인프라 배포를 위해 네트워크 준비
이 방법 가이드에서는 Azure Center for SAP solutions를 사용하여 S/4 HANA 인프라를 배포하기 위해 가상 네트워크를 준비하는 방법을 알아봅니다. 이 문서에서는 가상 네트워크를 만드는 방법에 대한 일반적인 참고 자료를 제공합니다. 개별 환경 및 사용 사례에 따라 VIS(Virtual Instance for SAP) 리소스와 함께 사용할 자체 네트워크 설정을 어떻게 구성해야 하는지가 결정됩니다.
Azure Center for SAP solutions에서 사용할 준비가 된 기존 네트워크가 있다면 이 가이드를 따르는 대신 배포 가이드로 이동하세요.
필수 구성 요소
- Azure 구독
- Azure 구독의 할당량을 검토합니다. 할당량이 부족한 경우 인프라 배포를 만들기 전에 지원 요청을 만들어야 할 수도 있습니다. 그렇지 않으면 배포에 실패하거나 할당량 부족 오류가 발생할 수 있습니다.
- 배포를 시작하기 전에 서브넷에 IP 주소를 여러 개 마련해 두는 것이 좋습니다. 예를 들어, 항상
/29대신/26마스크를 사용하는 것이 좋습니다. - AzureFirewallSubnet, AzureFirewallManagementSubnet, AzureBastionSubnet 및 GatewaySubnet을 포함한 이름은 Azure 내에서 예약된 이름입니다. 서브넷 이름으로 사용하지 마세요.
- Azure Center for SAP solutions가 SAP 시스템의 크기를 조정하도록 허용하는 데 필요한 SAPS(SAP 애플리케이션 성능 표준) 및 데이터베이스 메모리 크기에 유의합니다. 확실하지 않은 경우 VM을 선택할 수도 있습니다. 다음과 같습니다.
- VIS에서 단일 ASCS 인스턴스를 구성하는 단일 ASCS VM 또는 ASCS VM 클러스터
- VIS에서 단일 데이터베이스 인스턴스를 구성하는 단일 데이터베이스 VM 또는 데이터베이스 VM 클러스터
- VIS에서 단일 애플리케이션 인스턴스를 구성하는 단일 애플리케이션 서버 VM 배포 또는 등록되는 애플리케이션 서버의 수에 따라 애플리케이션 인스턴스가 여러 개 있을 수 있습니다.
네트워크 만들기
Azure에서 인프라 배포 네트워크를 만들어야 합니다. SAP 시스템을 배포하려는 동일한 지역에 네트워크를 만들어야 합니다.
필수 네트워크 구성 요소 중 일부는 다음과 같습니다.
- 가상 네트워크
- 애플리케이션 서버 및 데이터베이스 서버에 대한 서브넷. 구성에서 이러한 서브넷 간의 통신을 허용해야 합니다.
- Azure 네트워크 보안 그룹
- 경로 테이블
- 방화벽(또는 NAT 게이트웨이)
자세한 내용은 네트워크 구성 예제를 참조하세요.
네트워크 연결
인프라 배포와 소프트웨어 설치에 성공하려면 최소한 네트워크에 아웃바운드 인터넷 연결이 있어야 합니다. 애플리케이션과 데이터베이스 서브넷도 서로 통신할 수 있어야 합니다.
인터넷에 연결할 수 없는 경우 다음 영역의 IP 주소를 허용 목록에 추가합니다.
- SUSE 또는 Red Hat 엔드포인트
- Azure Storage 계정
- Azure Key Vault를 허용 목록에 추가
- 허용 목록 Microsoft Entra ID
- Azure Resource Manager를 허용 목록에 추가
그런 다음 가상 네트워크 내의 모든 리소스가 서로 연결할 수 있는지 확인합니다. 예를 들어, 가상 네트워크 내의 리소스가 모든 포트에서 수신 대기하여 통신할 수 있도록 네트워크 보안 그룹을 구성합니다.
- 원본 포트 범위를 *로 설정합니다.
- 대상 포트 범위를 *로 설정합니다.
- 작업을 허용으로 설정합니다.
가상 네트워크 내의 리소스가 서로 연결되도록 허용할 수 없는 경우, 애플리케이션과 데이터베이스 서브넷 간의 연결을 허용하고 대신 가상 네트워크에서 중요한 SAP 포트를 엽니다.
SUSE 또는 Red Hat 엔드포인트를 허용 목록에 추가
VM에서 SUSE를 사용하는 경우 SUSE 엔드포인트를 허용 목록에 추가합니다. 예시:
- Azure Portal을 사용하거나 Azure Cloud Shell을 사용하여 OS에서 VM을 만듭니다. 또는 Microsoft Store에서 openSUSE Leap을 설치하고 WSL을 사용하도록 설정합니다.
zypper install python3-pip를 실행하여 pip3를 설치합니다.pip3 install susepubliccloudinfo를 실행하여 pip 패키지 susepubliccloudinfo를 설치합니다.- 적절한 Azure 지역 매개 변수로
pint microsoft servers --json --region을 실행하여 네트워크와 방화벽에서 구성할 IP 주소의 목록을 가져옵니다. - 서브넷을 연결하려는 방화벽 또는 네트워크 보안 그룹에서 이러한 모든 IP 주소를 허용 목록에 추가합니다.
VM에서 Red Hat을 사용 중이라면 필요에 따라 Red Hat 엔드포인트를 허용 목록에 추가합니다. 기본 허용 목록은 Azure 글로벌 IP 주소입니다. 사용 사례에 따라 Azure 미국 정부 또는 Azure 독일 IP 주소를 허용 목록에 추가해야 할 수도 있습니다. 서브넷을 연결하려는 방화벽 또는 네트워크 보안 그룹의 목록에서 모든 IP 주소를 구성합니다.
스토리지 계정을 허용 목록에 추가
Azure Center for SAP solutions에서 SAP 소프트웨어를 올바르게 설치하려면 다음 스토리지 계정에 액세스해야 합니다.
- 소프트웨어를 설치하는 동안 필요한 SAP 미디어를 저장하는 스토리지 계정
- Azure Center for SAP solutions가 소유하고 관리하는, 관리되는 리소스 그룹의 Azure Center for SAP solutions에서 만든 스토리지 계정
이러한 스토리지 계정에 대한 액세스를 허용하는 옵션은 여러 가지가 있습니다.
- 인터넷 연결 허용
- Storage 서비스 태그 구성
- 지역 범위를 사용하여 Storage 서비스 태그 구성. 인프라를 배포하고, 스토리지 계정(SAP 미디어 포함)이 있는 Azure 지역에 대한 태그를 구성해야 합니다.
- 지역 Azure IP 범위를 허용 목록에 추가
Key Vault를 허용 목록에 추가
Azure Center for SAP solutions는 소프트웨어를 설치하는 동안 비밀 키를 저장하고 이에 액세스할 수 있는 키 자격 증명 모음을 만듭니다. 이 키 자격 증명 모음은 SAP 시스템 암호도 저장합니다. 이 키 자격 증명 모음에 대한 액세스를 허용하려면 다음을 수행하면 됩니다.
- 인터넷 연결 허용
- AzureKeyVault 서비스 태그 구성
- 지역 범위를 사용하여 AzureKeyVault 서비스 태그 구성. 인프라를 배포하는 지역에서 태그를 구성해야 합니다.
허용 목록 Microsoft Entra ID
Azure Center for SAP solutions는 Microsoft Entra ID를 사용하여 SAP 설치 중에 관리형 키 자격 증명 모음에서 비밀을 얻기 위한 인증 토큰을 가져옵니다. Microsoft Entra ID에 대한 액세스를 허용하려면 다음을 수행할 수 있습니다.
- 인터넷 연결 허용
- AzureActiveDirectory 서비스 태그 구성
Azure Resource Manager를 허용 목록에 추가
Azure Center for SAP solutions는 소프트웨어를 설치하는 데 관리 ID를 사용합니다. 관리 ID 인증을 사용하려면 Azure Resource Manager 엔드포인트를 호출해야 합니다. 이 엔드포인트에 대한 액세스를 허용하려면 다음을 수행하면 됩니다.
- 인터넷 연결 허용
- AzureResourceManager 서비스 태그 구성
중요한 SAP 포트 열기
앞서 설명한 바와 같이 가상 네트워크의 모든 리소스 간에 연결을 허용할 수 없는 경우, 대신 가상 네트워크에서 중요한 SAP 포트를 열 수 있습니다. 이 방법을 사용하면 가상 네트워크 내의 리소스가 통신하기 위해 이러한 포트에서 수신 대기할 수 있습니다. 둘 이상의 서브넷을 사용하는 경우 이러한 설정은 서브넷 내 연결도 허용합니다.
다음 표에 나열된 SAP 포트를 엽니다. 해당 포트의 자리 표시자 값(xx)을 SAP 인스턴스 번호로 바꿉니다. 예를 들어, SAP 인스턴스 번호가 01라면 32xx는 3201이 됩니다.
| SAP 서비스 | 포트 범위 | 들어오는 트래픽 허용 | 나가는 트래픽 허용 | 목적 |
|---|---|---|---|---|
| 호스트 에이전트 | 1128, 1129 | 예 | 예 | SAP 호스트 에이전트용 HTTP/S 포트 |
| Web Dispatcher | 32xx | 예 | 예 | SAPGUI 및 RFC 통신 |
| 게이트웨이 | 33xx | 예 | 예 | RFC 통신 |
| 게이트웨이(보안) | 48xx | 예 | 예 | RFC 통신 |
| ICM(Internet Communication Manager) | 80xx, 443xx | 예 | 예 | SAP Fiori, WEB GUI용 HTTP/S 통신 |
| 메시지 서버 | 36xx, 81xx, 444xx | 예 | 아니요 | 부하 분산, ASCS와 앱 서버 간의 통신, GUI 로그인, 메시지 서버와 주고받는 HTTP/S 트래픽 |
| 제어 에이전트 | 5xx13, 5xx14 | 예 | 아니요 | SAP 시스템의 상태 중지, 시작 및 가져오기 |
| SAP 설치 | 4237 | 예 | 아니요 | 초기 SAP 설치 |
| HTTP 및 HTTPS | 5xx00, 5xx01 | 예 | 예 | HTTP/S 서버 포트 |
| IIOP | 5xx02, 5xx03, 5xx07 | 예 | 예 | 서비스 요청 포트 |
| P4 | 5xx04-6 | 예 | 예 | 서비스 요청 포트 |
| 텔넷 | 5xx08 | 예 | 아니요 | 관리용 서비스 포트 |
| SQL 통신 | 3xx13, 3xx15, 3xx40-98 | 예 | 아니요 | ABAP 또는 JAVA 서브넷을 비롯한 애플리케이션과의 데이터베이스 통신 포트 |
| SQL Server | 1433 | 예 | 아니요 | SAP의 MS-SQL용 기본 포트, ABAP 또는 JAVA 데이터베이스 통신에 필요 |
| HANA XS 엔진 | 43xx, 80xx | 예 | 예 | 웹 콘텐츠용 HTTP/S 요청 포트 |
네트워크 구성 예제
네트워크 예제의 구성 프로세스에는 다음이 포함될 수 있습니다.
가상 네트워크를 만들거나 기존 가상 네트워크를 사용합니다.
가상 네트워크 내에 다음과 같은 서브넷을 만듭니다.
애플리케이션 계층 서브넷
데이터베이스 계층 서브넷
Azure FirewallSubnet이라는 방화벽에서 사용할 서브넷
새 방화벽 리소스를 만듭니다.
방화벽을 가상 네트워크에 연결합니다.
RHEL 또는 SUSE 엔드포인트를 허용 목록에 추가하는 규칙을 만듭니다. 모든 원본 IP 주소(
*)를 허용하고, 원본 포트를 모두로 설정하며, RHEL 또는 SUSE에 대한 대상 IP 주소를 허용하고, 대상 포트를 모두로 설정해야 합니다.서비스 태그를 허용하는 규칙을 만듭니다. 모든 원본 IP 주소(
*)를 허용하고, 대상 유형을 서비스 태그로 설정해야 합니다. 그런 다음 Microsoft.Storage, Microsoft.KeyVault, AzureResourceManager 및 Microsoft.AzureActiveDirectory 태그를 허용합니다.
경로 테이블 리소스를 만듭니다.
가상 어플라이언스 형식의 새 경로를 추가합니다.
IP 주소를 방화벽의 IP 주소로 설정합니다. 이 주소는 Azure Portal의 방화벽 리소스 개요에서 찾을 수 있습니다.
새 경로 테이블을 사용하도록 애플리케이션 및 데이터베이스 계층의 서브넷을 업데이트합니다.
가상 네트워크에서 네트워크 보안 그룹을 사용하는 경우 다음 인바운드 규칙을 추가합니다. 이 규칙은 애플리케이션 및 데이터베이스 계층에 대한 서브넷 간을 연결해 줍니다.
우선 순위 포트 프로토콜 원본 대상 작업 100 모두 모두 가상 네트워크 가상 네트워크 허용 방화벽 대신 네트워크 보안 그룹을 사용하는 경우 설치를 허용하는 아웃바운드 규칙을 추가합니다.
우선 순위 포트 프로토콜 원본 대상 작업 110 모두 모두 모두 SUSE 또는 Red Hat 엔드포인트 허용 115 모두 모두 모두 Azure Resource Manager 허용 116 모두 모두 모두 Microsoft Entra ID 허용 117 모두 모두 모두 스토리지 계정 허용 118 8080 모두 모두 주요 자격 증명 모음 허용 119 모두 모두 모두 가상 네트워크 허용