SF-HCI-SAP问题收集22 内外网映射

复制代码

导读

外网映射:SAP与Successfactors数据集成主要分三类,一类是ptp、一类是cpi、一类是自定义开发,PTP的两个系统都是在外网,所以不涉及网络映射的问题,另外两类都涉及到内网到外网的情况,今天分享是是提示SSL证书问题,实际是网络授权的问题。

作者:vivi,来源:osinnovation

1 故事背景

从泰国回来,忽然接到一个case就是SAP无法抽取SF的数据,正好在泰国的时候也遇到一个客户的问题,说sap无法抽取数据,当时看是提示就是证书的问题,于是更新CPI的证书到SAP系统,系统就没有报错,开始我以为这个客户也是相同的问题,所以也导入证书,但是还是提示SSL错误。因为是生产环境,所以也不好导入其他证书。

2 分析问题

因为生产环境管理很严格,什么权限都没有,所以很多问题无法判断,遇到这个问题其实第一步还是smicm把日志级别调整成2,详细看看报错的原因,经过和basis协商,终于给我把级别调整成2,查看日志发现日志中有一个信息ssslrc_conn_close(-10),看到这个反应就是网络可能关闭,内网的消息无法发送出去,从内网到外网一般有这么几种方式:方式一通过代理,有一台代理服务器,可以访问外网也能访问内网,S4发出消息的时候不直接发外网,而是先到这个代理服务器,然后通过代理服务器到外网,另外一个方式是开放白名单,运行S4访问外网特定的IP。初步判断使用的是方式二,所以就要去和网络的人沟通,是否防火墙限制访问CPI系统。经过网络同事定位发现,CPI的是信任的,cpi是云系统,所以没有固定的IP只有一个ip范围,然后查到的是范围121.91.109.0/24,每个服务中心不一样。现在陷入死胡同,一边是无法访问,一边是已经开通。

遇到这样的情况应该如何处理,首先可以先设置一个SM59,我们直接连接CPI的服务器,如果sm59能通说明网络没问题。但是发现还是不能连接外网,提示网络不通,所以到这步就能确定是网络的的问题,但是如何证明是网络的问题。

于是乎找另外一个已经配置CPI的环境,我去配置下SM59,如果能通就是网络的问题。后来发现另外一个环境SM59没问题,cpi也能收到一个错误的消息。但是网络的同事还是说没问题。这个又尴尬啦。

这个时候只要找SAP站台拉。给SAP发送ticket说明问题,经过SAP的分析,也是说防火墙设置问题,然后给一个note,通过note描述发现和系统的SMICM是一样的描述。然后把SAP返回的消息给网络同事看,还是说没问题。问题似乎又陷入死局。后来想到在去年在学校涉及的一些网络指令。一个是telnet的命令,发现果然不通,一般这个命令需要在OS环境执行,SAP程序中有个程序可以执行linux,程序名字RSBDCOS0

错误的样式

正确的样式

这个时候才定位发现,因为SAP系统有5个节点,其中有一个节点没有开放外网访问的权限,导致系统的消息无法发送出去。如果服务器没有安装telnet,还可有用用一个开源的工具curl去测试网络是否通。测试结果如下:这个工具是java,所以需要配置环境变量,具体操作可以参考其他文档。

相关推荐
小猿姐5 小时前
唯品会大规模数据库云原生实践:基于 KubeBlocks 管理数千实例的统一运维之路
运维·elasticsearch·云原生
SkyWalking中文站18 小时前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维
SkyWalking中文站2 天前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
雪梨酱QAQ2 天前
Kubeneters HA Cluster部署
运维
江华森2 天前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维
江华森2 天前
Matplotlib 数据绘图基础入门
运维
江华森2 天前
NumPy 数值计算基础入门
运维
乘云数字DATABUFF6 天前
5分钟部署开源APM Databuff:OpenTelemetry全链路追踪入门实战
运维·后端
荣--8 天前
一键部署不是为了省时间 —— 它是把"买来的 PaaS"变成"自己的平台"的拐点
运维·zabbix·工程化·一键部署·平台化·边界设计
江华森8 天前
动手实战学 Docker — 从零到集群编排完全指南
运维