Arquitetura de rede SAP HANA (Large Instances)

  • Artigo

Neste artigo, examinaremos a arquitetura de rede para implantar o SAP HANA em instâncias grandes do Azure (também conhecido como infraestrutura baremetal).

A arquitetura dos serviços de rede do Azure é um componente fundamental da implantação bem-sucedida de aplicativos SAP no HANA Large Instance. Normalmente, as implantações do SAP HANA no Azure (instâncias grandes) têm um cenário SAP maior. Eles provavelmente incluem várias soluções SAP com tamanhos variados de bancos de dados, consumo de recursos de CPU e uso de memória.

É provável que nem todos os sistemas de TI já estejam localizados no Azure. Seu cenário SAP também pode ser híbrido. Seu sistema de gerenciamento de banco de dados (DBMS) e aplicativo SAP podem usar uma mistura de NetWeaver, S/4HANA e SAP HANA. Seu aplicativo SAP pode até usar outro DBMS.

O Azure oferece diferentes serviços que permitem executar os sistemas DBMS, NetWeaver e S/4HANA no Azure. O Azure oferece tecnologia de rede para fazer com que o Azure pareça um data center virtual para suas implantações de software locais. A funcionalidade de rede do Azure inclui:

  • Redes virtuais do Azure conectadas ao circuito de Rota Expressa que se conecta aos seus ativos de rede locais.
  • Um circuito de Rota Expressa que se conecta localmente ao Azure com uma largura de banda mínima de 1 Gbps ou superior. Esse circuito permite largura de banda adequada para a transferência de dados entre sistemas locais e sistemas executados em máquinas virtuais (VMs). Ele também permite largura de banda adequada para conexão com sistemas do Azure de usuários locais.
  • Todos os sistemas SAP no Azure configurados em redes virtuais para se comunicarem entre si.
  • O Ative Directory e o DNS hospedado no local são estendidos para o Azure por meio da Rota Expressa local. Eles também podem ser executados completamente no Azure.

Ao integrar as Grandes Instâncias HANA na malha de rede do data center do Azure, a tecnologia Azure ExpressRoute também é usada.

Nota

Apenas uma assinatura do Azure pode ser vinculada a apenas um locatário em um carimbo de Instância Grande do HANA em uma região específica do Azure. Por outro lado, um único locatário de carimbo de Instância Grande do HANA pode ser vinculado a apenas uma assinatura do Azure. Esse requisito é consistente com outros objetos faturáveis no Azure.

Se o SAP HANA no Azure (Instâncias Grandes) for implantado em várias regiões do Azure, um locatário separado será implantado no carimbo HANA Large Instance. Você pode executar ambos na mesma assinatura do Azure, desde que essas instâncias façam parte do mesmo cenário SAP.

Importante

Somente o método de implantação do Azure Resource Manager é suportado com o SAP HANA no Azure (Instâncias Grandes).

Informações extras da rede virtual

Para conectar uma rede virtual à Rota Expressa, um gateway de Rota Expressa do Azure deve ser criado. Para obter mais informações, consulte Sobre gateways de rota expressa para Rota Expressa.

Um gateway de Rota Expressa do Azure é usado com a Rota Expressa para uma infraestrutura fora do Azure ou para um carimbo de Instância Grande do Azure. Você pode conectar o gateway de Rota Expressa do Azure a um máximo de quatro circuitos de Rota Expressa, mas somente se essas conexões vierem de MSEEs (Enterprise Edge Routers) diferentes. Para obter mais informações, consulte Infraestrutura e conectividade do SAP HANA (Grandes Instâncias) no Azure.

Nota

A taxa de transferência máxima que você pode alcançar com um gateway de Rota Expressa é de 10 Gbps usando uma conexão de Rota Expressa. A cópia de arquivos entre uma VM que reside em uma rede virtual e um sistema local (como um fluxo de cópia única) não atinge a taxa de transferência completa das diferentes SKUs de gateway. Para aproveitar toda a largura de banda do gateway da Rota Expressa, use vários fluxos ou copie arquivos diferentes em fluxos paralelos de um único arquivo.

Arquitetura de rede para HANA Large Instance

A arquitetura de rede para instâncias grandes do HANA pode ser separada em quatro partes:

  • Rede local e conexão de Rota Expressa com o Azure. Esta parte é o seu domínio (do cliente) e está ligada ao Azure através da Rota Expressa. Este circuito de Rota Expressa é totalmente pago por si. A largura de banda deve ser grande o suficiente para lidar com o tráfego de rede entre seus ativos locais e a região do Azure com a qual você está se conectando. Veja o canto inferior direito na figura a seguir.
  • Serviços de rede do Azure, conforme discutido anteriormente, com redes virtuais, que novamente precisam de gateways de Rota Expressa adicionados. Para esta parte, você precisa criar os designs apropriados para atender aos requisitos de aplicativo, segurança e conformidade. Considere se deve usar as Instâncias Grandes do HANA, dado o número de redes virtuais e SKUs de gateway do Azure para escolher. Veja o canto superior direito na figura.
  • Conectividade de sua instância grande do HANA por meio da Rota Expressa no Azure. Esta parte é implantada e tratada pela Microsoft. Tudo o que você precisa fazer é fornecer alguns intervalos de endereços IP depois de implantar seus ativos na Instância Grande do HANA e conectar o circuito ExpressRoute às redes virtuais. Para obter mais informações, consulte Infraestrutura e conectividade do SAP HANA (Grandes Instâncias) no Azure. Não há nenhuma taxa adicional para a conectividade entre a malha de rede do data center do Azure e as unidades HANA Large Instance.
  • Rede dentro do selo HANA Large Instance, que é principalmente transparente para você.

Rede virtual conectada ao SAP HANA no Azure (Grandes Instâncias) e local

Os dois requisitos a seguir ainda são válidos, mesmo que você use Hana Large Instances:

  • Seus ativos locais devem se conectar por meio da Rota Expressa ao Azure.
  • Você precisa de uma ou mais redes virtuais que executam suas VMs. Essas VMs hospedam a camada de aplicativo que se conecta às instâncias HANA hospedadas em instâncias grandes do HANA.

As diferenças nas implantações SAP no Azure são:

  • As Instâncias Grandes HANA do seu locatário são conectadas através de outro circuito de Rota Expressa em suas redes virtuais. Os circuitos ExpressRoute da rede virtual local para o Azure e os circuitos entre as redes virtuais do Azure e as Instâncias Grandes do HANA não compartilham os mesmos roteadores. As suas condições de carga permanecem separadas.
  • O perfil da carga de trabalho entre a camada de aplicativo SAP e a instância grande do HANA é de natureza diferente. O SAP HANA gera muitas pequenas solicitações e bursts, como transferências de dados (conjuntos de resultados) para a camada de aplicativos.
  • A arquitetura do aplicativo SAP é mais sensível à latência da rede do que os cenários típicos em que os dados são trocados entre o local e o Azure.
  • O gateway da Rota Expressa do Azure tem pelo menos duas conexões de Rota Expressa. Um circuito está conectado a partir do local e outro está conectado a partir da HANA Large Instance. Essa configuração deixa espaço apenas para que mais dois circuitos de MSEEs diferentes se conectem ao ExpressRoute Gateway. Essa restrição é independente do uso do ExpressRoute FastPath. Todos os circuitos conectados compartilham a largura de banda máxima para dados de entrada do gateway da Rota Expressa.

Com a Revisão 3 dos carimbos de Instância Grande do HANA, a latência de rede entre VMs e unidades de Instância Grande do HANA pode ser maior do que as latências de ida e volta de rede VM-to-VM típicas. Dependendo da região do Azure, os valores podem exceder a latência de ida e volta de 0,7 ms classificada como abaixo da média no SAP Nota #1100926 - FAQ: Desempenho da rede. Dependendo da Região do Azure e da ferramenta para medir a latência de ida e volta da rede entre uma VM do Azure e uma Instância Grande do HANA, a latência pode ser de até 2 milissegundos. Ainda assim, os clientes implantam com sucesso aplicativos SAP de produção baseados em SAP HANA em instâncias grandes do SAP HANA. Certifique-se de testar completamente seus processos de negócios com as Instâncias Grandes do Azure HANA. Uma nova funcionalidade, chamada ExpressRoute FastPath, pode reduzir substancialmente a latência de rede entre instâncias grandes do HANA e VMs da camada de aplicativo no Azure (veja abaixo).

A revisão 4 dos carimbos de Instância Grande do HANA melhora a latência da rede entre VMs do Azure implantadas na proximidade do carimbo de Instância Grande do HANA. A latência atende à classificação média ou melhor do que a média, conforme documentado no SAP Nota #1100926 - Perguntas frequentes: Desempenho da rede se o Azure ExpressRoute FastPath estiver configurado (veja abaixo).

Para implantar VMs do Azure na proximidade de Instâncias Grandes do HANA da Revisão 4, você precisa aplicar os Grupos de Posicionamento de Proximidade do Azure. Os grupos de posicionamento de proximidade podem ser usados para localizar a camada de aplicativo SAP no mesmo datacenter do Azure que as Instâncias Grandes HANA hospedadas na Revisão 4. Para obter mais informações, consulte Grupos de posicionamento de proximidade do Azure para latência de rede ideal com aplicativos SAP.

Para fornecer latência de rede determinística entre VMs e HANA Large Instance, usar o SKU do gateway ExpressRoute é essencial. Ao contrário dos padrões de tráfego entre VMs locais e VMs, os padrões de tráfego entre VMs e Instâncias Grandes HANA podem desenvolver pequenas mas altas explosões de solicitações e volumes de dados. Para lidar com essas explosões, é altamente recomendável usar o SKU do gateway UltraPerformance. Para a classe Tipo II de SKUs de instância grande HANA, o uso da SKU do gateway UltraPerformance como um gateway de Rota Expressa é obrigatório.

Importante

Dado o tráfego de rede geral entre o aplicativo SAP e as camadas de banco de dados, apenas as SKUs de gateway HighPerformance ou UltraPerformance para redes virtuais são suportadas para conexão com o SAP HANA no Azure (Instâncias Grandes). Para SKUs HANA Large Instance Tipo II, somente o SKU do gateway UltraPerformance é suportado como um gateway ExpressRoute. Exceções se aplicam ao usar o ExpressRoute FastPath (veja abaixo).

ExpressRoute FastPath

Em maio de 2019, lançamos o ExpressRoute FastPath. O FastPath reduz a latência entre as Instâncias Grandes do HANA e as redes virtuais do Azure que hospedam as VMs do aplicativo SAP. Com o FastPath, os fluxos de dados entre VMs e instâncias grandes do HANA não são roteados pelo gateway da Rota Expressa. As VMs atribuídas na(s) sub-rede(s) da rede virtual do Azure se comunicam diretamente com o roteador de borda corporativo dedicado.

Importante

O ExpressRoute FastPath requer que as sub-redes que executam as VMs do aplicativo SAP estejam na mesma rede virtual do Azure conectada às instâncias grandes do HANA. As VMs localizadas em redes virtuais do Azure emparelhadas com a rede virtual do Azure conectadas às unidades de Instância Grande HANA não se beneficiam do ExpressRoute FastPath. Como resultado, projetos típicos de rede virtual hub e spoke, onde os circuitos ExpressRoute se conectam a uma rede virtual de hub e redes virtuais contendo a camada de aplicativo SAP (spokes) são emparelhados, a otimização pelo ExpressRoute FastPath não funcionará. Atualmente, o ExpressRoute FastPath também não oferece suporte a UDR (regras de roteamento definidas pelo usuário). Para obter mais informações, consulte Gateway de rede virtual ExpressRoute e FastPath.

Para obter mais informações sobre como configurar o ExpressRoute FastPath, consulte Conectar uma rede virtual a instâncias grandes do HANA.

Nota

Um gateway UltraPerformance ExpressRoute é necessário para usar o ExpressRoute FastPath.

Sistema SAP único

A infraestrutura local mostrada anteriormente é conectada por meio da Rota Expressa ao Azure. O circuito ExpressRoute liga-se a um MSEE. Para obter mais informações, consulte Visão geral técnica da Rota Expressa. Depois que a rota é estabelecida, ela se conecta ao backbone do Azure.

Nota

Para executar cenários SAP no Azure, conecte-se ao roteador de borda empresarial mais próximo da região do Azure no cenário SAP. Os carimbos de Instância Grande do HANA são conectados por meio de roteadores de borda corporativos dedicados para minimizar a latência da rede entre VMs nos carimbos de Instância Grande do Azure IaaS e HANA.

O gateway ExpressRoute para as VMs que hospedam instâncias de aplicativos SAP está conectado a um circuito ExpressRoute que se conecta ao local. A mesma rede virtual está conectada a um roteador de borda corporativo separado. Esse roteador de borda é dedicado à conexão a selos de instância grande. Novamente, com o FastPath, o fluxo de dados das instâncias grandes do HANA para as VMs da camada de aplicativos SAP não é roteado pelo gateway da Rota Expressa. Essa configuração reduz a latência de ida e volta da rede.

Este sistema é um exemplo simples de um único sistema SAP. A camada de aplicativo SAP é hospedada no Azure. O banco de dados do SAP HANA é executado no SAP HANA no Azure (instâncias grandes). A suposição é que a largura de banda do gateway ExpressRoute de taxa de transferência de 2 Gbps ou 10 Gbps não representa um gargalo.

Vários sistemas SAP ou grandes sistemas SAP

Se você implantar vários sistemas SAP ou grandes sistemas SAP conectando-se ao SAP HANA (Large Instances), a taxa de transferência do gateway ExpressRoute poderá se tornar um gargalo. Nesse caso, divida as camadas do aplicativo em várias redes virtuais. Você também pode dividir as camadas de aplicativo se quiser isolar sistemas de produção e não produção em diferentes redes virtuais do Azure.

Você pode criar uma rede virtual especial que se conecta a instâncias grandes do HANA quando:

  • Fazer backups diretamente das instâncias HANA em uma Instância Grande do HANA para uma VM no Azure que hospeda compartilhamentos NFS.
  • Copiar backups grandes ou outros arquivos de instâncias grandes do HANA para o espaço em disco gerenciado no Azure.

Use uma rede virtual separada para hospedar VMs que gerenciam o armazenamento para transferência em massa de dados entre as Instâncias Grandes do HANA e o Azure. Essa disposição evita a transferência de arquivos ou dados grandes de instâncias grandes do HANA para o Azure no gateway ExpressRoute que serve as VMs que executam a camada de aplicativos SAP.

Para uma arquitetura de rede mais expansível:

  • Use várias redes virtuais para uma camada de aplicativo SAP única e maior.

  • Implante uma rede virtual separada para cada sistema SAP implantado, em comparação com a combinação desses sistemas SAP em sub-redes separadas sob a mesma rede virtual.

    O diagrama a seguir mostra uma arquitetura de rede mais expansível para o SAP HANA no Azure (instâncias grandes):

Implante a camada de aplicativos SAP em várias redes virtuais

Dependendo das regras e restrições que você deseja aplicar entre as diferentes redes virtuais que hospedam VMs de diferentes sistemas SAP, você deve emparelhar essas redes virtuais. Para obter mais informações sobre emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.

Roteamento no Azure

Por padrão, três considerações de roteamento de rede são importantes para o SAP HANA no Azure (instâncias grandes):

  • O SAP HANA no Azure (Instâncias Grandes) pode ser acessado somente por meio de VMs do Azure e da conexão de Rota Expressa dedicada, não diretamente do local. O acesso direto do local às unidades HANA Large Instance, conforme fornecido pela Microsoft a você, não é possível imediatamente. As restrições de roteamento transitivo são devido à arquitetura de rede atual do Azure usada para instâncias grandes do SAP HANA. Alguns clientes de administração e quaisquer aplicativos que precisem de acesso direto, como o SAP Solution Manager em execução local, não podem se conectar ao banco de dados SAP HANA. Para exceções, consulte a seção a seguir, Roteamento direto para instâncias grandes do HANA.

  • Se você tiver unidades HANA Large Instance implantadas em duas regiões diferentes do Azure para recuperação de desastres, as mesmas restrições de roteamento transitórias se aplicam como no passado. Em outras palavras, os endereços IP de uma Instância Grande do HANA em uma região (por exemplo, Oeste dos EUA) não foram roteados para uma Instância Grande do HANA implantada em outra região (por exemplo, Leste dos EUA). Essa restrição é independente do uso do emparelhamento de rede do Azure entre regiões ou da conexão cruzada dos circuitos de Rota Expressa que conectam Instâncias Grandes do HANA a redes virtuais. Para obter uma representação gráfica, consulte a figura na seção Usar unidades de instância grande do HANA em várias regiões. Essa restrição, que veio com a arquitetura implantada, proibiu o uso imediato da replicação do sistema HANA para recuperação de desastres. Para alterações recentes, novamente, consulte Usar unidades de instância grande do HANA em várias regiões.

  • O SAP HANA em Instâncias Grandes do Azure tem um endereço IP atribuído do intervalo de endereços do pool de IP do servidor que você enviou ao solicitar a implantação da Instância Grande do HANA. Para obter mais informações, consulte Infraestrutura e conectividade do SAP HANA (Grandes Instâncias) no Azure. Este endereço IP é acessível através das subscrições e do circuito do Azure que liga as redes virtuais do Azure às Instâncias Grandes do HANA. O endereço IP atribuído fora desse intervalo de endereços do pool de IP do servidor é atribuído diretamente à unidade de hardware. Ele não é mais atribuído por meio de NAT (conversão de endereços de rede), como foi o caso nas primeiras implantações desta solução.

Roteamento direto para instâncias grandes do HANA

Por padrão, o roteamento transitivo não funciona nestes cenários:

  • Entre unidades de instância grande HANA e uma implantação local.

  • Entre unidades HANA Large Instance implantadas em regiões diferentes.

Há três maneiras de habilitar o roteamento transitivo nesses cenários:

  • Um proxy reverso para rotear dados, de e para ele. Por exemplo, F5 BIG-IP, NGINX com o Gerenciador de Tráfego implantado na rede virtual do Azure que se conecta às Grandes Instâncias HANA e ao local como uma solução de firewall virtual/roteamento de tráfego.
  • Usando regras IPTables em uma VM Linux para habilitar o roteamento entre locais locais e unidades de instância grande HANA, ou entre unidades de instância grande HANA em regiões diferentes. A VM que executa o IPTables deve ser implantada na rede virtual do Azure que se conecta às Instâncias Grandes do HANA e ao local. A VM deve ser dimensionada para que a taxa de transferência de rede da VM seja suficiente para o tráfego de rede esperado. Para obter mais informações sobre a largura de banda da rede VM, consulte o artigo Tamanhos de máquinas virtuais Linux no Azure.
  • O Firewall do Azure seria outra solução para habilitar o tráfego direto entre unidades de instância locais e HANA Large.

Todo o tráfego dessas soluções seria roteado por meio de uma rede virtual do Azure. Como tal, o tráfego também pode ser restringido pelos dispositivos de software utilizados ou pelos Grupos de Segurança de Rede do Azure. Dessa forma, endereços IP específicos ou intervalos de endereços IP locais podem ser bloqueados ou explicitamente autorizados a acessar instâncias grandes do HANA.

Nota

Lembre-se de que a implementação e o suporte para soluções personalizadas envolvendo dispositivos de rede de terceiros ou IPTables não são fornecidos pela Microsoft. O suporte deve ser fornecido pelo fornecedor do componente utilizado ou pelo integrador.

Alcance Global da Rota Expressa

A Microsoft introduziu uma nova funcionalidade chamada ExpressRoute Global Reach. O alcance global pode ser usado para instâncias grandes do HANA em dois cenários:

  • Habilite o acesso direto do local às unidades de instância grande do HANA implantadas em diferentes regiões.
  • Habilite a comunicação direta entre suas unidades HANA Large Instance implantadas em diferentes regiões.
Acesso direto a partir do local

Nas regiões do Azure onde o Alcance Global é oferecido, você pode solicitar a habilitação do Alcance Global para seu circuito de Rota Expressa. Esse circuito conecta sua rede local à rede virtual do Azure que se conecta às suas Instâncias Grandes do HANA. Há custos para o lado local do seu circuito de Rota Expressa. Para obter mais informações, consulte os preços do complemento Global Reach. Você não pagará custos adicionais pelo circuito que conecta as Instâncias Grandes do HANA ao Azure.

Importante

Ao usar o Global Reach para habilitar o acesso direto entre suas unidades HANA Large Instance e ativos locais, os dados de rede e o fluxo de controle não são roteados por meio de redes virtuais do Azure. Em vez disso, os dados de rede e o fluxo de controle são roteados diretamente entre os roteadores de troca empresarial da Microsoft. Portanto, qualquer regra NSG ou ASG, ou qualquer tipo de firewall, NVA ou proxy implantado em uma rede virtual do Azure, não será tocado. Se você usar o ExpressRoute Global Reach para habilitar o acesso direto do local às unidades de instância grandes do HANA, as restrições e permissões para acessar as unidades de instância grande do HANA precisarão ser definidas em firewalls no lado local.

Conectando instâncias grandes do HANA em diferentes regiões do Azure

Da mesma forma, o ExpressRoute Global Reach pode ser usado para conectar dois locatários HANA Large Instance implantados em regiões diferentes. O isolamento são os circuitos de Rota Expressa que seus locatários de Instância Grande do HANA usam para se conectar ao Azure em ambas as regiões. Não há cobranças adicionais para conectar dois locatários HANA Large Instance implantados em regiões diferentes.

Importante

O fluxo de dados e o fluxo de controle do tráfego de rede entre os locatários de instância grande do HANA não serão roteados por meio das redes do Azure. Portanto, você não pode usar a funcionalidade do Azure ou as ferramentas virtuais de rede (NVAs) para impor restrições de comunicação entre seus locatários de Instâncias Grandes do HANA.

Para obter mais informações sobre como habilitar o Alcance Global da Rota Expressa, consulte Conectar uma rede virtual a instâncias grandes do HANA.

Conectividade com a Internet do HANA Large Instance

As instâncias grandes do HANA não têm conectividade direta com a Internet. Por exemplo, essa limitação pode restringir sua capacidade de registrar a imagem do sistema operacional diretamente com o fornecedor do sistema operacional. Talvez seja necessário trabalhar com o servidor local SUSE Linux Enterprise Server Subscription Management Tool ou com o Red Hat Enterprise Linux Subscription Manager.

Criptografia de dados entre VMs e HANA Large Instance

Os dados transferidos entre instâncias grandes do HANA e VMs não são criptografados. No entanto, apenas para a troca entre o lado do DBMS HANA e aplicativos baseados em JDBC/ODBC, você pode habilitar a criptografia de tráfego. Para obter mais informações, consulte Comunicação segura entre clientes SAP HANA e JDBC/ODBC.

Usar unidades HANA Large Instance em várias regiões

Para recuperação de desastres, você precisa ter unidades HANA Large Instance em várias regiões do Azure. Usando apenas o Emparelhamento Global Vnet do Azure, por padrão, o roteamento transitivo não funcionará entre locatários de Instância Grande HANA em regiões diferentes. O alcance global, no entanto, abre a comunicação entre as unidades HANA Large Instance em diferentes regiões. Este cenário usando o ExpressRoute Global Reach permite:

  • Replicação do sistema HANA sem mais proxies ou firewalls.
  • Cópia de backups entre unidades HANA Large Instance em diferentes regiões para fazer cópias do sistema ou fazer atualizações do sistema.

Rede virtual conectada a carimbos de Instância Grande do Azure em diferentes regiões do Azure

A figura anterior mostra como as redes virtuais em ambas as regiões estão conectadas a dois circuitos de Rota Expressa. Os circuitos são usados para se conectar ao SAP HANA no Azure (Grandes Instâncias) em ambas as regiões do Azure (linhas cinza). A razão para as duas conexões cruzadas é proteger de uma interrupção dos MSEEs em ambos os lados. O fluxo de comunicação entre as duas redes virtuais nas duas regiões do Azure deve ser tratado através do emparelhamento global das duas redes virtuais nas duas regiões diferentes (linha pontilhada azul). A linha vermelha espessa descreve a conexão ExpressRoute Global Reach. Essa conexão permite que as unidades HANA Large Instance de seus locatários em diferentes regiões se comuniquem entre si.

Importante

Se você usou vários circuitos de Rota Expressa, use as configurações de Caminho AS pendente e BGP de Preferência Local para garantir o roteamento adequado do tráfego.

Próximos passos

Saiba mais sobre a arquitetura de armazenamento do SAP HANA (Large Instances).

Arquitetura de armazenamento SAP HANA (Large Instances)