网络设计注意事项
SAP 系统对服务器、操作系统、网络设置和支持的存储有特定要求。
在某些方面,使用云服务提供商(如 IBM Cloud® for SAP )的 SAP 工作负载与使用外部数据中心或数据中心提供商的 SAP 工作负载的现有实践(已有数十年历史)类似。 SAP IaaS 环境对连接性有特殊要求,包括云主机之间的连接以及与外部系统的连接。提供了一系列丰富的功能,除了托管 系统之外,还可以改善您的 环境。IBM Cloud® for SAP SAP SAP
为了帮助您规划项目,以下部分提供了 IBM Cloud® for SAP 网络设计组合的注意事项。
前言:数据/信息的计量单位
网络存储的吞吐量通常以Mbps或Gbps为单位。
需要注意的是,Mb(兆位)是十进制前缀,而 MiB (兆字节)是二进制前缀,因此它们处于不同的尺度上。 由于在 Microsoft Windows 中,MiB (兆字节)通常被称为 Megabyte,因此产生了更多的混淆。
为了便于日后参考,整个网络文档中使用的Mb(兆位)和 MiB (兆字节)均基于IEC定义、IEEE、ISO和NIST采用的单位制(SI)。
例如:
- 100 Mbps(兆位/秒),即12 MiB/s (兆字节/秒)
- 1000 Mbps(兆位/秒)也称为1 Gbps(千兆位/秒),相当于120 MiB/s (兆字节/秒)
- 10 Gbps(每秒千兆位),即1200 MiB/s (每秒百万亿字节)
网络连接注意事项
如需了解可用连接选项的概览,请参阅 确定对您的 SAP 系统的访问权限。
SAP 系统通常是业务运营的焦点,包含大量集成应用(包括旧版应用)。
在大多数情况下,SAP 工作负载需要连接到现有的内部网络,建议使用 IBM Cloud® Direct Link 2.0 来操作安全、低延迟、高吞吐量(最高可达10 Gbps)的路由OSI Layer-2/3 连接。
这些连接选项取决于业务需求,例如,企业是否希望使用云,以及是否希望通过现有网络结构和安全措施隔离网络流量来降低安全风险。 在这些“断开连接”或“仅限私人”的连接设计中,最好通过 IBM Cloud® 获取更多信息,并讨论您的使用案例。
此外,SAP 强烈建议不要将 SAP 系统分层跨本地位置和云位置进行划分,这需要企业自行评估;例如,SAP 不建议保留从本地位置的基础设施运行的 SAP AnyDB,并连接到从云位置的基础设施运行的 SAP NetWeaver。 对于 IBM Power Virtual Server s,不支持 SAP 系统分层。
自带网络(子网/CIDR/IP地址范围)
通常,企业更倾向于将自带子网/CIDR/IP地址范围(BYOIP)添加到您的 IBM Cloud 帐户中;这取决于基础设施选择和环境。
VPC 基础架构
使用VPC基础设施时,可以定义和使用自己的子网。 查看 VPC——自带子网。
这取决于 RFC 1918 IANA 保留的 IPv4 专用网络地址空间是否在使用中,因为这些范围内的任何 IP 地址都被视为不可路由。 这些地址在互联网上并非唯一,因为任何私人网络都可以使用这些地址,无需与互联网号码分配机构(IANA)或互联网注册机构进行任何协调,因此这些地址仅在私人网络内是唯一的。 这些 IPv4 专用网络地址空间包括:
- A级 - 10.0.0.0/8
- B级 - 172.16.0.0/12
- C级 - 192.168.0.0/16
如果您使用在 RFC 1918 IANA 保留 IPv4 私有网络地址空间下定义的自带子网范围,则在使用任何 VPC 功能(例如,Public Gateway 或浮动 IP)时都可以连接到现有的内部网络。
不支持使用未在 RFC 1918 IANA 保留 IPv4 私有网络地址空间下定义的自带子网范围,因为当与 Public Gateway (PGW) 和浮动 IP 一起使用时,这不允许连接到现有的内部网络。
经典基础设施 VMware
如果现有业务在 VMware 上运行 SAP,则可以使用 IBM Cloud 和 VMware 以及 VMware HCX和 IBM Cloud® Direct Link 在现有数据中心与 VMware 和 IBM Cloud 之间创建一个桥接的双向网络,用于 VMware。 这利用现有的 VMware 服务网路由,将其路由到 VMware HCX和 IBM Cloud 上的VMware NSX叠加层,用于 VMware,从而创建:
- 使用HCX云网关(CGW)+ HCX广域网优化器(WAN-OPT)的加密迁移通道
- 使用HCX高吞吐量第2层集中器(HT L2C )的加密应用隧道
网络拓扑结构注意事项
取决于 SAP 系统的数量和配置,出于安全或性能方面的考虑,这些系统之间的网络流安排不同,网络拓扑结构也会大不相同。 这种拓扑结构的设计反映了企业对安全性、性能、成本、灵活性和连接性的要求。
例如,使用企业资源规划(ERP)业务应用程序,一个托管生产实例的 SAP 系统,使用 SAP 系统分层方法,使用 SAP NetWeaver 和 SAP HANA 的高可用性:
-
SAP NetWeaver,至少要有四个主持人,而不是一个:
- 中央服务(ASCS)
- 主应用服务器(PAS),也称为中央实例(CI)
- 排队复制服务器实例(ERS)
- 附加应用服务器(AAS)
-
SAP HANA,至少有两个(可能三个)主持人,而不是一个:
- SAP HANA 主节点 (使用 系统复制 SAP HANA )
- SAP HANA 辅助故障转移节点 (使用 系统复制 SAP HANA )
- SAP HANA 三级灾难恢复故障转移节点 (使用 系统复制 SAP HANA )
-
这描述了 1 SAP 系统在 SAP 景观中的情况。 SAP 风景可能使用:
- 单轨5 SAP 系统(沙盒 > 开发 > 测试 > 预生产 > 生产)
- 双轨5 SAP 系统(沙盒 > 新功能开发 + 维护开发 > 新功能测试 + 维护测试 > 预发布 > 生产)
因此,对于 SAP Landscape,可能需要30到50个 SAP 实例,分布在10到50个主机服务器(物理或虚拟)上。 这是在针对特定业务运营、行业或地理功能添加更多业务应用程序之前。
SAP 景观的大小对网络拓扑结构有直接影响。
通常情况下,虽然具体情况有所不同,但以下网络能够满足使用 SAP 的企业对场景和性能的要求。业务应用:
- 在 SAP Landscape中,多个实例之间通过内部网络进行通信,并使用不同的 SAP 系统分层方法
- 数据库系统的管理和存储传输网络
- 生产中使用的网络
然而,在最简单的场景中,可能有一个满足所有需求的专用网络。 这取决于业务需求。
启用 SAP 系统的附加管理系统
根据您的操作系统、SAP 工作量和网络连接情况,您可能需要配置对更多 SAP 和非 SAP 系统的访问权限。 以下是您的 SAP 工作负载可能需要运行的各种管理系统的列表:
- 操作系统软件包更新服务器,SAP HANA 和 SAP NetWeaver 的操作系统软件包订阅渠道不同。
- 对于 IBM Power Virtual Server s,您可以使用公开可用的 AIX SUMA或SUSE更新存储库,也可以使用您自己的 AIX NIM或SUSE RMT服务器。
- 软件和补丁下载服务器。 当软件下载到服务器上后,您可以使用各种协议(如SCP或SFTP)将文件传输到目标服务器上安装。
- 时间服务器(NTP),使用 IBM Cloud 专用主干网、公共互联网NTP或专用NTP主机的NTP。
- 网关(和代理)和防火墙主机
- 堡垒/跳跃主机。 允许从公共互联网或其他网络访问安全地访问您的云资源;通常情况下,这需要在非默认端口上使用安全严密的SSH。
- 启用VNC或RDP的跳转主机。 允许通过图形用户界面访问目标机器(如果目标机器上安装了图形用户界面、VNC或RDP)。
- VPN主机。 能够安全连接到现有的内部网络。
- 网络路由主机,通过 TelCo 或网络服务提供商。 能够安全地与现有内部网络建立高吞吐量连接。
- 备份管理服务托管
- 网络文件存储,通过网络文件系统(例如,NFSv3 或 NFSv4.1 )。 运行由TCP/IP数据包封装的文件系统命令。
- 网络块存储,使用由MPIO控制的 iSCSI 协议。 运行由TCP/IP数据包封装的SCSI命令。
- 网络块存储,使用光纤通道(FC)协议。 运行由FC帧封装的SCSI命令。
仅 IBM Power Virtual Server 需要光纤通道,在配置期间为您处理。
混合云设置 SAP
以下是您在规划 SAP 环境时需要考虑的具体配置项目,您可以使用现有的本地 SAP 支持系统与 IBM Cloud® for SAP 产品组合创建混合云设置:
- SAP 运输管理系统(STMS,也称为 TMS) 。 根据传输组配置STMS,以防止跨数据中心共享文件。
- SAP路由器。 提供访问 SAP 在线服务系统(OSS)的权限。 使用本地SAP路由器访问OSS。 如果您的基于 IBM Cloud 的系统与本地SAP路由器之间不允许基于IP的路由,则可以通过进一步的SAP路由器跳转来使用此SAP路由器。 或者,可以考虑设置另一个 SAProuter(基于一台具有公共 IP 且基于 IBM Cloud 的服务器),然后通过因特网将其连接到 SAP OSS 系统。
- SAP Solution Manager. 访问 SAP Solution Manager 时,SAP Solution Manager 与其管理系统之间的连接要求有所不同。 具体差异取决于您的使用场景。 这些场景要求了解所需的网络连接。
- 如果您正在部署公共网关或浮动IP,则需要了解网络地址转换(NAT)的详细信息以及 SAP 应用程序的行为。 请参阅 NAT的 SAP 文档,考虑应用层可能存在的问题,尤其是 SAP 远程功能调用(RFC)中存在的问题。
网络消费注意事项
传统的 SAP 工作量网络通信相对较少,每天可能只有不到100个 MiB 网络流量,例如:
- SAPGUI的用户交易;适用于Windows,适用于 Java (与 macOS 或 Linux 一起使用)
- SAP 的用户交易 WebGUI
- 用户通过 SAP NetWeaver 的 SAP 网络Dynpro应用与 商业客户(NWBC)进行交易
- SAP SAP 和非 系统之间的远程功能调用( RFC) SAPSAP
- SAP iDOC SAP 和非 SAP 系统与第三方(例如银行、供应商)之间的往来
然而,有些工作负荷更大的 SAP 网络通信也会消耗大量网络流量,例如:
- SAPUI5 为 Fiori Launchpad和应用程序预装库和主题 SAP
- 10 MiB- 25 MiB (估计) 每次从 SAP 网站助手(也称为 XRay),浏览器会缓存这些预安装的库。 一旦缓存,这些库文件就可以在任何新的浏览器标签中使用,即使浏览器重启或 SAP Fiori注销后也是如此;直到浏览器缓存被清除
- 20 KiB- 500 KiB (估计值),每个会话中加载的新 Fiori 应用程序
- SAP HANA 系统复制(HSR)同步或异步,每月从主节点向次(或三)节点传输数GB的数据
随着新设计 SAP 软件流量的增加,网络流量可能会大大超过过去 SAP 使用情况下的流量。
设计您的 SAP 应用程序,使用 IBM Cloud 专用骨干网进行数据传输非常重要,因为这样不会产生出入站费用;而使用公共互联网会产生出站费用。
您应该估算一下传输的数据量。 在项目实施的初期阶段,这一点可能比较困难。 然而,至少应该进行数量级的估算。
网络吞吐量性能考虑因素
SAP 一般建议其应用服务器与 数据库之间的流量以及其他 客户端(如 )的流量采用10 Gbps(冗余)网络吞吐量。SAP HANA SAP HANA SAP Business Intelligence
对于使用 SAP、AnyDB 和本地存储的 SAP NetWeaver 部署,即使是三层设置,1 Gbps网络通常也足够了。
网络延迟性能考虑因素
对于您的业务运营和非 SAP 依赖系统,您可能需要满足特定的延迟关键性能指标(KPI)。 这需要考虑您主机所在的网站位置,并通过使用 IBM Cloud 专用骨干网络测试延迟。
在为 SAP HANA 设计高可用性(HA)和灾难恢复(DR)时,有必要使用往返时间(RTT)指标来测试延迟。
如果在一个站点内设计HA故障切换,在几乎所有情况下,这都可以满足 SAP HANA 系统复制的要求。
然而,如果为 SAP HANA 设计一个区域内的多个站点的“高可用性”,或者设计多个区域的“灾难恢复”,那么必须仔细测试和考虑使用往返时间(RTT)指标的延迟。
这是因为 IBM Cloud 力求通过在地理位置分散的站点部署容错机制(例如不同的风险评估),确保平台的高可用性。 关于 IBM Cloud 如何确保高可用性和冗余 的更多信息。
特别是对于VPC基础设施,可用区是指区域内地理位置分散的位置。 对于大多数工作负载,这种设计在整个区域提供了更多的冗余。 然而,SAP HANA 系统复制需要低网络延迟,由于当前技术物理数据传输的局限性(即光纤电缆的光速),很难满足必要的往返时间(RTT)指标。
网络端口安全注意事项
IBM Cloud 以下信息是 SAP 帮助门户——所有 SAP 产品的TCP/IP端口 ——的简要摘要,其中举例说明了确保 SAP 系统和整个IT基础设施安全所需的注意事项。
根据所使用的 SAP 技术应用和所涉及的业务场景,不同的主机需要打开不同的端口。 通常,为了满足这一要求,防火墙端口组与防火墙规则相结合。 您也可以为每个主机设置单独的防火墙规则,但通常情况下,这会导致管理混乱。
下表包括一些与 SAP 系统一起使用的关键端口,这些系统使用 SAP NetWeaver 和 SAP HANA,需要根据 SAP 技术应用实例编号进行更正;实例编号00、01、02是各种 SAP 技术应用的默认值,并且将采用不同的模式(这些模式以 code blocks 突出显示):
| SAP 技术应用 | 组件 | 端口 |
|---|---|---|
| SAP 路由器 | ||
| SAP 路由器 | 3200 | |
| SAP 路由器 | 3299 | |
| SAP NetWeaver | ||
SAP NetWeaver AS 主应用服务器(PAS 对话框)实例 01 |
3201 |
|
SAP NetWeaver AS PAS 网关实例 01 |
3301 |
|
| SAP NetWeaver AS Central Services Messenger Server (ASCS MS) 实例 01 | 3602 | |
SAP NetWeaver AS PAS Gateway(启用SNC)实例 01 |
4801 |
|
| SAP NetWeaver ICM (端口 80 前缀) HTTP | 8001 | |
| SAP NetWeaver ICM (安全,端口443前缀) HTTPS | 44301 | |
| SAP NetWeaver sapctrl HTTP (双主机安装 ) | 50113 | |
| SAP NetWeaver sapctrl HTTPS (双主机安装 ) | 50114 | |
| SAP HANA | ||
| SAP HANA sapctrl HTTP (主机安装 ) | 50013 | |
| SAP HANA sapctrl HTTPS (主机安装 ) | 50014 | |
| SAP HANA 内部网络调度员 | 30006 | |
| SAP HANA MDC系统 租户 SYSDB 索引服务器 | 30013 | |
| SAP HANA MDC Tenant 1 Index Server | 30015 | |
| SAP HANA ICM 内部网络调度员 HTTP | 8000 | |
| SAP HANA ICM (安全)内部网络调度员 HTTPS | 4300 | |
| SAP Web 分派器 | ||
SAP Web Dispatcher ICM (端口 80 前缀) 实例编号 HTTP 90 |
8090 |
|
SAP 网络调度员 ICM (安全,端口 443 前缀)实例编号 HTTPS 90 |
44390 |
|
| SAP HANA XSA | ||
| SAP HANA XSA 实例 00 客户端 用于连接到 xscontroller 管理的 Web 调度程序(平台路由器),以进行用户身份验证。HTTPS | 3 00 32 |
|
| SAP HANA XSA 实例 00 内部,用于从 xscontroller 管理的 Web 调度程序(平台路由器)到 xsuaaserver 的连接,以进行用户身份验证。HTTPS | 3 00 31 |
|
| SAP HANA XSA 实例 00 客户端 用于连接 xscontroller 管理的 Web 调度程序,以访问数据。HTTPS | 3 00 30 |
|
| SAP HANA XSA 实例 00 动态范围 内部,用于从客户端连接到 xscontroller 管理的 Web 调度器(平台路由器),以访问应用程序实例。HTTPS | 510 00-515 00 |
|
| SAP HANA XSA 实例 00 内部 xsexecagent 至 xscontroller HTTPS | 3 00 29 |
|
| SAP HANA XSA 实例 00 Web 调度程序 (S) 路由 HTTP | 3 00 33 |
|
| SAP NetWeaver Java | ||
| SAP NetWeaver AS 端口 Java P4 | 50304 | |
| SAP NetWeaver AS 端口 Java P4 | 50404 |
网络 交通 分流 安全注意事项
出于安全限制或吞吐量考虑,您可以在网络拓扑中分离不同的网络流量类型。
网络隔离对于以下 SAP 工作负载用例非常有用:
- 多个服务器交换数据
- SAP 系统采用三层逻辑架构,其中 数据库和 应用程序实例位于不同的主机上。SAP SAP
- 多个 SAP 系统,用于交换大量数据
- 数据库服务器需要低网络延迟和高网络吞吐量,因此需要避免防火墙。 然而,数据库仍然需要保护,以防止其他系统和网络访问。
为了有效利用网络隔离,必须在特定条件下允许互连。
VPC 基础设施子网分离
为了分离流量,请使用多个子网。
一个地区的每个VPC可以包含多个子网。 除非被 Network ACL 或安全组阻止,否则VPC内的这些子网可以相互通信。 因此,VPC基础设施中的两个虚拟服务器可以在彼此不同的子网上拥有虚拟网络接口( vNIC )。
Network ACL 或安全组允许特定的网络互连流在这些单独的子网之间流动。
然而,VPC基础设施中的虚拟服务器不能将多个虚拟网络接口( vNICs )分配给多个子网。
经典的基础设施子网分离
为了分离流量,请使用多个VLAN和子网。
每个VLAN都是公共或私有的,并且特定于数据中心和数据中心Pod。 VLAN可以包含多个子网。 VLAN内的这些子网可以相互通信,除非被 Gateway Appliance 阻止。
因此,在经典基础设施中,两台裸机主机可能拥有物理网络接口卡,这些接口卡被分配到不同的VLAN和子网中。
Gateway Appliance 允许特定的网络互连流在这些单独的子网之间流动。
默认情况下,裸机服务器(可根据硬件规格进行更改)使用物理网络接口卡(NIC),占用四个以太网端口:
eth0NIC / 冗余 NICeth2- 公共虚拟局域网,作为DMZ中继到 Gateway Appliance
- 公用主要子网
- DMZ后的公共IP
- 公用主要子网
- 公共虚拟局域网,作为DMZ中继到 Gateway Appliance
eth1NIC / 冗余 NICeth3- 专用虚拟局域网,作为DMZ中继到 Gateway Appliance
- 专用主要子网
- DMZ背后的私有IP
- 专用主要子网
- 专用虚拟局域网,作为DMZ中继到 Gateway Appliance
mgmt0--- IPMI(管理网络区)
如果硬件规格允许,裸机可以从默认的特定配置重新配置为具有更多子网的配置。 这样可以实现最大程度的流量分离,并通过使用不同的网络接口卡(NIC)并行处理更多的网络吞吐量来提高性能。 这种重组的一个例子可能是:
eth0NIC / 冗余 NICeth2- 公共虚拟局域网,作为DMZ中继到 Gateway Appliance
- 公用主要子网
- DMZ后的公共IP
- 公用主要子网
- 公共虚拟局域网,作为DMZ中继到 Gateway Appliance
eth1NIC / 冗余 NICaltered to eth4- 专用虚拟局域网,作为DMZ中继到 Gateway Appliance
- 专用主要子网
- DMZ背后的私有IP
- 专用主要子网
- 专用虚拟局域网,作为DMZ中继到 Gateway Appliance
eth3附加网卡 / 附加冗余网卡eth5- 专用 VLAN
- 私有二级便携式子网 A
- DMZ背后的私有IP
- 私有二级便携式子网 B
- DMZ背后的私有IP
- 私有二级便携式子网 A
- 专用 VLAN
mgmt0--- IPMI(管理网络区)
例如,这种重新配置并非在所有情况下都可用。
对于 SAP HANA 以及所需的高网络性能和安全性,额外的VLAN可以提供帮助。 阅读 SAP 关于本地环境的建议,SAP HANA 网络要求,并确定满足您业务需求的合适网络配置。
VMware 经典基础设施子网分离
为了将流量与 IBM Cloud 进行区分,在 VMware Solutions 专用网络中使用多个子网,在 VMware Overlay VXLAN(由 VMware NSX提供支持)中。
在 IBM Cloud 中,VMware Solutions 专用、VMware 叠加VXLAN(由 VMware NSX提供支持)作为底层连接回经典基础架构网络上的公共VLAN和专用VLAN; VMware NSX管理利用专用辅助便携式子网来实现VXLAN。 这可以在 VMware 上运行时完全控制网络设计,并允许从任何定义的范围内为 VMware 虚拟机分配IP。
如果使用手动部署将 VMware 部署到裸机,则 VMware vSwitch 将直接使用私有VLAN的辅助便携式子网,从传统基础设施网络中为 VMware 虚拟机分配IP地址。
在 VMware 部署中,需要仔细考虑流量隔离,因为复杂的 VMware 部署中,出于安全考虑,可能需要更严格地隔离不同类型的网络流量。