В этом руководстве представлен набор проверенных рекомендаций по запуску SAP NetWeaver в среде Windows в Azure с высоким уровнем доступности. База данных — AnyDB, термин SAP для любой поддерживаемой системы управления базами данных (СУБД) помимо SAP HANA.
Архитектура
На следующей схеме показан SAP NetWeaver в среде Windows.
Скачайте файл Visio для этой архитектуры.
Примечание.
Для развертывания этой архитектуры требуется соответствующее лицензирование продуктов SAP и других технологий, отличных от Майкрософт.
В этом руководстве описывается рабочая система. Система развертывается с определенными размерами виртуальной машины, которые можно изменить в соответствии с потребностями вашей организации. Система может быть сокращена до одной виртуальной машины. В этом руководстве макет сети значительно упрощен для демонстрации принципов архитектуры. Она не предназначена для описания полной корпоративной сети.
Рабочий процесс
Виртуальные сети. Служба Azure виртуальная сеть подключает ресурсы Azure друг к другу с повышенной безопасностью. В этой архитектуре виртуальная сеть подключается к локальной сети через шлюз Azure ExpressRoute, развернутый в концентраторе топологии концентратора. Речь идет о виртуальной сети, используемой для приложений SAP и уровней баз данных. Виртуальная сеть концентратора используется для общих служб, таких как Бастион Azure и резервное копирование.
Пиринг между виртуальными сетями. Эта архитектура использует топологию сетевых сетей с концентраторами и периферийными сетями с несколькими виртуальными сетями, которые объединяются в одноранговый узел. Эта топология обеспечивает сегментацию сети и изоляцию для служб, развернутых в Azure. Пиринг обеспечивает прозрачное подключение между одноранговых виртуальных сетей через магистральную сеть Майкрософт. Это не приводит к штрафу производительности при развертывании в одном регионе. Виртуальная сеть разделена на отдельные подсети для каждого уровня: приложение (SAP NetWeaver), база данных и общие службы, такие как Бастион и стороннее решение резервного копирования.
Виртуальные машины (ВМ). Эта архитектура использует виртуальные машины для уровня приложений и уровня базы данных, сгруппированных следующим образом:
SAP NetWeaver. Уровень приложений использует виртуальные машины Windows для запуска служб SAP Central и серверов приложений SAP. Для обеспечения высокой доступности виртуальные машины под управлением центральных служб настраиваются в отказоустойчивом кластере Windows Server. Они поддерживаются общими папками Azure или общими дисками Azure.
AnyDB. Уровень базы данных запускает AnyDB в качестве базы данных, которая может быть Microsoft SQL Server, Oracle или IBM Db2.
Бастион службы. Администраторы используют улучшенную виртуальную машину безопасности, которая называется узлом бастиона для подключения к другим виртуальным машинам. Обычно это часть общих служб, таких как службы резервного копирования. Если протокол Secure Shell (SSH) и протокол удаленного рабочего стола (RDP) являются единственными службами, которые используются для администрирования сервера, узел Бастиона Azure является хорошим решением. Если вы используете другие средства управления, такие как SQL Server Management Studio или интерфейс SAP, используйте традиционное саморазверяемое поле перехода.
служба Частная зона DNS. Azure Частная зона DNS предоставляет надежную и безопасную службу DNS для виртуальной сети. Azure Частная зона DNS управляет и разрешает доменные имена в виртуальной сети без необходимости настраивать пользовательское решение DNS.
Подсистемы балансировки нагрузки. Чтобы распространить трафик на виртуальные машины в подсети уровня приложений SAP для обеспечения высокой доступности, рекомендуется использовать подсистему балансировки нагрузки Azure уровня "Стандартный". Обратите внимание, что стандартная подсистема балансировки нагрузки обеспечивает уровень безопасности по умолчанию. Виртуальные машины, которые находятся за стандартной подсистемой балансировки нагрузки, не имеют исходящего подключения к Интернету. Чтобы включить исходящий интернет на виртуальных машинах, необходимо обновить конфигурацию стандартной подсистемы балансировки нагрузки. Для высокодоступного веб-приложения SAP используйте встроенный веб-диспетчер SAP или другой коммерчески доступный балансировщик нагрузки. В зависимости от выбранного варианта:
- Тип трафика, например HTTP или SAP GUI.
- Необходимые сетевые службы, такие как завершение протокола SSL.
В некоторых примерах проектирования входящих и исходящих подключений к Интернету см . сведения о входящих и исходящих подключениях к Интернету для SAP в Azure.
Load Balancer (цен. категория поддерживает несколько внешних виртуальных IP-адресов. Эта поддержка идеально подходит для реализации кластера, включающих следующие компоненты:
- Advanced Business Application Programming (ABAP) SAP Central Service (ASCS)
- Сервер постановки в очередь для репликации (ERS)
Номер SKU уровня "Стандартный" также поддерживает кластеры SAP с несколькими системами (multi-SID). Другими словами, несколько систем SAP в Windows могут совместно использовать общую инфраструктуру высокого уровня доступности для экономии затрат. Оцените экономию затрат и избегайте размещения слишком большого количества систем в одном кластере. поддержка Azure не более пяти идентификаторов SID на кластер.
Шлюз приложений. Шлюз приложений Azure — это подсистема балансировки нагрузки веб-трафика, которую можно использовать для управления трафиком в веб-приложениях. Традиционные подсистемы балансировки нагрузки работают на транспортном уровне (уровень 4 OSI — TCP и UDP). Они направляют трафик на основе исходного IP-адреса и порта в конечный IP-адрес и порт. Шлюз приложений может принимать решения о маршрутизации на основе дополнительных атрибутов HTTP-запроса, таких как путь URI или заголовки узла. Этот тип маршрутизации называется балансировкой нагрузки на уровне приложения (уровень 7 OSI).
Группы безопасности сети. Чтобы ограничить входящий, исходящий и внутренний трафик подсети в виртуальной сети, создайте группы безопасности сети.
Группы безопасности приложений. Чтобы определить четко настроенные политики сетевой безопасности на основе рабочей нагрузки, ориентированные на приложения, используйте группы безопасности приложений вместо явных IP-адресов. Группы безопасности приложений предоставляют способ группировки виртуальных машин по имени и помогают защитить приложения путем фильтрации трафика из доверенных сегментов сети.
Шлюз Шлюз подключает различные сети, расширяя локальную сеть к виртуальной сети Azure. Мы рекомендуем использовать ExpressRoute для создания частных подключений, которые не проходят через общедоступный Интернет, но также можно использовать подключение типа "сеть — сеть ". Чтобы уменьшить задержку или увеличить пропускную способность, рассмотрим ExpressRoute Global Reach и ExpressRoute FastPath, как описано далее в этой статье.
служба хранилища Azure; Хранилище предоставляет сохраняемость данных для виртуальной машины в виде виртуального жесткого диска. Рекомендуется использовать управляемые диски Azure.
Рекомендации
Эта архитектура описывает небольшое развертывание на уровне рабочей среды. Развертывания отличаются в зависимости от бизнес-требований, поэтому рассмотрим эти рекомендации как отправную точку.
Виртуальные машины
В пулах и кластерах сервера приложений настройте количество виртуальных машин на основе ваших требований. Подробные сведения о запуске SAP NetWeaver на виртуальных машинах см. в статье Azure Виртуальные машины планировании и реализации SAP NetWeaver.
Дополнительные сведения о поддержке SAP для типов виртуальных машин Azure и метрик пропускной способности (SAPS) см . в 1928533 заметки SAP. Для доступа к заметкам SAP требуется учетная запись SAP Service Marketplace.
Веб-диспетчер SAP
Компонент веб-диспетчера используется для балансировки трафика SAP между серверами приложений SAP. Чтобы обеспечить высокий уровень доступности для компонента веб-диспетчера, Load Balancer используется для реализации отказоустойчивого кластера экземпляров веб-диспетчера или параллельной настройки веб-диспетчера. Подробное описание решения см. в разделе "Высокий уровень доступности веб-диспетчера SAP".
Пул серверов приложений
Транзакция SAP SMLG обычно используется для управления группами входа для серверов приложений ABAP и балансировки нагрузки пользователей входа. Другие транзакции, такие как SM61 для групп серверов пакетной службы и RZ12 для групп удаленного вызова функций (RFC), а также пользователи с балансировкой нагрузки. Эти транзакции используют возможность балансировки нагрузки на сервере сообщений SAP Central Services для распределения входящих сеансов или рабочих нагрузок между пулом серверов приложений SAP для api SAP и трафика RFC.
Кластер центральных служб SAP
Эта архитектура выполняет центральные службы на виртуальных машинах на уровне приложений. Центральные службы — это потенциальная точка сбоя (SPOF) при развертывании на одной виртуальной машине. Чтобы реализовать высокодоступное решение, используйте кластер общих папок или кластер общего диска.
Для общих папок с высоким уровнем доступности существует несколько вариантов. Рекомендуется использовать Файлы Azure общие папки как полностью управляемые, облачные серверные блоки сообщений (SMB) или общие папки сетевой файловой системы (NFS). Альтернативой Файлы Azure является Azure NetApp Files, которая обеспечивает высокопроизводительные общие папки NFS и SMB.
Вы также можете реализовать высокодоступные файловые ресурсы в экземплярах центральных служб с помощью отказоустойчивого кластера Windows Server с Файлы Azure. Это решение также поддерживает кластер Windows с общими дисками с помощью общего диска Azure в качестве общего тома кластера. Если вы предпочитаете использовать общие диски, рекомендуется использовать общие диски Azure для настройки отказоустойчивого кластера Windows Server для кластера SAP Central Services.
Существуют также партнерские продукты, такие как SIOS DataKeeper Cluster Edition из SIOS Technology Corp. Эта надстройка реплицирует содержимое из независимых дисков, подключенных к узлам кластера ASCS, а затем представляет диски в качестве общего тома кластера в программное обеспечение кластера.
Если вы используете секционирование сети кластера, программное обеспечение кластера использует кворум голосов для выбора сегмента сети и связанных с ней служб, чтобы служить мозгом фрагментированного кластера. Windows предлагает множество моделей кворума. Это решение использует Cloud Witness , так как это проще и обеспечивает большую доступность, чем свидетель вычислительного узла. Файловый ресурс Azure является другой альтернативой для предоставления голосования кворума кластера.
В развертывании Azure серверы приложений подключаются к высокодоступным центральным службам с помощью имен виртуальных узлов служб ASCS или ERS. Эти имена узлов назначаются интерфейсной IP-конфигурации интерфейса кластера подсистемы балансировки нагрузки. Load Balancer поддерживает несколько интерфейсных IP-адресов, поэтому виртуальные IP-адреса ASCS и ERS могут быть привязаны к одному подсистеме балансировки нагрузки.
Сеть
Эта архитектура использует топологию с концентраторами. Виртуальная сеть концентратора выступает в качестве центральной точки подключения к локальной сети. Периферийные серверы — это виртуальные сети, одноранговые с концентратором и изолирующие рабочие нагрузки SAP. Трафик проходит между локальным центром обработки данных и концентратором через подключение шлюза.
Сетевые карты (NIC)
Сетевые адаптеры обеспечивают все обмен данными между виртуальными машинами в виртуальной сети. Традиционные локальные развертывания SAP реализуют несколько сетевых адаптеров на компьютере для разделения административного трафика от бизнес-трафика.
В Azure виртуальная сеть представляет собой программно-определяемую сеть, которая отправляет весь трафик через одну и ту же сетевую структуру. Поэтому не обязательно использовать несколько сетевых адаптеров по соображениям производительности. Но если вашей организации необходимо разделить трафик, можно развернуть несколько сетевых адаптеров на виртуальную машину и подключить каждый сетевой адаптер к другой подсети. Затем можно использовать группы безопасности сети для применения различных политик управления доступом.
Сетевые карты Azure поддерживают несколько IP-адресов. Эта поддержка соответствует практике, которую SAP рекомендует использовать имена виртуальных узлов для установки. Полный обзор см . в заметке SAP 962955. Для доступа к заметкам SAP требуется учетная запись SAP Service Marketplace.
Подсети и группы безопасности сети
Эта архитектура подразделяет адресное пространство виртуальной сети на подсети. Вы можете связать каждую подсеть с группой безопасности сети, которая определяет политики доступа для подсети. Поместите серверы приложений в отдельную подсеть. Таким образом, их можно более легко защитить, управляя политиками безопасности подсети, а не отдельными серверами.
При связывании группы безопасности сети с подсетью группа безопасности сети применяется ко всем серверам в подсети и обеспечивает точный контроль над серверами. Настройте группы безопасности сети с помощью портал Azure, PowerShell или Azure CLI.
Global Reach ExpressRoute
Если сетевая среда включает два или более подключений ExpressRoute, ExpressRoute Global Reach может помочь сократить сетевые прыжки и задержку. Эта технология представляет собой пиринг маршрутизации протокола BGP, который настраивается между двумя или более подключениями ExpressRoute для моста двух доменов маршрутизации ExpressRoute. Global Reach уменьшает задержку, когда сетевой трафик проходит через несколько подключений ExpressRoute. В настоящее время он доступен только для частного пиринга в каналах ExpressRoute.
В настоящее время нет списков управления доступом к сети или других атрибутов, которые можно изменить в Global Reach. Поэтому все маршруты, полученные заданным каналом ExpressRoute (из локальной среды и Azure), объявляются через пиринг канала в другом канале ExpressRoute. Рекомендуется установить фильтрацию сетевого трафика локально, чтобы ограничить доступ к ресурсам.
Сведения об ExpressRoute FastPath
FastPath предназначен для повышения производительности пути к данным между локальной сетью и виртуальной сетью. Если он включен, FastPath отправляет сетевой трафик непосредственно на виртуальные машины в виртуальной сети, обходя шлюз.
Для всех новых подключений ExpressRoute к Azure FastPath — это конфигурация по умолчанию. Для существующих каналов ExpressRoute обратитесь к поддержка Azure для активации FastPath.
FastPath не поддерживает пиринг между виртуальными сетями. Если другие виртуальные сети подключены к ExpressRoute, сетевой трафик из локальной сети в другие периферийные виртуальные сети отправляется в шлюз виртуальной сети. Обходной путь — подключение всех виртуальных сетей к каналу ExpressRoute напрямую. Эта функция сейчас доступна в виде общедоступной предварительной версии.
Подсистемы балансировки нагрузки
Веб-диспетчер SAP обрабатывает балансировку нагрузки трафика HTTP(S) к пулу серверов приложений SAP. Этот программный подсистема балансировки нагрузки предоставляет службы уровня приложений (называемые уровнем 7 в сетевой модели ISO), которые могут выполнять завершение SSL и другие функции разгрузки.
Azure Load Balancer — это служба уровня передачи сети (уровень 4), которая балансирует трафик с помощью хэша пяти кортежей из потоков данных. Хэш основан на исходном IP-адресе, исходном порту, целевом IP-адресе, целевом порту и типе протокола. В развертываниях SAP в Azure Load Balancer используется в настройках кластера для перенаправления трафика к основному экземпляру службы или к работоспособному узлу, если возникла ошибка.
Рекомендуется использовать Load Balancer (цен. категория для всех сценариев SAP. Если виртуальные машины в серверном пуле требуют общедоступного исходящего подключения или если они используются в развертывании зоны Azure, Load Balancer (цен. категория требует дополнительных конфигураций, так как они защищены по умолчанию. Они не разрешают исходящее подключение, если только вы не настраиваете его явным образом.
Для трафика от клиентов SAP GUI, которые подключаются к серверу SAP через протокол DIAG или RFC, сервер сообщений Central Services балансирует нагрузку с помощью групп входа сервера приложений SAP. Для этого типа установки не требуется другой подсистема балансировки нагрузки.
Хранилище
Некоторые организации используют стандартное хранилище для серверов приложений. Управляемые диски уровня "Стандартный" не поддерживаются. См . заметку SAP 1928533. Для доступа к заметкам SAP требуется учетная запись SAP Service Marketplace. Мы рекомендуем использовать управляемые диски Azure уровня "Премиум" во всех случаях. Недавнее обновление примечания к SAP 2015553 исключает использование хранилища HDD уровня "Стандартный" и хранилища SSD уровня "Стандартный" для нескольких конкретных вариантов использования.
Серверы приложений не размещают бизнес-данные. Таким образом, вы также можете использовать меньшие диски P4 и P6 уровня "Премиум", чтобы свести к минимуму затраты. Таким образом, вы можете воспользоваться соглашением об уровне обслуживания виртуальной машины с одним экземпляром, если у вас установлена центральная установка стека SAP.
Для сценариев высокой доступности можно использовать общие папки Azure и общие диски Azure. Управляемые диски SSD Azure уровня "Премиум" и хранилище дисков Azure ценовой категории "Ультра " доступны для общих дисков Azure, а SSD уровня "Премиум" доступен для общих папок Azure.
Хранилище также используется Cloud Witness для поддержания кворума с устройством в удаленном регионе Azure от основного региона, в котором находится кластер.
Для хранилища данных резервного копирования рекомендуется использовать холодные и архивные уровни доступа Azure. Эти уровни хранилища обеспечивают экономичный способ хранения долговременных данных, которые редко обращаются.
Хранилище дисков SSD уровня "Премиум" версии 2 предназначено для критически важных для производительности рабочих нагрузок, таких как системы обработки транзакций в сети, которые постоянно нуждаются в задержке под миллисекунда в сочетании с высокой скоростью ввода-вывода в секунду и пропускной способностью.
Хранилище дисков ценовой категории "Ультра" значительно снижает задержку диска. В результате это позволяет повысить производительность критически важных приложений, таких как серверы баз данных SAP. Чтобы сравнить параметры блочного хранилища в Azure, ознакомьтесь с типами управляемых дисков Azure.
Для обеспечения высокой доступности высокопроизводительного общего хранилища данных используйте Azure NetApp Files. Эта технология особенно полезна для уровня базы данных при использовании Oracle, а также при размещении данных приложения.
Замечания, связанные с быстродействием
Серверы приложений SAP постоянно взаимодействуют с серверами баз данных. Для критически важных для производительности приложений, работающих на платформах баз данных, включите ускоритель записи для тома журнала, если используется SSD класса Premium версии 1. Это позволяет улучшить задержку записи журналов. Ускоритель записи доступен для виртуальных машин серии M.
Чтобы оптимизировать взаимодействие между серверами, используйте ускоренную сеть. Большинство общих и оптимизированных для вычислений размеров экземпляров виртуальных машин с двумя или более виртуальными ЦП поддерживают ускорение сети. В экземплярах, поддерживающих гиперпоточность, экземпляры виртуальных машин с четырьмя или более виртуальными ЦП поддерживают ускорение сети.
Чтобы достичь высокой пропускной способности операций ввода-вывода в секунду и дисков, следуйте общим рекомендациям по оптимизации производительности тома хранилища хранилища Azure. Например, можно разместить несколько дисков вместе, чтобы создать полосатый том диска для повышения производительности ввода-вывода. Включение кэша чтения в содержимом хранилища, которое редко изменяется, повышает скорость извлечения данных.
SSD уровня "Премиум" версии 2 обеспечивает более высокую производительность, чем диски SSD уровня "Премиум" и обычно являются менее дорогостоящими. Диск SSD уровня "Премиум" версии 2 можно задать для любого поддерживаемого размера, который вы предпочитаете, и внести детализированные корректировки в производительность без простоя.
Хранилище дисков категории "Ультра" доступно для приложений с интенсивным вводом-выводом. Где эти диски доступны, рекомендуется использовать хранилище ускорителя записи класса Premium. Вы можете отдельно увеличить или уменьшить метрики производительности, такие как операции ввода-вывода в секунду и MBps, без необходимости перезагрузки.
Рекомендации по оптимизации хранилища Azure для рабочих нагрузок SAP на SQL Server см. в статье azure Виртуальные машины планировании и реализации SAP NetWeaver.
Размещение сетевого виртуального устройства (NVA) между приложением и уровнями базы данных для любого стека приложений SAP не поддерживается. Эта практика приводит к значительному времени обработки пакетов данных, что приводит к неприемлемой производительности приложения.
Группы размещения близкого взаимодействия
Для некоторых приложений SAP требуется частое взаимодействие с базой данных. Физическое близкое расположение приложения и уровней базы данных влияет на задержку сети, что может негативно повлиять на производительность приложения.
Чтобы оптимизировать задержку сети, можно использовать группы размещения близкого взаимодействия, которые задают логическое ограничение на виртуальных машинах, развернутых в группах доступности. Группы размещения близкого взаимодействия предпочитают совместное расположение и производительность по сравнению с масштабируемостью, доступностью или затратами. Они могут значительно улучшить взаимодействие с пользователем для большинства приложений SAP. Сценарии, доступные на сайте GitHub из группы развертывания SAP, см. в разделе "Скрипты".
Зоны доступности
Зоны доступности позволяют развертывать виртуальные машины в центрах обработки данных, которые физически разделены расположениями в определенном регионе Azure. Их цель заключается в повышении доступности служб. Но развертывание ресурсов в разных зонах может увеличить задержку, поэтому учитывайте рекомендации по производительности.
Администраторам требуется четкий профиль задержки сети между всеми зонами целевого региона, прежде чем они смогут определить размещение ресурсов с минимальной задержкой между зонами. Чтобы создать этот профиль, разверните небольшие виртуальные машины в каждой зоне для тестирования. Рекомендуемые средства для этих тестов включают PsPing и Iperf. По завершении тестов удалите виртуальные машины, используемые для тестирования. В качестве альтернативы рекомендуется использовать средство проверки задержки между зонами Azure.
Вопросы масштабируемости
Для уровня приложений SAP Azure предлагает широкий спектр размеров виртуальных машин для масштабирования и масштабирования. Список включительно см . в заметке SAP 1928533 — приложения SAP в Azure: поддерживаемые продукты и типы виртуальных машин Azure. Для доступа к заметкам SAP требуется учетная запись SAP Service Marketplace.
Вы можете масштабировать серверы приложений SAP и кластеры центральных служб вверх и вниз. Их можно также масштабировать или масштабировать, изменив количество используемых экземпляров. База данных AnyDB может увеличивать и уменьшать масштаб, но не масштабироваться. Контейнер базы данных SAP для AnyDB не поддерживает сегментирование.
Вопросы доступности
Обеспечение избыточности ресурсов является общей процедурой в высокодоступных инфраструктурных решениях. Сведения о доступности виртуальных машин с одним экземпляром для различных типов хранилища см. в соглашении об уровне обслуживания для виртуальных машин. Чтобы повысить доступность служб в Azure, разверните ресурсы виртуальных машин с Масштабируемые наборы виртуальных машин с помощью гибкой оркестрации, зон доступности или групп доступности.
При использовании Azure развертывание рабочей нагрузки SAP может быть региональным или зональным в зависимости от требований к доступности и устойчивости приложений SAP. Azure предоставляет различные варианты развертывания, такие как Масштабируемые наборы виртуальных машин с гибкой оркестрацией (FD=1), зонами доступности и группами доступности, чтобы повысить доступность ресурсов. Чтобы получить полное представление о доступных вариантах развертывания и их применимости в разных регионах Azure (включая между зонами, в пределах одной зоны или в регионе без зон), см . архитектуру и сценарии высокой доступности для SAP NetWeaver.
В этой распределенной установке приложения SAP базовая установка реплицируется для обеспечения высокой доступности. Для каждого слоя архитектуры способ обеспечения высокого уровня доступности варьируется.
Веб-диспетчер на уровне серверов приложений
Компонент "веб-диспетчер" используется как подсистема балансировки нагрузки для трафика SAP между серверами приложений SAP. Чтобы обеспечить высокий уровень доступности веб-диспетчера SAP, Load Balancer реализует отказоустойчивый кластер или параллельную настройку веб-диспетчера.
Для связи с Интернетом рекомендуется автономное решение в сети периметра, которое также называется DMZ, для удовлетворения проблем безопасности.
Внедренный веб-диспетчер в ASCS — это специальный параметр. Если этот параметр используется, рассмотрите правильный размер из-за дополнительной рабочей нагрузки в ASCS.
Центральные службы на уровне серверов приложений
Высокий уровень доступности центральных служб реализуется с помощью отказоустойчивого кластера Windows Server. При развертывании хранилища кластера для отказоустойчивого кластера в Azure его можно настроить двумя способами: как кластеризованный общий диск или как кластеризованный файловый ресурс.
Рекомендуется использовать Файлы Azure в качестве полностью управляемых, облачных общих папок SMB или NFS. Другой способ — использовать Azure NetApp Files, который обеспечивает высокую производительность, корпоративный класс NFS и общие ресурсы SMB.
Существует два способа настройки кластеров с общими дисками в Azure. Во-первых, рекомендуется использовать общие диски Azure для настройки отказоустойчивого кластера Windows Server для служб SAP Central. Пример реализации см . в кластере ASCS с помощью общих дисков Azure. Другой способ реализации кластеризованного общего диска — использовать SIOS DataKeeper для выполнения следующих задач:
- Репликация содержимого независимых дисков, подключенных к узлам кластера.
- Абстрагирование дисков в качестве общего тома кластера для диспетчера кластеров.
Дополнительные сведения о реализации см. в статье "Кластеризация SAP ASCS в Azure с помощью SIOS".
Если вы используете Load Balancer (цен. категория , вы можете включить порт высокой доступности. Таким образом, можно избежать необходимости настраивать правила балансировки нагрузки для нескольких портов SAP. Кроме того, при настройке подсистем балансировки нагрузки Azure включите прямой возврат сервера (DSR), который также называется плавающим IP-адресом. Это обеспечивает способ обхода подсистемы балансировки нагрузки на сервере. Это прямое подключение позволяет подсистеме балансировки нагрузки становиться узким местом в пути передачи данных. Рекомендуется включить DSR для asCS и кластеров баз данных.
Службы приложений на уровне серверов приложений
Высокий уровень доступности для серверов приложений SAP достигается путем балансировки нагрузки трафика в пуле серверов приложений. Не требуется программное обеспечение кластера, веб-диспетчер SAP или подсистема балансировки нагрузки Azure. Сервер сообщений SAP может сбалансировать трафик клиента к серверам приложений, определенным в группе входа ABAP в транзакцию SMLG.
Уровень базы данных
В этой архитектуре база данных-источник выполняется в AnyDB — СУБД, таких как SQL Server, SAP ASE, IBM Db2 или Oracle. Функция собственной репликации уровня базы данных обеспечивает ручную или автоматическую отработку отказа между реплицированными узлами.
Сведения о реализации конкретных систем баз данных см. в статье SAP NetWeaver на виртуальных машинах Windows. Руководство по развертыванию СУБД.
Виртуальные машины, развернутые в зонах доступности
Зона доступности состоит из одного или нескольких центров обработки данных. Она предназначена для повышения доступности рабочих нагрузок и защиты служб приложений и виртуальных машин от сбоев центра обработки данных. Виртуальные машины в одной зоне обрабатываются так, как если бы они находились в одном домене сбоя. При выборе зонального развертывания виртуальные машины в той же зоне распределяются по доменам сбоя на основе наилучших усилий.
В регионах Azure, поддерживающих несколько зон, доступны по крайней мере три зоны. Но максимальное расстояние между центрами обработки данных в этих зонах не гарантируется. Чтобы развернуть многоуровневую систему SAP в зонах, необходимо знать задержку сети в пределах зоны и в целевых зонах. Кроме того, необходимо знать, насколько чувствительны развернутые приложения к задержке в сети.
Учитывайте эти рекомендации при выборе развертывания ресурсов в зонах доступности:
- Задержка между виртуальными машинами в одной зоне
- Задержка между виртуальными машинами в выбранных зонах
- Доступность одинаковых служб Azure (типов виртуальных машин) в выбранных зонах
Примечание.
Зоны доступности поддерживают высокий уровень доступности внутри региона, но они не эффективны для аварийного восстановления (аварийного восстановления). Расстояние между зонами слишком короткие. Типичные сайты аварийного восстановления должны находиться по крайней мере в 100 милях от основного региона.
Пример активного и неактивного развертывания
В этом примере развертывания состояние "активный или пассивный " относится к состоянию службы приложений в зонах. На уровне приложений все четыре активных сервера приложений системы SAP находятся в зоне 1. Другой набор четырех пассивных серверов приложений построен в зоне 2, но завершает работу. Они активируются только в том случае, если они необходимы.
Кластеры с двумя узлами для центральных служб и служб баз данных растягиваются между двумя зонами. Если зона 1 завершается ошибкой, службы Central Services и службы базы данных выполняются в зоне 2. Пассивные серверы приложений в зоне 2 активируются. При этом все компоненты этой системы SAP теперь совместно находятся в одной зоне, задержка сети сводится к минимуму.
Пример активного и активного развертывания
В активном или активном развертывании два набора серверов приложений создаются в двух зонах. В каждой зоне два сервера приложений в каждом наборе серверов неактивны, так как они завершаются. В результате во время обычных операций активные серверы приложений находятся в обеих зонах.
Центральные службы и службы базы данных выполняются в зоне 1. Серверы приложений в зоне 2 могут иметь большую задержку сети при подключении к центральным службам и службам баз данных из-за физического расстояния между зонами.
Если зона 1 переходит в автономный режим, центральные службы и службы баз данных отработки отказа в зону 2. Вы можете перенести неактивные серверы приложений в интернет, чтобы обеспечить полную емкость для обработки приложений.
Рекомендации по аварийному использованию
Каждый уровень в стеке приложений SAP использует другой подход для защиты аварийного восстановления. Сведения о стратегиях аварийного восстановления и реализации см . в обзоре и рекомендациях по инфраструктуре аварийного восстановления для рабочих нагрузок SAP и рекомендаций по аварийному восстановлению для приложения SAP.
Примечание.
Если существует региональная катастрофа, которая вызывает большое событие отработки отказа для многих клиентов Azure в одном регионе, емкость ресурсов целевого региона не гарантируется. Как и все службы Azure, Site Recovery продолжает добавлять функции и возможности. Последние сведения о репликации Azure в Azure см. в матрице поддержки.
Рекомендации по управлению и операциям
Чтобы обеспечить работу системы в рабочей среде, рассмотрим следующие моменты.
Центр Azure для решений SAP
Центр Azure для решений SAP — это комплексное решение, которое позволяет создавать и запускать системы SAP в качестве единой рабочей нагрузки в Azure и предоставляет эффективную базу для инноваций. Кроме того, в Центре Azure для решений SAP в интерактивном развертывании создаются необходимые вычислительные ресурсы, хранилище и сетевые компоненты, необходимые для запуска системы SAP. Затем она помогает автоматизировать установку программного обеспечения SAP в соответствии с рекомендациями Майкрософт. Вы можете воспользоваться возможностями управления как для новых, так и для существующих систем SAP на основе Azure. Дополнительные сведения см. в центре Azure для решений SAP.
Если вам нужен более контроль над событиями обслуживания или изоляцией оборудования для обеспечения производительности или соответствия требованиям, рассмотрите возможность развертывания виртуальных машин на выделенных узлах.
Резервное копирование
Базы данных являются критически важными рабочими нагрузками, для которых требуется низкая цель точки восстановления (RPO) и долгосрочное хранение.
Для SAP в SQL Server один из способов — использовать Azure Backup для резервного копирования баз данных SQL Server, работающих на виртуальных машинах. Другим вариантом является использование моментальных снимков Файлы Azure для резервного копирования файлов базы данных SQL Server.
Сведения о SAP в Oracle или Windows см. в разделе "Резервное копирование и восстановление" в развертывании СУБД виртуальной машины Azure для SAP.
Рекомендации по резервному копированию для поставщика баз данных см. в других базах данных. Если база данных поддерживает службу теневого копирования томов Windows (VSS), используйте моментальные снимки VSS для резервных копий, согласованных с приложениями.
Управление удостоверениями
Используйте централизованную систему управления удостоверениями, например идентификатор Microsoft Entra ID и службы домен Active Directory (AD DS), чтобы управлять доступом к ресурсам на всех уровнях:
Предоставление доступа к ресурсам Azure с помощью управления доступом на основе ролей Azure (Azure RBAC).
Предоставление доступа к виртуальным машинам Azure с помощью протокола LDAP, идентификатора Microsoft Entra, Kerberos или другой системы.
Поддержка доступа в самих приложениях с помощью служб, предоставляемых SAP. Или используйте OAuth 2.0 и идентификатор Microsoft Entra.
Наблюдение
Чтобы обеспечить максимальную доступность и производительность приложений и служб в Azure, используйте Azure Monitor, комплексное решение для сбора, анализа и выполнения данных телеметрии из облачных и локальных сред. Azure Monitor показывает, как приложения выполняются и упреждают определение проблем, влияющих на них, и ресурсов, от которых они зависят. Для приложений SAP, работающих в SAP HANA и других основных решениях баз данных, см. статью Azure Monitor для решений SAP, чтобы узнать, как Azure Monitor для SAP поможет вам управлять доступностью и производительностью служб SAP.
Вопросы безопасности
SAP имеет собственный механизм управления пользователями (UME) для управления доступом на основе ролей и авторизацией в приложении и базах данных SAP. Подробные рекомендации по безопасности приложений см. в руководстве по безопасности SAP NetWeaver.
Для повышения безопасности сети рекомендуется использовать сеть периметра, которая использует NVA для создания брандмауэра перед подсетью для веб-диспетчера.
Вы можете развернуть NVA для фильтрации трафика между виртуальными сетями, но не помещать его между приложением SAP и базой данных. Кроме того, проверьте правила маршрутизации, настроенные в подсети, и избегайте перенаправления трафика в NVA одного экземпляра. Это может привести к сбоям простоя обслуживания и сети или кластеризованных узлов.
Для обеспечения безопасности инфраструктуры данные шифруются при передаче и во время хранения. Сведения о безопасности сети см. в разделе "Рекомендации по безопасности" в Azure Виртуальные машины планировании и реализации SAP NetWeaver. В этой статье также указаны сетевые порты, которые необходимо открыть на брандмауэрах, чтобы разрешить взаимодействие с приложением.
Вы можете использовать Шифрование дисков Azure для шифрования дисков виртуальных машин Windows. Эта служба использует функцию BitLocker в Windows для обеспечения шифрования томов для операционной системы и дисков данных. Шифрование дисков Azure также работает в Azure Key Vault, что позволяет управлять секретами и ключами шифрования дисков в подписке Key Vault и контролировать их. Данные на дисках виртуальных машин шифруются в хранилище Azure.
Для шифрования неактивных данных SQL Server прозрачное шифрование данных (TDE) шифрует SQL Server, База данных SQL Azure и файлы данных Azure Synapse Analytics. Дополнительные сведения см. в статье о развертывании СУБД SQL Server Azure Виртуальные машины для SAP NetWeaver.
Чтобы отслеживать угрозы изнутри и вне брандмауэра, рассмотрите возможность развертывания Microsoft Sentinel (предварительная версия). Это решение обеспечивает непрерывную аналитику и обнаружение угроз для систем SAP, развернутых в Azure, в других облаках или локальной среде. Рекомендации по развертыванию см. в разделе "Развертывание мониторинга угроз для SAP" в Microsoft Sentinel.
Как всегда, управляйте обновлениями и исправлениями системы безопасности для защиты информационных ресурсов. Рассмотрите возможность использования комплексного подхода к автоматизации для этой задачи.
Рекомендации по затратам
Для оценки затрат используйте калькулятор цен Azure.
См. сведения о затратах на платформу Microsoft Azure с продуманной архитектурой.
Если для рабочей нагрузки требуется больше памяти и меньше ЦП, рассмотрите возможность использования одного из ограниченных размеров виртуальных ЦП для снижения затрат на лицензирование программного обеспечения, которые взимается на виртуальный ЦП.
Виртуальные машины
Эта архитектура использует виртуальные машины для уровня приложений и уровня базы данных. Уровень SAP NetWeaver использует виртуальные машины Windows для запуска служб и приложений SAP. Уровень базы данных запускает AnyDB в качестве базы данных, например SQL Server, Oracle или IBM DB2. Виртуальные машины также используются в качестве прямоугольник перехода для управления.
Существует несколько вариантов оплаты для виртуальных машин:
Для рабочих нагрузок, которые не имеют прогнозируемого времени завершения или потребления ресурсов, рассмотрите вариант оплаты по мере использования.
Рекомендуется использовать резервирования Azure, если вы можете зафиксировать использование виртуальной машины в течение одного или трехлетнего срока. Резервирования виртуальных машин могут значительно сократить затраты. Вы можете заплатить не более 72 процентов от стоимости услуги по мере использования.
Используйте локальные виртуальные машины Azure для выполнения рабочих нагрузок, которые могут быть прерваны и не требуют завершения в течение предопределенного периода времени или обслуживания. Azure развертывает точечные виртуальные машины при наличии доступной емкости и вытесняет их, когда она нуждается в емкости. Затраты, связанные с точечными виртуальными машинами, ниже, чем для других виртуальных машин. Рассмотрите возможность обнаружения виртуальных машин для этих рабочих нагрузок:
- Сценарии высокопроизводительных вычислений, задания пакетной обработки или визуальные приложения отрисовки
- Тестовые среды, включая непрерывную интеграцию и рабочие нагрузки непрерывной доставки
- Крупномасштабные приложения без отслеживания состояния
Зарезервированные экземпляры виртуальных машин Azure могут снизить общую стоимость владения, объединив ставки зарезервированных экземпляров виртуальных машин Azure с подпиской на оплату по мере использования, чтобы управлять затратами в прогнозируемых и переменных рабочих нагрузках. Дополнительные сведения см. в статье "Зарезервированные экземпляры виртуальных машин Azure".
Load Balancer
В этом сценарии Load Balancer используется для распределения трафика на виртуальные машины в подсети уровня приложения.
Плата взимается только за количество настроенных правил балансировки нагрузки и исходящих подключений, а также данных, обрабатываемых через подсистему балансировки нагрузки. Правила преобразования входящих сетевых адресов (NAT) бесплатны. Почасовая плата за Load Balancer (цен. категория не взимается, если правила не настроены.
ExpressRoute
В этой архитектуре ExpressRoute — это сетевая служба, используемая для создания частных подключений между локальной сетью и виртуальными сетями Azure.
Все входящие данные передаются бесплатно. Плата за передачу исходящих данных взимается на основе предварительно определенной скорости. Дополнительные сведения см. в техническом обзоре ExpressRoute.
Сообщества
Участники сообществ отвечают на вопросы и помогают настроить успешное развертывание. Рассмотрим следующие ресурсы:
- Запуск приложений SAP в блоге Microsoft Platform
- Поддержка сообщества Azure
- Сообщество SAP
- Стек переполнения для SAP
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующим участником.
Автор субъекта:
- Бен Трин | Главный архитектор
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Следующие шаги
Дополнительные сведения и примеры рабочих нагрузок SAP, которые используют некоторые из таких же технологий, как эта архитектура, см. в следующих статьях:
- SAP NetWeaver на виртуальных машинах Windows. Руководство по планированию и внедрению
- Использование Azure для размещения и запуска сценариев рабочей нагрузки SAP