安全组规划

下表中，##表示SAP HANA的实例编号，例如“00”。此处需要与安装SAP HANA软件时指定的实例编号保持一致，SAP HANA实例编号规划请参考2.1.5 云服务器规划。

表1 SAP HANA安全组规则
源地址/目的地址	协议	端口范围	说明
入方向
系统自动指定	全部	全部	系统默认创建的安全组规则。允许属于同一个安全组的云服务器互相通信。
0.0.0.0	TCP	22	允许租户侧网络以SSH协议，访问SAP HANA Studio。仅在SAP HANA Studio部署在Linux上时需要创建。
0.0.0.0	TCP	3389	允许租户侧网络以RDP协议，访问SAP HANA Studio。仅在SAP HANA Studio部署在Windows上时需要创建。
10.0.3.0/24	TCP	80（HTTP）	允许租户侧网络以HTTP协议访问NAT Server。
10.0.3.0/24	TCP	443（HTTPS）	允许租户侧网络以HTTPS协议访问NAT Server。
10.0.3.0/24	TCP	1128-1129	允许以SOAP/HTTP协议访问SAP Host Agent。
10.0.3.0/24	TCP	43##	允许从10.0.3.0/24子网以HTTPS协议访问XSEngine。
10.0.3.0/24	TCP	80##	允许从10.0.3.0/24子网以HTTP协议访问XSEngine。
10.0.3.0/24	TCP	8080	允许Software Update Manager (SUM)以HTTP协议访问SAP HANA。
10.0.3.0/24	TCP	8443	允许Software Update Manager (SUM)以HTTPS协议访问SAP HANA。
10.0.3.0/24	TCP	3##13	允许SAP HANA Studio访问SAP HANA。
10.0.3.0/24	TCP	3##15	业务平面所使用的端口。
10.0.3.0/24	TCP	3##17	业务平面所使用的端口。
10.0.3.0/24	TCP	5##13	允许SAP HANA Studio访问sapstartsrv。
出方向
全部	全部	全部	系统默认创建的安全组规则。允许SAP HANA访问全部对端

安全组规划要根据SAP的主机间通信要求制定，主要需要考虑管理平面，内部通信平面要求，并与网络部门合作完成安全组设置，具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。

安全组规划要根据SAP的主机间通信要求制定，主要安全组规则请参考表2进行设定。

表2 SAP S/4HANA节点安全组规则
源地址/目的地址	协议	端口范围	说明
入方向
系统自动指定	全部	全部	系统默认创建的安全组规则。允许属于同一个安全组的云服务器互相通信。
10.0.3.0/24	TCP	32##	允许SAP GUI访问SAP S/4HANA。
10.0.3.0/24	TCP	36##	Message Port with profile parameter rdisp/msserv。
10.0.3.0/24	TCP	5##13 ~ 5##14	允许ASCS访问SAP Application Server。
10.0.3.0/24	TCP	33##，38##，48##	CPIC和RFC所使用的端口。
10.0.3.0/24	TCP	22	允许以SSH协议访问SAP S/4HANA。
10.0.3.0/24	TCP	123	允许其他服务器向SAP S/4HANA进行时间同步。
出方向
全部	全部	全部	系统默认创建的安全组规则。允许SAP S/4HANA访问全部对端

父主题：资源规划

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨