更新时间:2022-12-23 GMT+08:00

安全组规划

安全组规划要根据SAP的主机间通信要求制定,主要需要考虑管理平面,内部通信平面要求,并与网络部门合作完成安全组设置,具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications

安全组规划要根据SAP的主机间通信要求制定,主要安全组规则请参考表1表2表3进行设定。

  • 网段信息与IP地址信息均为示例,请根据实际规划。下面的安全组规则仅是推荐的最佳实践,用户根据自身的特殊要求,设置安全组规则。
  • 下表中,##表示SAP NetWeaver的实例编号。此处需要与安装SAP NetWeaver软件时指定的实例编号保持一致。
表1 安全组规则(SAP Application Server节点)

原地址/目的地址

协议

端口范围

说明

入方向

10.0.3.0/24

TCP

32##

允许SAP GUI访问SAP NetWeaver。

10.0.3.0/24

TCP

5##13~5##14

允许ASCS访问SAP Application Server。

10.0.3.0/24

TCP

33##、48##

CPIC和RFC所使用的端口。

10.0.3.0/24

TCP

22

允许以SSH协议访问SAP NetWeaver。

10.0.3.0/24

UDP

123

允许其他服务器向SAP NetWeaver进行时间同步。

公有云自动指定。

全部

全部

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

出方向

0.0.0.0/0

全部

全部

系统默认创建的安全组规则。

允许SAP NetWeaver访问全部对端。

表2 安全组规则(SAP ASCS节点)

原地址/目的地址

协议

端口范围

说明

入方向

10.0.3.0/24

TCP

36##

Message服务端口。

10.0.3.0/24

TCP

5##13~5##14

允许ASCS访问SAP Application Server。

10.0.3.0/24

TCP

33##、38##

CPIC和RFC所使用的端口。

10.0.3.0/24

TCP

22

允许以SSH协议访问SAP NetWeaver。

10.0.3.0/24

UDP

123

允许其他服务器向SAP NetWeaver进行时间同步。

公有云自动指定。

全部

全部

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

出方向

0.0.0.0/0

全部

全部

系统默认创建的安全组规则。

允许SAP NetWeaver访问全部对端。

表3 安全组规则(NAT Server节点)

原地址/目的地址

协议

端口范围

说明

入方向

0.0.0.0/0

TCP

22

允许租户侧网络以SSH协议,访问NAT Server。

公有云自动指定。

全部

全部

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

出方向

0.0.0.0/0

全部

全部

系统默认创建的安全组规则。

允许NAT Server访问全部对端。