau central privé IBM Cloud, le réseau public NTP ou l'hôte privé NTP.
- Hôtes de passerelle (et proxy) et de pare-feu
- Hôte Bastion/Saut. Active la transmission sécurisée vers vos ressources Cloud à partir d'Internet public ou d'un autre accès au réseau ; souvent, il utilise une connexion SSH étroitement sécurisée sur un port autre que celui par défaut.
- Hôte de saut activé avec VNC ou RDP. Active l'accès à l'interface graphique sur une machine cible (si l'interface graphique et le VNC ou RDP est installé sur la cible).
- Hôtes VPN. Active la connexion sécurisée à votre réseau interne existant.
- Hôtes de routage réseau via TelCo ou fournisseur de services réseau. Active la connexion sécurisée privée à haut débit à votre réseau interne existant.
- Hôtes du service de gestion des sauvegardes
- Stockage de fichiers réseau via le système de fichiers réseau (par exemple NFSv3 ou NFSv4.1). Exécute les commandes du système de fichiers encapsulées par les paquets TCP/IP.
- Stockage par blocs en réseau, à l'aide du protocole iSCSI contrôlé par MPIO. Exécute les commandes SCSI encapsulées par les paquets TCP/IP.
- Stockage par blocs en réseau, à l'aide du protocole Fibre Channel (FC). Exécute les commandes SCSI encapsulées par les cadres FC.
Fibre Channel est uniquement requis pour IBM Power Virtual Server et est géré lors de la mise à disposition.
Configuration du cloud hybride pour SAP
Les éléments suivants sont des éléments de configuration spécifiques à prendre en compte lors de la planification de votre environnement SAP, en utilisant vos systèmes de support SAP locaux existants en combinaison avec le portefeuille IBM Cloud® for SAP pour créer une configuration de cloud hybride :
- Système de gestion des transports SAP (STMS également connu sous le nom. TMS) . Configurez le système STMS en fonction des groupes de transport pour empêcher le partage de fichiers entre les centres de données.
- SAProuter. Permet d'accéder au système SAP Online Service System (OSS). Utilisez votre application SAProuter sur site pour accéder à l'OSS. Cette application SAProuter peut être utilisée via d'autres tronçons SAProuter si le routage basé sur IP n'est pas autorisé entre vos systèmes IBM Cloud et votre application SAProuter sur site. Vous pouvez également envisager de configurer une autre application SAProuter basée sur un serveur IBM Cloud avec une adresse IP publique et la connecter au système SAP OSS via une connexion Internet.
- SAP Solution Manager. L'accès à SAP Solution Manager est soumis à diverses exigences de connectivité entre un gestionnaire SAP Solution Manager et ses systèmes gérés. Les différences dépendent de votre scénario d'utilisation. Ces scénarios requièrent une bonne compréhension de la connectivité réseau requise.
- Si vous déployez des passerelles publiques ou des adresses IP flottantes, vous devez examiner les détails de la conversion d'adresses réseau (NAT) et le comportement des applications SAP. Se référer au document de l' SAP, sur NAT, pour envisager les problèmes potentiels au niveau de la couche application, en particulier dans les appels de fonction distants ( SAP, RFC).
Considérations relatives à la consommation des réseaux
La communication traditionnelle en réseau des charges de travail de SAP est relativement faible, avec un trafic réseau de moins de 100 Mio par jour possible, comme par exemple :
- Transactions utilisateur de SAPGUI ; pour Windows, pour Java (utilisé avec macOS ou Linux)
- Transactions utilisateur à partir de SAP WebGUI
- Transactions utilisateur avec applications SAP Web Dynpro à partir de SAP NetWeaver Business Client (NWBC)
- Appel de fonction distante SAP (RFC SAP) entre SAP et les systèmes non SAP
- SAP iDOC entrant/sortant entre les systèmes SAP et non SAP avec des tiers (par exemple, banques, fournisseurs)
Cependant, les communications réseau de la charge de travail SAP sont beaucoup plus importantes et consomment beaucoup plus de trafic réseau, notamment :
- Bibliothèques et thèmes de préinstallation SAPUI5 pour SAP Fiori Launchpad et Apps
- 10 Mio - 25 Mio (estimation) par nouvelle session qui est chargée à partir de SAP Web Assistant (également connu sous le nom XRay), ces bibliothèques de préinstallation sont alors mises en cache par le navigateur. Une fois mises en cache, les bibliothèques peuvent être utilisées dans n'importe quel nouvel onglet du navigateur, même après le redémarrage du navigateur ou la déconnexion de SAP Fiori ; jusqu'à ce que le cache du navigateur soit effacé
- 20 Kio - 500 Kio (estimation) pour chaque nouvelle application Fiori qui est chargée dans la session
- SAP HANA System Replication (HSR) Sync ou Async, diffusion en streaming de gigaoctets de données par mois du nœud primaire au nœud secondaire (ou tertiaire)
Avec l'augmentation du trafic des logiciels SAP de nouvelle conception, il est possible de dépasser largement le volume de trafic réseau observé lors de l'utilisation antérieure du SAP.
Il est important de concevoir vos applications SAP de manière à utiliser le backbone privé IBM Cloud pour ces transferts de données, car il n'y a pas de frais d'entrée/sortie, alors que l'utilisation sur le réseau Internet public entraîne des frais de sortie.
Vous devez estimer la quantité de données transférées. Au cours des premières étapes de la mise en œuvre du projet, cela peut s'avérer difficile. Toutefois, au moins une estimation de l'ordre de grandeur devrait être effectuée.
Considérations relatives aux performances du débit des réseaux
SAP recommande généralement un débit réseau de 10 Gbit/s (redondant) pour le trafic entre ses serveurs d'applications et les bases de données SAP HANA, ainsi que pour les autres clients SAP HANA, tels que SAP Business Intelligence.
Pour les déploiements de SAP NetWeaver utilisant SAP AnyDB avec stockage local, même pour les configurations à trois niveaux, les réseaux de 1 Gbit/s sont généralement suffisants.
Considérations relatives aux performances de temps d'attente des réseaux
Pour vos opérations métier et les systèmes ne dépendant pas de SAP, vous pouvez exiger que certains indicateurs clés de performance (KPI) de temps d'attente soient respectés. Ces indicateurs doivent tenir compte de l'emplacement de vos hôtes et du test de temps d'attente en utilisant le réseau backbone privé IBM Cloud.
Le test de temps d'attente à l'aide de la mesure RTT (Round Trip Time) est nécessaire lors de la conception de la haute disponibilité (HA) et de la reprise après incident (DR) pour SAP HANA.
Si une reprise en ligne à haute disponibilité (HA) est conçue dans un emplacement à site unique, dans presque tous les cas, il sera possible de répondre aux exigences de réplication du système SAP HANA.
Cependant, si vous concevez une haute disponibilité pour SAP HANA sur plusieurs sites dans une région, ou si vous concevez une reprise après incident sur plusieurs régions, le temps d'attente qui utilise la mesure RTT (Round Trip Time) doit être soigneusement testé et pris en compte.
En effet, IBM Cloud cherche à assurer une haute disponibilité de la plateforme, en utilisant des sites géographiquement dispersés avec une tolérance aux pannes (par exemple, différentes évaluations des risques). Plus d'informations disponibles sur Comment l' IBM Cloud garantit une haute disponibilité et une redondance.
En particulier, pour VPC Infrastructure, les zones de disponibilité sont géographiquement dispersées dans la région. Pour la plupart des charges de travail, cette conception offre plus de redondance dans la région. Toutefois, la réplication du système SAP HANA nécessite un temps d'attente réseau faible. Il peut donc être difficile de respecter la mesure nécessaire du RTT (Round Trip Time) en raison des limites physiques actuelles du transfert de données du câblage du point de vue de la physique (à savoir, la vitesse de la lumière sur un câble à fibre optique).
Considérations relatives à la sécurité des ports des réseaux
Les informations suivantes sont un bref résumé du portail d'aide d' SAP, intitulé « TCP/IP Ports of All SAP Products », qui fournit un exemple des considérations nécessaires à la sécurité de vos systèmes d' SAP s et de l'ensemble de votre infrastructure informatique sur IBM Cloud.
Selon les applications techniques SAP utilisées et les scénarios métier envisagés, différents hôtes nécessitent l'ouverture de ports. Traditionnellement, on utilise des groupes de ports de pare-feu combinés à des règles de pare-feu. Vous pouvez également utiliser des règles de pare-feu individuelles par hôte, bien que cela devienne souvent ingérable.
Le tableau ci-dessous comprend certains des principaux ports à utiliser avec les systèmes SAP qui utilisent SAP NetWeaver et SAP HANA, qui doivent être corrigés, en fonction du numéro d'instance de l'application technique SAP ; les numéros d'instance
00, 01, 02 sont les valeurs par défaut des diverses applications techniques SAP et se présenteront sous des modèles différents (ces modèles sont indiqués avec des code blocks
mis en évidence) :
Application technique SAP | Composant | port |
---|---|---|
SAP Router | ||
SAP Router | 3200 | |
SAP Router | 3299 | |
SAP NetWeaver | ||
SAP NetWeaver AS Primary App Server (PAS Dialog) Instance 01 |
3201 |
|
SAP NetWeaver AS PAS Gateway Instance 01 |
3301 |
|
SAP NetWeaver AS Central Services Messenger Server (ASCS MS) Instance 01 | 3602 | |
SAP NetWeaver AS PAS Gateway (with SNC Enabled) Instance 01 |
4801 |
|
SAP NetWeaver AS ICM HTTP (Port 80 prefix) | 8001 | |
SAP NetWeaver AS ICM HTTPS (Secure, Port 443 prefix) | 44301 | |
SAP NetWeaver sapctrl HTTP (Installation double hôte) | 50113 | |
SAP NetWeaver sapctrl HTTPS (Installation double hôte) | 50114 | |
SAP HANA | ||
SAP HANA sapctrl HTTP (Une installation hôte) | 50013 | |
SAP HANA sapctrl HTTPS (Une installation hôte) | 50014 | |
SAP HANA Internal Web Dispatcher | 30006 | |
SAP HANA MDC System Tenant SYSDB Index Server | 30013 | |
SAP HANA MDC Tenant 1 Index Server | 30015 | |
SAP HANA ICM HTTP Internal Web Dispatcher | 8000 | |
SAP HANA ICM HTTPS (Secure) Internal Web Dispatcher | 4300 | |
Répartiteur Web SAP | ||
SAP Web Dispatcher ICM HTTP (Port 80 prefix) Instance Number 90 |
8090 |
|
SAP Web Dispatcher ICM HTTPS (Secure, Port 443 prefix) Instance Number 90 |
44390 |
|
SAP HANA XSA | ||
SAP HANA XSA Instance 00 Client HTTPS pour la connexion au répartiteur Web géré par xscontroller (routeur de plateforme) à des fins d'authentification d'utilisateur. | 300 32 |
|
SAP HANA XSA Instance 00 Internal HTTPS pour la connexion entre le répartiteur Web géré par xscontroller (routeur de plateforme) et xsuaaserver à des fins d'authentification d'utilisateur. | 300 31 |
|
SAP HANA XSA Instance 00 Client HTTPS pour la connexion au répartiteur Web géré par xscontroller afin d'accéder aux données. | 300 30 |
|
SAP HANA XSA Instance 00 Dynamic Range Internal HTTPS pour la connexion entre le client et le répartiteur Web géré par xscontroller (routeur de plateforme) afin d'accéder à l'instance d'application. | 51000 -51500 |
|
SAP HANA XSA Instance 00 Internal HTTPS xsexecagent to xscontroller | 300 29 |
|
SAP HANA XSA Instance 00 Web Dispatcher HTTP(S) routing | 300 33 |
|
SAP NetWeaver Java | ||
SAP NetWeaver AS JAVA P4 Port | 50304 | |
SAP NetWeaver AS JAVA P4 Port | 50404 |
Considérations relatives à la sécurité de la séparation du trafic sur les réseaux
Vous pouvez séparer différents types de trafic réseau dans votre paysage, soit en raison de restrictions de sécurité, soit à cause de considérations de débit.
La séparation des réseaux est utile pour les cas d'utilisation de charge de travail SAP suivants :
- Plusieurs serveurs qui échangent des données
- Systèmes SAP dans une architecture logique à trois niveaux, où les instances de base de données SAP et d'applications SAP sont sur des hôtes différents.
- Plusieurs systèmes SAP qui échangent de grandes quantités de données
- Les serveurs de base de données, qui ont besoin d'un faible temps d'attente de réseau et d'un débit réseau élevé pour le stockage par blocs/fichiers en réseau, doivent donc éviter les pare-feu. Toutefois, la base de données doit encore être protégée pour d'autres systèmes et réseaux.
Pour utiliser efficacement la ségrégation des réseaux, l'interconnectivité doit être autorisée dans des conditions spécifiques.
Séparation des sous-réseaux VPC Infrastructure
Pour séparer le trafic, utilisez plusieurs sous-réseaux.
Chaque VPC d'une région peut contenir plusieurs sous-réseaux. Ces sous-réseaux du VPC sont activés pour communiquer entre eux, sauf s'ils sont bloqués par une liste de contrôle d'accès réseau ou un groupe de sécurité. Par conséquent, deux serveurs virtuels dans l'infrastructure VPC peuvent disposer d'une interface réseau virtuelle (vNIC) sur différents sous-réseaux.
La liste de contrôle d'accès réseau ou le groupe de sécurité autoriserait des flux d'interconnectivité réseau spécifiques sur ces sous-réseaux distincts.
Toutefois, un serveur virtuel dans une infrastructure VPC ne peut pas avoir plusieurs interfaces de réseau virtuel (vNIC) affectées à plusieurs sous-réseaux.
Séparation des sous-réseaux Classic infrastructure
Pour séparer le trafic, utilisez plusieurs réseaux VLAN et sous-réseaux.
Chaque réseau local virtuel est public ou privé et est spécifique au centre de données et au pod du centre de données. Le réseau local virtuel peut contenir plusieurs sous-réseaux. Ces sous-réseaux du réseau local virtuel sont activés pour communiquer entre eux, sauf s'ils sont bloqués par un dispositif de passerelle.
Par conséquent, deux hôtes bare metal dans une infrastructure classique peuvent comporter des cartes d'interface réseau physiques qui sont affectées à des réseaux locaux virtuels et des sous-réseaux différents les uns des autres.
Le dispositif de passerelle autoriserait des flux d'interconnectivité réseau spécifiques sur ces sous-réseaux distincts.
Un serveur Bare Metal par défaut (peut changer selon les spécifications du matériel) utilise des cartes d'interface réseau (NIC) physiques et utilise quatre ports ethernet :
- Carte NIC
eth0
/ Carte NIC redondanteeth2
- Réseau local virtuel public, en tant que zone DMZ reliée au dispositif de passerelle
- Sous-réseau principal public
- Adresse IP publique derrière la zone DMZ
- Sous-réseau principal public
- Réseau local virtuel public, en tant que zone DMZ reliée au dispositif de passerelle
- Carte NIC
eth1
/ Carte NIC redondanteeth3
- Réseau local virtuel privé, en tant que zone DMZ reliée au dispositif de passerelle
- Sous-réseau principal privé
- Adresse IP privée derrière la zone DMZ
- Sous-réseau principal privé
- Réseau local virtuel privé, en tant que zone DMZ reliée au dispositif de passerelle
mgmt0
--- IPMI (zone de réseau admin)
Les serveurs Bare Metal peuvent être reconfigurés à partir de valeurs par défaut spécifiques, si les spécifications du matériel le permettent, avec davantage de sous-réseaux. Cette action permet une séparation maximale du trafic et peut augmenter les performances en utilisant différentes cartes d'interface réseau (NIC) pour gérer un plus grand débit de réseau en parallèle. Voici un exemple de cette reconfiguration :
- Carte NIC
eth0
/ Carte NIC redondanteeth2
- Réseau local virtuel public, en tant que zone DMZ reliée au dispositif de passerelle
- Sous-réseau principal public
- Adresse IP publique derrière la zone DMZ
- Sous-réseau principal public
- Réseau local virtuel public, en tant que zone DMZ reliée au dispositif de passerelle
- Carte NIC
eth1
/ Carte NIC redondantealtered to eth4
- Réseau local virtuel privé, en tant que zone DMZ reliée au dispositif de passerelle
- Sous-réseau principal privé
- Adresse IP privée derrière la zone DMZ
- Sous-réseau principal privé
- Réseau local virtuel privé, en tant que zone DMZ reliée au dispositif de passerelle
- Carte NIC supplémentaire
eth3
/ Carte NIC redondante supplémentaireeth5
- Réseau local virtuel privé
- Sous-réseau portable secondaire privé A
- Adresse IP privée derrière la zone DMZ
- Sous-réseau portable secondaire privé B
- Adresse IP privée derrière la zone DMZ
- Sous-réseau portable secondaire privé A
- Réseau local virtuel privé
mgmt0
--- IPMI (zone de réseau admin)
Cette reconfiguration, par exemple, ne sera pas disponible dans tous les scénarios.
Pour SAP HANA et les hautes performances et la sécurité du réseau qui sont requises, des réseaux locaux virtuels supplémentaires peuvent être utiles. Lisez les recommandations d' SAP, pour les environnements sur site, sur SAP HANA. Exigences réseau et identifiez la configuration réseau adaptée à vos besoins.
Séparation des sous-réseaux de VMware sur l'infrastructure classique
Pour séparer le trafic avec IBM Cloud for VMware Solutions Dedicated, utilisez plusieurs sous-réseaux dans VMware Overlay VXLAN (propulsé par VMware NSX).
Dans IBM Cloud for VMware Solutions Dedicated, le réseau VXLAN VMware Overlay (alimenté par VMware NSX) est raccordé au réseau local virtuel public et au réseau local virtuel privé sur le réseau d'infrastructure classique comme sous-couche ; la gestion de VMware NSX utilise les sous-réseaux portables secondaires privés pour réaliser le réseau VXLAN. Cela permet un contrôle total de la conception du réseau lorsqu'il fonctionne avec VMware, et permet d'assigner aux machines virtuelles VMware une adresse IP à partir de n'importe quelle plage définie.
Si vous utilisez plutôt un déploiement manuel de VMware sur un serveur Bare Metal, VMware vSwitch utiliserait directement le sous-réseau portable secondaire du réseau local virtuel privé pour attribuer à la machine virtuelle VMware une adresse IP provenant du réseau d'infrastructure classique.
La séparation du trafic doit être envisagée avec soin dans les déploiements VMware, car les déploiements élaborés basés sur VMware, où les différents types de trafic réseau peuvent devoir être plus strictement séparés pour des raisons de sécurité.