安全组规划

安全组规划要根据SAP的主机间通信要求制定，主要需要考虑管理平面，内部通信平面要求，并与网络部门合作完成安全组设置，具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。

安全组规划要根据SAP的主机间通信要求制定，主要安全组规则请参考表1，表2，表3进行设定。

网段信息与IP地址信息均为示例，请根据实际规划。下面的安全组规则仅是推荐的最佳实践，用户根据自身的特殊要求，设置安全组规则。

下表中，##表示SAP S/4HANA的实例编号。此处需要与安装SAP S/4HANA软件时指定的实例编号保持一致。

表1 安全组规则（SAP Application Server节点）
Source	Protocol	Port range	说明
Inbound
10.0.3.0/24	TCP	32##	允许SAP GUI访问SAP S/4HANA。
10.0.3.0/24	TCP	5##13～5##14	允许ASCS访问SAP Application Server。
10.0.3.0/24	TCP	33##、48##	CPIC和RFC所使用的端口。
10.0.3.0/24	TCP	22	允许以SSH协议访问SAP S/4HANA。
10.0.3.0/24	UDP	123	允许其他服务器向SAP S/4HANA进行时间同步。
公有云自动指定。	ANY	ANY	系统默认创建的安全组规则。允许属于同一个安全组的云服务器互相通信。
Outbound
0.0.0.0/0	ANY	ANY	系统默认创建的安全组规则。允许SAP S/4HANA访问全部对端。

表2 安全组规则（SAP ASCS节点）
Source	Protocol	Port range	说明
Inbound
10.0.3.0/24	TCP	36##	Message Port with profile parameter rdisp/msserv。
10.0.3.0/24	TCP	5##13～5##14	允许ASCS访问SAP Application Server。
10.0.3.0/24	TCP	33##、38##	CPIC和RFC所使用的端口。
10.0.3.0/24	TCP	22	允许以SSH协议访问SAP S/4HANA。
10.0.3.0/24	UDP	123	允许其他服务器向SAP S/4HANA进行时间同步。
公有云自动指定。	ANY	ANY	系统默认创建的安全组规则。允许属于同一个安全组的云服务器互相通信。
Outbound
0.0.0.0/0	ANY	ANY	系统默认创建的安全组规则。允许SAP S/4HANA访问全部对端。

表3 安全组规则（NAT Server节点）
Source	Protocol	Port range	说明
Inbound
0.0.0.0/0	TCP	22	允许租户侧网络以SSH协议，访问NAT Server。
公有云自动指定。	ANY	ANY	系统默认创建的安全组规则。允许属于同一个安全组的云服务器互相通信。
Outbound
0.0.0.0/0	ANY	ANY	系统默认创建的安全组规则。允许NAT Server访问全部对端。

父主题： 规划

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

7*24