--- title: "Déployer un SAProuter avec NSX" description: "Ce guide fournit des instructions générales sur le déploiement d'un SAProuter sur VMware on OVHcloud avec NSX" url: https://docs.ovhcloud.com/fr/guides/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter lang: fr lastUpdated: 2023-09-05 --- # Déployer un SAProuter avec NSX ## Objectif Ce guide vous détaille le déploiement d'un SAProuter sur VMware on OVHcloud avec NSX. ## Prérequis - Une solution [VMware on OVHcloud](https://www.ovhcloud.com/fr/enterprise/products/hosted-private-cloud/) avec NSX déployée dans votre compte OVHcloud. - Un accès avec les droits de gestion pour NSX. *** ### Accès à l’espace client OVHcloud - **Lien direct :** IP publiques - **Pour accéder à vos services :** Network > Adresses IP Publiques *** ## En pratique ### Configuration du Network Firewall OVHcloud propose un pare-feu paramétrable et intégré à la solution Anti-DDoS, le Network Firewall. Cette option vous permet de limiter l’exposition de votre service aux attaques provenant du réseau public. Nous vous conseillons de l'activer pour l'adresse IP publique que vous utiliserez dans cette configuration. Si vous n'avez pas créé de Network Firewall et de règles de filtrage réseau pour l'adresse IP publique de votre gateway NSX, suivez les instructions ci-dessous pour réaliser sa mise en oeuvre. Si vous êtes familier avec le Network Firewall, vous pouvez passer à l'étape 4 dédiée à la création de la règle pour le SAProuter. **Étape 1** Si vous possédez plusieurs adresses IP publiques ou services, vous pouvez soit filtrer avec les valeurs Tous les types de service et sélectionner Hosting Private Cloud (VMware), soit avec les valeurs Tous les services et sélectionner votre solution VMware on OVHcloud. Dans notre documentation [Premiers pas avec NSX](/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-first-steps.md), le chapitre [Affichage de l'adresse IP virtuelle HA VIP](/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-first-steps.md#displaying-the-ha-vip-virtual-ip-address) vous présente le moyen d'obtenir votre adresse IP publique portée par votre gateway NSX. Développez votre bloc d'adresses IPv4, sélectionnez l'adresse IPv4 utilisée par votre gateway NSX et cliquez sur Créer Firewall. ![create_firewall](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/network-firewall/1_create_firewall.png) **Étape 2** Cliquez sur Configurer le firewall pour entrer en mode édition dans votre Network Firewall. ![configure_firewall](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/network-firewall/2_configure_firewall.png) **Étape 3** Nous vous conseillons de créer 2 règles par défaut dans votre Network Firewall. Cliquez sur Ajouter une règle puis renseignez ces informations : 1. La première règle a pour paramètres : - Priorité : 0 - Action : Autoriser - Protocole : TCP - Drapeaux : ESTABLISHED Nous vous conseillons d'autoriser le protocole TCP sur toutes les adresses IP avec le drapeau `ESTABLISHED`. Cela vous permet de vérifier que le paquet fait partie d'une session précédemment ouverte/initiée. Si vous ne l'autorisez pas, le serveur ne recevra pas les retours du protocole TCP des requêtes SYN/ACK.
  1. La seconde règle a pour paramètres :
Nous vous conseillons de refuser tout trafic de protocole IPv4 qui n'a été accepté par aucune règle antérieure. ![standard_rules](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/network-firewall/3_standard_rules.png) **Étape 4** Créez la règle pour autoriser la connexion depuis les infrastructures du support SAP. Cliquez sur Ajouter une règle puis renseignez ces informations : - Priorité : 1 - Action : Autoriser - Protocole : TCP - IP source : 194.39.131.34/32 - Port de destination : 3299 - Drapeaux : Aucun ![create_rule](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/network-firewall/4_create_rule.png)Retrouvez plus d'information sur les adresses IP publiques du support SAP sur le [site du support SAP](https://support.sap.com/en/tools/connectivity-tools/saprouter/install-saprouter.html?anchorId=section_498561288). **Étape 5** Après quelques secondes, la règle est active. ![rule_3299](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/network-firewall/5_rule_3299.png) **Étape 6** Cliquez sur le bouton Retour, sélectionnez l'adresse IP où vous venez d'ajouter la règle et cliquez sur Activer le firewall. ![enable_firewall](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/network-firewall/6_enable_firewall.png) ### Configuration de la gateway NSX La gateway NSX est la passerelle entre Internet et votre infrastructure SAP hébergée sur votre solution VMware on OVHcloud. Il est nécessaire de la configurer pour permettre la connexion du support SAP à votre infrastructure SAP via le SAProuter. #### Firewall Nous vous recommandons de réaliser un filtrage réseau sur votre gateway NSX, en plus du filtrage réseau réalisé via le Network Firewall précédemment effectué. Ce filtrage réseau sur votre gateway NSX permet de sécuriser l'exposition du SAProuter en cas de désactivation du Network Firewall sur votre adresse IP publique. **Étape 1** Connectez-vous à l'interface NSX en vous rendant à l'adresse de votre solution VMware on OVHcloud, puis en cliquant sur la tuile NSX. ![nsx_interface](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/nsx/1_nsx_interface.png) **Étape 2** Cliquez sur l'onglet Sécurité, puis dans la catégorie Gestion des stratégies, cliquez sur Pare-feu de passerelle et sélectionnez votre gateway T0 « ovh-T0-xxxx ». ![nsx_firewall](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/nsx/2_nsx_firewall.png) **Étape 3** Cliquez sur Ajouter une stratégie, puis donnez lui un nom (exemple: SAP). Cette stratégie regroupera l'ensemble des règles firewall que vous pourriez avoir en lien avec SAP. Sélectionnez votre nouvelle stratégie et cliquez sur Ajouter une règle. ![nsx_firewall_policy](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/nsx/3_nsx_firewall_policy.png) **Étape 4** Saisissez les informations suivantes : - Nom : Support SAP - Source : 194.39.131.34/32 - Destination : _Adresse IP privée de votre SAProuter_ - Service : TCP - Ports de destination : 3299 - Action : Autoriser ![nsx_firewall_rule](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/nsx/4_nsx_firewall_rule.png) **Étape 5** Une fois la règle créée, cliquez sur Publier afin que les modifications soient prises en compte par la gateway NSX. #### NAT Le SAProuter ne possède pas d'adresse IP publique configurée. Vous devez appliquer la configuration pour router le trafic sur le port tcp/3299 depuis l'adresse IP publique portée par votre gateway NSX vers votre SAProuter. Pour cela, vous devez créer une règle de translation d'adresse (NAT) de destination. Cette partie vous détaille les étapes pour créer une règle NAT de destination (DNAT) sur une gateway NSX. **Étape 1** Cliquez sur l'onglet Mise en réseau, puis dans la catégorie Services réseau, cliquez sur NAT. ![nsx_nat](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/nsx/1_nsx_nat.png) **Étape 2** Sélectionnez votre gateway T0 « ovh-T0-xxxx », puis cliquez sur Ajouter une règle NAT. Veuillez saisir ces paramètres : - Nom : SAP Support - Action: DNAT - IP source : 194.39.131.34/32 - Adresse IP | Port de destination : _Adresse IP publique de votre gateway NSX_ | 3299 - Adresses IP traduites | Port : _Adresse IP privée de votre SAProuter_ | _Vide_ ![nsx_nat_rule](/images/hosted-private-cloud/sap-on-ovhcloud/cookbook-vmware-saprouter/nsx/2_nsx_nat_rule.png) **Étape 3** Une fois la règle DNAT créée, cliquez sur Publier afin que les modifications soient prises en compte par la gateway NSX. À présent, le trafic provenant de l'adresse IP publique 194.39.131.34/32 détenue par SAP à destination de l'adresse IP publique de votre gateway NSX sur le port tcp/3299 sera redirigé vers votre SAProuter. ### Installation du SAProuter Pour la réalisation de l'installation du service SAProuter sur votre machine virtuelle dédiée à cet usage, nous vous recommandons de suivre les [instructions proposées par le support SAP](https://support.sap.com/en/tools/connectivity-tools/saprouter/install-saprouter.html). Des étapes doivent être réalisées sur votre espace SAP Support LaunchPad afin de sécuriser la communication entre le support SAP et le SAProuter. Nous vous conseillons de mettre à jour régulièrement le SAProuter et de le positionner dans un réseau surveillé et isolé du réseau de votre infrastructure SAP. Le SAProuter ne doit communiquer avec votre infrastructure SAP que sur les ports nécessaires pour le support SAP. [Ce guide](/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-manage-gateway-firewall.md) détaille les options disponibles lors de la configuration de règles de filtrage réseau sur une gateway NSX. ## Aller plus loin - [Configurer le Network Firewall](/fr/guides/bare-metal-cloud/dedicated-servers/firewall-network.md) - [Instructions pour installer un SAProuter](https://support.sap.com/en/tools/connectivity-tools/saprouter/install-saprouter.html) - [Gestion du pare-feu des passerelles dans NSX](/fr/guides/hosted-private-cloud/powered-by-vmware/nsx-manage-gateway-firewall.md) Si vous avez besoin d'une formation ou d'une assistance technique pour la mise en oeuvre de nos solutions, contactez votre commercial ou cliquez sur [ce lien](https://www.ovhcloud.com/fr/professional-services/) pour obtenir un devis et demander une analyse personnalisée de votre projet à nos experts de l’équipe Professional Services. Échangez avec notre [communauté d'utilisateurs](https://community.ovhcloud.com/community/fr).