更新时间:2021-08-24 GMT+08:00
分享

网络信息规划

安全组规划

  • 网段信息与IP地址信息均为示例,请根据实际规划。下面的安全组规则仅是推荐的最佳实践,租户根据自己的特殊要求,可设置自己的安全组规则。
  • 下表中,##表示SAP HANA的实例编号,例如“00”。此处需要与安装SAP HANA软件时指定的实例编号保持一致。
  • 更多有关于SAP需要访问的特定端口和相应安全组规则,请参见 SAP 官方文档
表1 安全组规则(SAP HANA)

源地址

协议

端口范围

说明

Inbound

10.0.0.0/24

TCP

5##13~5##14

允许SAP HANA Studio访问SAP HANA。

10.0.0.0/24

TCP

3##15

业务平面所使用的端口。

10.0.0.0/24

TCP

3##17

业务平面所使用的端口。

10.0.2.0/24

TCP

3##00~3##10

SAP HANA节点之间内部通信使用的通信端口。

10.0.0.0/24

TCP

22

允许以SSH协议访问SAP HANA。

10.0.2.0/24

TCP

22

允许以SSH协议访问NAT。

10.0.0.0/24

TCP

43##

允许从10.0.0.0/24子网以HTTPS协议访问XSEngine。

10.0.0.0/24

TCP

80##

允许从10.0.0.0/24子网以HTTP协议访问XSEngine。

10.0.0.0/24

TCP

8080 (HTTP)

允许Software Update Manager (SUM)以HTTP协议访问SAP HANA。

10.0.0.0/24

TCP

8443 (HTTPS)

允许Software Update Manager (SUM)以HTTPS协议访问SAP HANA。

10.0.0.0/24

TCP

1128-1129

允许以SOAP/HTTP协议访问SAP Host Agent。

系统自动指定。

ANY

ANY

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

Outbound

ANY

ANY

ANY

系统默认创建的安全组规则。

允许SAP HANA访问全部对端。

表2 安全组规则(SAP HANA Studio)

源地址

协议

端口范围

说明

入方向

0.0.0.0/0

TCP

3389

允许租户侧网络以RDP协议,访问SAP HANA Studio。

仅在SAP HANA Studio部署在Windows上时需要创建。

0.0.0.0/0

TCP

22

允许租户侧网络以SSH协议,访问SAP HANA Studio。

仅在SAP HANA Studio部署在Linux上时需要创建。

系统自动指定。

ANY

ANY

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

出方向

ANY

ANY

ANY

系统默认创建的安全组规则。

允许SAP HANA Studio访问全部对端。

表3 安全组规则(NAT Server)

源地址

协议

端口范围

说明

Inbound

0.0.0.0/0

TCP

22

允许租户侧网络以SSH协议,访问NAT Server。

10.0.3.0/24

TCP

80 (HTTP)

允许以HTTP协议访问部署在同一VPC内的实例。

10.0.3.0/24

TCP

443 (HTTPS)

允许以HTTPS协议访问部署在同一VPC内的实例。

系统自动指定。

ANY

ANY

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

Outbound

10.0.3.0/24

TCP

22 (SSH)

允许NAT Server以SSH协议访问10.0.3.0子网。

0.0.0.0/0

TCP

80 (HTTP)

允许部署在VPC内的实例访问任意网络。

0.0.0.0/0

TCP

443 (HTTPS)

允许部署在VPC内的实例访问任意网络。

相关文档