安全组规划
SAP安全组规划
安全组规划要根据SAP的主机间通信要求制定,主要需要考虑管理平面,内部通信平面要求,并与网络部门合作完成安全组设置,具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。
安全组规划要根据SAP的主机间通信要求制定,主要安全组规则请参考下表进行设定。
- 网段信息与IP地址信息请根据实际部署规划。下面的安全组规则仅是推荐的最佳实践,用户可根据自身的特殊要求,设置安全组规则。
- 下表中,##表示SAP的实例编号,此处需要与安装SAP软件时指定的实例编号保持一致,如有多个实例编号,依次填写。
源地址 |
协议 |
端口范围 |
说明 |
|---|---|---|---|
Inbound |
|||
10.10.1.0/24 |
TCP |
1-65535 |
各实例在子网内通信 |
10.10.1.0/24 |
TCP |
5##13~5##14 |
允许SAP HANA Studio访问SAP HANA。 |
10.10.1.0/24 |
TCP |
3##00~3##10 |
数据库内部通信 |
10.10.1.0/24 |
TCP |
3##15 、3##17 |
DB Client接入端口 |
10.10.1.0/24 |
TCP |
111,2049,4000-4002 |
用于NFS通信 |
10.10.1.0/24 |
TCP |
40000~40001 |
SAP Business One服务端端口 |
10.10.1.0/24 |
TCP |
22 |
允许以SSH协议访问SAP |
10.10.1.0/24 |
TCP |
43## |
允许从10.0.0.0/24子网以HTTPS协议访问XSEngine |
10.10.1.0/24 |
TCP |
80## |
允许从10.0.0.0/24子网以HTTP协议访问XSEngine |
10.10.1.0/24 |
TCP |
8080 (HTTP) |
允许Software Update Manager (SUM)以HTTP协议访问SAP HANA |
10.10.1.0/24 |
TCP |
8443 (HTTPS) |
允许Software Update Manager (SUM)以HTTPS协议访问SAP HANA |
10.10.1.0/24 |
TCP |
1128-1129 |
允许以SOAP/HTTP协议访问SAP Host Agent |
系统自动指定。 |
ANY |
ANY |
系统默认创建的安全组规则 允许属于同一个安全组的云服务器互相通信 |
Outbound |
|||
ANY |
ANY |
ANY |
系统默认创建的安全组规则。 允许SAP HANA访问全部对端。 |
