网络信息规划
网络平面规划(单节点无HA)
单节点(无HA)场景的网络如图1所示。
网段信息与IP地址信息均为示例,请根据实际规划。
说明如下:
- 在该场景下,每个节点只使用一块网卡,作为网络通信平面。
- 规划的网络信息如表1所示。
网络平面规划(单节点HA)
单节点(HA)场景的网络如图2所示。
- 网段信息与IP地址信息均为示例,请根据实际规划。
- 在图2中,适用于使用脚本自动切换主备节点的场景,如果使用手动切换主备节点的功能,则不需要心跳平面的网卡。
- 业务平面(业务/客户端平面IP地址)和主备内部通信平面(系统复制通信平面IP地址、心跳平面IP地址)的IP地址要分配属于不同的子网段。
说明如下:
- SAP HANA主备节点都有两张网卡,分别为NIC1、NIC2,其中两张NIC1在一个同网段,属于业务/客户端平面;两张NIC2为另一个网段,该网络平面为系统复制/心跳平面。
- 规划的网络信息如表2所示。
表2 网络信息规划(单节点HA) 参数
说明
示例
业务/客户端平面IP地址
该平面作为主网卡的平面。SAP HANA节点通过该IP地址与SFS、ERP等业务端软件或SAP HANA Studio客户端软件进行通信。
SAP HANA节点:10.0.3.2~10.0.3.3
SAP HANA节点浮动IP地址:10.0.3.103
SAP HANA Studio:10.0.0.102
NAT Server:10.0.0.202
系统复制通信平面IP地址
SAP HANA节点通过该平面进行System Replication。
SAP HANA节点:10.0.4.2~10.0.4.3
心跳平面IP地址
SAP HANA节点通过该平面传递心跳信号,以实现在节点异常时自动切换的功能。
弹性IP地址
租户可通过弹性IP地址(即公网IP地址),访问SAP HANA Studio和NAT Server。
自动分配。
安全组规划
- 网段信息与IP地址信息均为示例,请根据实际规划。下面的安全组规则仅是推荐的最佳实践,租户根据自己的特殊要求,可设置自己的安全组规则。
- 下表中,##表示SAP HANA的实例编号,例如“00”。此处需要与安装SAP HANA软件时指定的实例编号保持一致。
- 更多有关于SAP需要访问的特定端口和相应安全组规则,请参见SAP官方文档。
源地址/目的地址 |
协议 |
端口范围 |
说明 |
|---|---|---|---|
入方向 |
|||
10.0.0.0/24 |
TCP |
3##13 |
允许SAP HANA Studio访问SAP HANA。 |
10.0.0.0/24 |
TCP |
3##15 |
业务平面所使用的端口。 |
10.0.0.0/24 |
TCP |
3##17 |
业务平面所使用的端口。 |
10.0.0.0/24 |
TCP |
5##13 |
允许SAP HANA Studio访问sapstartsrv。 |
10.0.0.0/24 |
TCP |
22 |
允许以SSH协议访问SAP HANA。 |
10.0.0.0/24 |
TCP |
43## |
允许从10.0.0.0/24子网以HTTPS协议访问XSEngine。 |
10.0.0.0/24 |
TCP |
80## |
允许从10.0.0.0/24子网以HTTP协议访问XSEngine。 |
10.0.0.0/24 |
TCP |
8080 (HTTP) |
允许Software Update Manager (SUM)以HTTP协议访问SAP HANA。 |
10.0.0.0/24 |
TCP |
8443 (HTTPS) |
允许Software Update Manager (SUM)以HTTPS协议访问SAP HANA。 |
10.0.0.0/24 |
TCP |
1128-1129 |
允许以SOAP/HTTP协议访问SAP Host Agent。 |
系统自动指定。 |
全部 |
全部 |
系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 |
出方向 |
|||
全部 |
全部 |
全部 |
系统默认创建的安全组规则。 允许SAP HANA访问全部对端。 |
源地址/目的地址 |
协议 |
端口范围 |
说明 |
|---|---|---|---|
入方向 |
|||
0.0.0.0/0 |
TCP |
3389 |
允许租户侧网络以RDP协议,访问SAP HANA Studio。 仅在SAP HANA Studio部署在Windows上时需要创建。 |
0.0.0.0/0 |
TCP |
22 |
允许租户侧网络以SSH协议,访问SAP HANA Studio。 仅在SAP HANA Studio部署在Linux上时需要创建。 |
系统自动指定。 |
全部 |
全部 |
系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 |
出方向 |
|||
全部 |
全部 |
全部 |
系统默认创建的安全组规则。 允许SAP HANA Studio访问全部对端。 |
源地址/目的地址 |
协议 |
端口范围 |
说明 |
|---|---|---|---|
入方向 |
|||
0.0.0.0/0 |
TCP |
22 |
允许租户侧网络以SSH协议,访问NAT Server。 |
10.0.3.0/24 |
TCP |
80 (HTTP) |
允许租户侧网络以HTTP协议访问NAT Server。 |
10.0.3.0/24 |
TCP |
443 (HTTPS) |
允许租户侧网络以HTTPS协议访问NAT Server。 |
系统自动指定。 |
全部 |
全部 |
系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 |
出方向 |
|||
10.0.3.0/24 |
TCP |
22 (SSH) |
允许NAT Server以SSH协议访问10.0.3.0子网。 |
0.0.0.0/0 |
TCP |
80 (HTTP) |
允许NAT Server以HTTPS协议访问部署在VPC内的实例的任意网络。 |
0.0.0.0/0 |
TCP |
443 (HTTPS) |
允许NAT Server以HTTPS协议访问部署在VPC内的实例的任意网络。 |
