更新时间:2022-02-10 GMT+08:00

安全组规划

SAP安全组规划

安全组规划要根据SAP的主机间通信要求制定,主要需要考虑管理平面,内部通信平面要求,并与网络部门合作完成安全组设置,具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications

安全组规划要根据SAP的主机间通信要求制定,主要安全组规则请参考下表进行设定。

  • 网段信息与IP地址信息请根据实际部署规划。下面的安全组规则仅是推荐的最佳实践,用户可根据自身的特殊要求,设置安全组规则。
  • 下表中,##表示SAP的实例编号,此处需要与安装SAP软件时指定的实例编号保持一致,如有多个实例编号,依次填写。

源地址

协议

端口范围

说明

Inbound

10.10.1.0/24

TCP

1-65535

各实例在子网内通信

10.10.1.0/24

TCP

5##13~5##14

允许SAP HANA Studio访问SAP HANA。

10.10.1.0/24

TCP

3##00~3##10

数据库内部通信

10.10.1.0/24

TCP

3##15 、3##17

DB Client接入端口

10.10.1.0/24

TCP

111,2049,4000-4002

用于NFS通信

10.10.1.0/24

TCP

40000~40001

SAP Business One服务端端口

10.10.1.0/24

TCP

22

允许以SSH协议访问SAP

10.10.1.0/24

TCP

43##

允许从10.0.0.0/24子网以HTTPS协议访问XSEngine

10.10.1.0/24

TCP

80##

允许从10.0.0.0/24子网以HTTP协议访问XSEngine

10.10.1.0/24

TCP

8080 (HTTP)

允许Software Update Manager (SUM)以HTTP协议访问SAP HANA

10.10.1.0/24

TCP

8443 (HTTPS)

允许Software Update Manager (SUM)以HTTPS协议访问SAP HANA

10.10.1.0/24

TCP

1128-1129

允许以SOAP/HTTP协议访问SAP Host Agent

系统自动指定。

ANY

ANY

系统默认创建的安全组规则

允许属于同一个安全组的云服务器互相通信

Outbound

ANY

ANY

ANY

系统默认创建的安全组规则。

允许SAP HANA访问全部对端。