Installieren von SAP NetWeaver mit Hochverfügbarkeit mit Azure Files SMB

Microsoft und SAP unterstützen jetzt vollständig Azure Files Premium Server Message Block (SMB)-Dateifreigaben. SAP Software Provisioning Manager (SWPM) 1.0 SP32 und SWPM 2.0 SP09 (und höher) unterstützen Azure Files Premium SMB Storage.

Es gibt spezielle Anforderungen für die Größenanpassung von Azure Files Premium-SMB-Freigaben. Dieser Artikel enthält spezifische Empfehlungen zum Verteilen von Workloads, auswählen eine angemessene Speichergröße und die Mindestinstallationsanforderungen für Azure Files Premium-SMB.

Sap-Lösungen mit hoher Verfügbarkeit (HA) benötigen eine hoch verfügbare Dateifreigabe zum Hosten von Sapmnt-, Transport- und Schnittstellenverzeichnissen . Azure Files Premium SMB ist eine einfache Azure-Plattform als Dienstlösung (PaaS) für gemeinsam genutzte Dateisysteme für SAP in Windows-Umgebungen. Sie können Azure Files Premium-SMB mit Verfügbarkeitssätzen und Verfügbarkeitszonen verwenden. Sie können auch Azure Files Premium-SMB für Notfallwiederherstellungsszenarien (DR) für eine andere Region verwenden.

Hinweis

Das Gruppieren von SAP ASCS/SCS-Instanzen über eine Dateifreigabe wird für SAP-Systeme mit SAP Kernel 7.22 (und höher) unterstützt. Weitere Informationen finden Sie unter SAP Note 2698948.

Größenanpassung und Verteilung von Azure Files Premium-SMB für SAP-Systeme

Bewerten Sie die folgenden Punkte, wenn Sie die Bereitstellung von Azure Files Premium-SMB planen:

  • Der Dateifreigabename sapmnt kann einmal pro Speicherkonto erstellt werden. Es ist möglich, zusätzliche Speicher-IDs (SIDs) als Verzeichnisse auf derselben /sapmnt-Freigabe zu erstellen, z. B. /sapmnt/<SID1> und /sapmnt/<SID2>.
  • Wählen Sie eine geeignete Größe, IOPS und den Durchsatz aus. Eine vorgeschlagene Größe für die Freigabe beträgt 256 GB pro SID. Die maximale Größe für eine Freigabe beträgt 5.120 GB.
  • Azure Files Premium-SMB kann für sehr große Sapmnt-Freigaben mit mehr als 1 Millionen Dateien pro Speicherkonto nicht gut funktionieren.  Kunden, die Millionen von Batchaufträgen haben, die Millionen von Auftragsprotokolldateien erstellen, sollten sie regelmäßig neu organisieren, wie in SAP Note 16083 beschrieben. Bei Bedarf können Sie alte Auftragsprotokolle in eine andere Azure Files Premium-SMB-Dateifreigabe verschieben oder archivieren. Wenn Sie erwarten, dass sapmnt sehr groß ist, sollten Sie andere Optionen (z. B. Azure NetApp Files) in Betracht ziehen.
  • Es wird empfohlen, einen privaten Netzwerkendpunkt zu verwenden.
  • Vermeiden Sie zu viele SIDs in einem einzigen Speicherkonto und deren Dateifreigabe.
  • Als allgemeine Anleitung fügen Sie nicht mehr als vier nichtproduktionische SIDs zusammen.
  • Platzieren Sie das gesamte Entwicklungs-, Produktions- und Qualitätssicherungssystem (Quality Assurance System, QAS) nicht in einem Speicherkonto oder einer Dateifreigabe. Fehler der Aktie führen zu Ausfallzeiten der gesamten SAP-Landschaft.
  • Es wird empfohlen, die Sapmnt - und Transportverzeichnisse in verschiedenen Speicherkonten zu platzieren, mit Ausnahme kleinerer Systeme. Während der Installation des primären SAP-Anwendungsservers fordert SAPinst den Transporthostnamen an. Geben Sie den FQDN eines anderen Speicherkontos als <storage_account.file.core.windows.net> ein.
  • Legen Sie das Dateisystem, das für Schnittstellen verwendet wird, nicht auf dasselbe Speicherkonto wie /sapmnt/<SID> ein.
  • Sie müssen die SAP-Benutzer und -Gruppen zur sapmnt-Freigabe hinzufügen. Legen Sie die Berechtigung "SMB-Freigabe mit erhöhten Mitwirkenden" für die Speicherdatei im Azure-Portal fest.

Durch die Verteilung von Transport, Schnittstelle und Sapmnt zwischen separaten Speicherkonten wird der Durchsatz und die Resilienz verbessert. Außerdem wird die Leistungsanalyse vereinfacht. Wenn Sie viele SIDs und andere Dateisysteme in einem einzigen Azure Files-Speicherkonto ablegen und die Leistung des Speicherkontos schlecht ist, da Sie die Durchsatzgrenzwerte erreicht haben, ist es schwierig zu identifizieren, welche SID oder Anwendung das Problem verursacht.

Planung

Wichtig

Die Installation von SAP HA-Systemen auf Azure Files Premium SMB mit Active Directory-Integration erfordert teamübergreifende Zusammenarbeit. Es wird empfohlen, dass die folgenden Teams zusammenarbeiten, um Aufgaben zu erreichen:

  • Azure-Team: Einrichten und Konfigurieren von Speicherkonten, Skriptausführung und Active Directory-Synchronisierung.
  • Active Directory-Team: Erstellen von Benutzerkonten und Gruppen.
  • Basisteam: Führen Sie SWPM aus, und legen Sie bei Bedarf Zugriffssteuerungslisten (Access Control Lists, ACLs) fest.

Hier sind die Voraussetzungen für die Installation von SAP NetWeaver HA-Systemen auf Azure Files Premium SMB mit Active Directory-Integration:

  • Verbinden Sie die SAP-Server mit einem Active Directory Standard.
  • Replizieren Sie die Active Directory-Do Standard, die die SAP-Server enthält, mithilfe von Microsoft Entra Verbinden auf Microsoft Entra-ID.
  • Stellen Sie sicher, dass sich mindestens ein Active Directory Standard-Controller im Azure-Querformat befindet, um zu vermeiden, dass Azure ExpressRoute zur Kontaktaufnahme verwendet wird Standard Controller lokal.
  • Stellen Sie sicher, dass das Azure-Support Team die Dokumentation für Azure Files SMB mit Active Directory-Integration überprüft. Das Video zeigt zusätzliche Konfigurationsoptionen, die aus Vereinfachungsgründen geändert (DNS) und übersprungen (DFS-N) wurden. Dies sind jedoch gültige Konfigurationsoptionen.
  • Stellen Sie sicher, dass der Benutzer, der das Azure Files PowerShell-Skript ausführt, über die Berechtigung zum Erstellen von Objekten in Active Directory verfügt.
  • Verwenden Sie SWPM Version 1.0 SP32 und SWPM 2.0 SP09 oder höher für die Installation. Der SAPinst-Patch muss 749.0.91 oder höher sein.
  • Installieren Sie eine aktuelle Version von PowerShell auf der Windows Server-Instanz, in der das Skript ausgeführt wird.

Reihenfolge der Installation

Erstellen von Benutzern und Gruppen

Der Active Directory-Administrator sollte im Voraus drei do Standard Benutzer mit lokalen Administratorrechten und einer globalen Gruppe in der lokalen Windows Server Active Directory-Instanz erstellen.

SAPCONT_ADMIN@SAPCONTOSO.localverfügt über Do Standard Administratorrechte und wird verwendet, um SAPinst, sid adm und SAPService<SID> als SAP-Systembenutzer und die gruppe SAP_<SAPSID>_GlobalAdmin auszuführen.>< Der SAP-Installationsleitfaden enthält die spezifischen Details, die für diese Konten erforderlich sind.

Hinweis

SAP-Benutzerkonten sollten nicht Domänenadministrator sein. Es wird in der Regel empfohlen, saPinst nicht <mit sid>adm auszuführen.

Überprüfen des Synchronisierungsdienst-Managers

Der Active Directory-Administrator oder Azure-Administrator sollte den Synchronisierungsdienst-Manager in Microsoft Entra Verbinden überprüfen. Standardmäßig dauert es etwa 30 Minuten, bis die Replikation auf die Microsoft Entra-ID erfolgt.

Erstellen eines Speicherkontos, eines privaten Endpunkts und einer Dateifreigabe

Die folgenden Aufgaben sollten vom Azure-Administrator durchgeführt werden:

  1. Erstellen Sie auf der Registerkarte "Grundlagen " ein Speicherkonto mit premium zonenredundanten Speicher (ZRS) oder lokal redundantem Speicher (LRS). Kunden mit zonaler Bereitstellung sollten ZRS auswählen. Hier muss der Administrator die Wahl zwischen der Einrichtung eines Standard - oder Premium-Kontos treffen.

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Wichtig

    Für die Produktionsverwendung empfehlen wir die Auswahl eines Premium-Kontos . Bei Nichtproduktionsverwendung sollte ein Standardkonto ausreichen.

  2. Auf der Registerkarte "Erweitert " sollten die Standardeinstellungen "OK" sein.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. Auf der Registerkarte "Netzwerk " trifft der Administrator die Entscheidung, einen privaten Endpunkt zu verwenden.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Wählen Sie "Privaten Endpunkt für das Speicherkonto hinzufügen" aus, und geben Sie dann die Informationen zum Erstellen eines privaten Endpunkts ein.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. Fügen Sie bei Bedarf einen DNS-A-Eintrag in Windows DNS für <storage_account_name>.file.core.windows.net. (Dies muss sich möglicherweise in einer neuen DNS-Zone befinden.) Besprechen Sie dieses Thema mit dem DNS-Administrator. Die neue Zone sollte nicht außerhalb einer Organisation aktualisiert werden.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Erstellen Sie die sapmnt-Dateifreigabe mit einer geeigneten Größe. Die vorgeschlagene Größe beträgt 256 GB, die 650 IOPS, 75 MB/Sek. und 50 MB/Sek. in den Ausgang liefert.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Laden Sie den GitHub-Inhalt von Azure Files herunter, und führen Sie das Skript aus.

    Dieses Skript erstellt entweder ein Computerkonto oder ein Dienstkonto in Active Directory. Es bestehen folgende Anforderungen:

    • Der Benutzer, der das Skript ausführt, muss über die Berechtigung zum Erstellen von Objekten in Active Directory verfügen Standard die die SAP-Server enthält. In der Regel verwendet eine Organisation ein Do Standard Administratorkonto wie SAPCONT_ADMIN@SAPCONTOSO.localz. B. .
    • Bevor der Benutzer das Skript ausführt, vergewissern Sie sich, dass dieses Active Directory Standard Benutzerkonto mit Microsoft Entra-ID synchronisiert wird. Ein Beispiel hierfür wäre, die Azure-Portal zu öffnen und zu Microsoft Entra-Benutzern zu wechseln, zu überprüfen, ob der Benutzer SAPCONT_ADMIN@SAPCONTOSO.local vorhanden ist, und überprüfen Sie das Microsoft Entra-Benutzerkonto.
    • Gewähren Sie der Rolle "Mitwirkender rollenbasierte Zugriffssteuerung" (RBAC) dieses Microsoft Entra-Benutzerkontos für die Ressourcengruppe, die das Speicherkonto enthält, das die Dateifreigabe enthält. In diesem Beispiel wird dem Benutzer SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com die Rolle "Mitwirkender" für die jeweilige Ressourcengruppe gewährt.
    • Der Benutzer sollte das Skript ausführen, während er bei einer Windows Server-Instanz angemeldet ist, indem er ein Active Directory verwendet Standard Benutzerkonto mit der Berechtigung wie zuvor angegeben.

    In diesem Beispielszenario meldet sich der Active Directory-Administrator bei der Windows Server-Instanz als SAPCONT_ADMIN@SAPCONTOSO.local. Wenn der Administrator den PowerShell-Befehl Connect-AzAccountverwendet, stellt der Administrator eine Verbindung als Benutzer SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.comherstellt. Im Idealfall sollte der Active Directory-Administrator und der Azure-Administrator an dieser Aufgabe zusammenarbeiten.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Wichtig

    Wenn ein Benutzer den PowerShell-Skriptbefehl Connect-AzAccountausführt, wird dringend empfohlen, das Microsoft Entra-Benutzerkonto einzugeben, das dem Active Directory entspricht Standard Benutzerkonto, das zum Anmelden bei einer Windows Server-Instanz verwendet wurde.

    Nachdem das Skript erfolgreich ausgeführt wurde, wechseln Sie zu "Speicherdateifreigaben>", und stellen Sie sicher, dass Active Directory: Konfiguriert angezeigt wird.

  6. Weisen Sie SAP-Benutzer <sid>adm und SAPService<SID> und die Gruppe SAP_<SAPSID>_GlobalAdmin der Azure Files Premium-SMB-Dateifreigabe zu. Wählen Sie die Rollenspeicherdateidaten-SMB-Freigabe mit erhöhten Rechten im Azure-Portal aus.

  7. Überprüfen Sie die ACL auf der sapmnt-Dateifreigabe nach der Installation. Fügen Sie dann das KONTO DOMÄNE\CLUSTER_NAME$ hinzu, domäne\<sid>adm-Konto , DOMAIN\SAPService<SID-Konto> und SAP_<SID>_GlobalAdmin Gruppe. Diese Konten und Gruppen sollten die vollständige Kontrolle über das sapmnt-Verzeichnis haben.

    Wichtig

    Führen Sie diesen Schritt vor der SAPinst-Installation aus. Es ist schwierig oder unmöglich, ACLs zu ändern, nachdem SAPinst Verzeichnisse und Dateien auf der Dateifreigabe erstellt hat.

    Die folgenden Screenshots zeigen, wie Computercomputerkonten hinzugefügt werden.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    Sie können das KONTO DOMÄNE\CLUSTER_NAME$ finden, indem Sie "Computer" unter "Objekttypen" auswählen.

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. Verschieben Sie bei Bedarf das für Azure Files erstellte Computerkonto in einen Active Directory-Container, der keinen Kontoablauf hat. Der Name des Computerkontos ist der kurze Name des Speicherkontos.

    Wichtig

    Um die Windows-ACL für die SMB-Freigabe zu initialisieren, stellen Sie die Freigabe einmal in einen Laufwerkbuchstaben ein.

    Der Speicherschlüssel ist das Kennwort, und der Benutzer ist Azure\<SMB-Freigabename>.

    Windows screenshot of the one-time mount of the SMB share.

Sap-Basisaufgaben abschließen

Ein SAP-Basisadministrator sollte diese Aufgaben ausführen:

  1. Installieren Sie den Windows-Cluster auf ASCS/ERS-Knoten, und fügen Sie den Cloudzeugen hinzu.
  2. Die erste Clusterknoteninstallation fordert den Namen des SMB-Speicherkontos von Azure Files an. Geben Sie den FQDN <storage_account_name>.file.core.windows.netein. Wenn SAPinst nicht mehr als 13 Zeichen akzeptiert, ist die SWPM-Version zu alt.
  3. Ändern des SAP-Profils der ASCS/SCS-Instanz
  4. Aktualisieren Sie den Probeport für die SAP <SID-Rolle> im Windows Server-Failovercluster (WSFC).
  5. Fahren Sie mit der SWPM-Installation für den zweiten ASCS/ERS-Knoten fort. SWPM erfordert nur den Pfad des Profilverzeichnisses. Tragen Sie den vollständigen UNC-Pfad zum Profilverzeichnis ein.
  6. Geben Sie den UNC-Profilpfad für die Datenbank und für die Installation des primären Anwendungsservers (PAS) und des zusätzlichen Anwendungsservers (AAS) ein.
  7. Die PAS-Installation fordert den Namen des Transporthosts an. Geben Sie den FQDN eines separaten Speicherkontonamens für das Transportverzeichnis an.
  8. Überprüfen Sie die ACLs im SID- und Transportverzeichnis .

Einrichtung der Notfallwiederherstellung

Azure Files Premium-SMB unterstützt Notfallwiederherstellungsszenarien und regionsübergreifende Replikationsszenarien. Alle Daten in Azure Files Premium-SMB-Verzeichnissen können kontinuierlich mit dem Speicherkonto einer DR-Region synchronisiert werden. Weitere Informationen finden Sie im Verfahren zum Synchronisieren von Dateien in Übertragungsdaten mit AzCopy und Dateispeicher.

Ändern Sie nach einem DR-Ereignis und einem Failover der ASCS-Instanz in den DR-Bereich den SAPGLOBALHOST Profilparameter, um auf azure Files SMB in der DR-Region zu verweisen. Führen Sie dieselben Vorbereitungsschritte für das DR-Speicherkonto aus, um das Speicherkonto mit Active Directory zu verbinden und RBAC-Rollen für SAP-Benutzer und -Gruppen zuzuweisen.

Problembehandlung

Die zuvor heruntergeladenen PowerShell-Skripts enthalten ein Debugskript, um grundlegende Überprüfungen zur Überprüfung der Konfiguration durchzuführen.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Hier sehen Sie einen PowerShell-Screenshot der Ausgabe des Debugskripts.

Screenshot of the PowerShell script to validate configuration.

Der folgende Screenshot zeigt die technischen Informationen zum Überprüfen einer erfolgreichen Durchführung Standard Beitreten.

Screenshot of the PowerShell script to retrieve technical info.

Optionale Konfigurationen

Die folgenden Diagramme zeigen mehrere SAP-Instanzen auf Azure-VMs, auf denen Windows Server-Failovercluster ausgeführt wird, um die Gesamtanzahl der virtuellen Computer zu verringern.

Diese Konfiguration kann entweder lokale SAP-Anwendungsserver auf einem SAP ASCS/SCS-Cluster oder eine SAP ASCS/SCS-Clusterrolle auf Microsoft SQL Server AlwaysOn-Knoten sein.

Wichtig

Das Installieren eines lokalen SAP-Anwendungsservers auf einem SQL Server Always On-Knoten wird nicht unterstützt.

Sowohl SAP ASCS/SCS als auch die Microsoft SQL Server-Datenbank sind einzelne Fehlerpunkte (SPOFs). Die Verwendung von Azure Files SMB trägt zum Schutz dieser SPOFs in einer Windows-Umgebung bei.

Obwohl der Ressourcenverbrauch des SAP ASCS/SCS relativ gering ist, empfehlen wir eine Reduzierung der Speicherkonfiguration um 2 GB für SQL Server oder den SAP-Anwendungsserver.

SAP-Anwendungsserver auf WSFC-Knoten mit Azure Files SMB

Das folgende Diagramm zeigt lokal installierte SAP-Anwendungsserver.

Diagram of a high-availability setup with additional application servers.

Hinweis

Das Diagramm zeigt die Verwendung zusätzlicher lokaler Datenträger. Dieses Setup ist optional für Kunden, die keine Anwendungssoftware auf dem Betriebssystemlaufwerk (Laufwerk C) installieren.

SAP ASCS/SCS auf SQL Server Always On-Knoten mit Azure Files SMB

Das folgende Diagramm zeigt Azure Files SMB mit lokaler SQL Server-Einrichtung.

Wichtig

Die Verwendung von Azure Files SMB für jedes SQL Server-Volume wird nicht unterstützt.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Hinweis

Das Diagramm zeigt die Verwendung zusätzlicher lokaler Datenträger. Dieses Setup ist optional für Kunden, die keine Anwendungssoftware auf dem Betriebssystemlaufwerk (Laufwerk C) installieren.