Tato příručka představuje sadu osvědčených postupů pro provozování SAP NetWeaveru v prostředí Windows v Azure s vysokou dostupností. Databáze je AnyDB, termín SAP pro jakýkoli podporovaný systém pro správu databází (DBMS) vedle SAP HANA.
Architektura
Následující diagram znázorňuje SAP NetWeaver v prostředí Windows.
Stáhněte si soubor aplikace Visio s touto architekturou.
Poznámka:
K nasazení této architektury potřebujete odpovídající licencování produktů SAP a dalších technologií jiných společností než Microsoft.
Tato příručka popisuje produkční systém. Systém se nasadí s konkrétními velikostmi virtuálních počítačů, které můžete změnit tak, aby vyhovoval potřebám vaší organizace. Systém je možné snížit na jeden virtuální počítač. V této příručce je rozložení sítě výrazně zjednodušené, aby demonstrovaly principy architektury. Není určeno k popisu celé podnikové sítě.
Workflow
Virtuální sítě. Služba Azure Virtual Network propojuje prostředky Azure s rozšířeným zabezpečením. V této architektuře se virtuální síť připojuje k místní síti přes bránu Azure ExpressRoute nasazenou v centru hvězdicové topologie. Paprsk je virtuální síť, která se používá pro aplikace SAP a databázové vrstvy. Virtuální síť centra se používá pro sdílené služby, jako je Azure Bastion a zálohování.
Partnerský vztah virtuálních sítí Tato architektura používá hvězdicovou síťovou topologii s několika virtuálními sítěmi, které jsou vzájemně propojeny. Tato topologie poskytuje segmentaci a izolaci sítě pro služby nasazené v Azure. Partnerský vztah umožňuje transparentní připojení mezi partnerskými virtuálními sítěmi prostřednictvím páteřní sítě Microsoftu. Pokud se nasadí v rámci jedné oblasti, nedojde k penalizaci výkonu. Virtuální síť je rozdělená do samostatných podsítí pro každou vrstvu: aplikace (SAP NetWeaver), databáze a sdílené služby, jako je Bastion, a řešení zálohování třetí strany.
Vms. Tato architektura používá virtuální počítače pro aplikační vrstvu a databázovou vrstvu seskupené následujícím způsobem:
SAP NetWeaver. Aplikační vrstva používá virtuální počítače s Windows ke spouštění aplikačních serverů SAP Central Services a SAP. Pro zajištění vysoké dostupnosti jsou virtuální počítače, na kterých běží Centrální služby, nakonfigurované v clusteru s podporou převzetí služeb při selhání windows serveru. Podporují je sdílené složky Azure nebo sdílené disky Azure.
AnyDB. Databázová vrstva spouští jako databázi AnyDB, což může být Microsoft SQL Server, Oracle nebo IBM Db2.
Služba Bastion. Správci používají vylepšený virtuální počítač zabezpečení, který se označuje jako hostitel bastionu pro připojení k jiným virtuálním počítačům. Obvykle se jedná o část sdílených služeb, jako jsou služby zálohování. Pokud jsou jedinými službami používanými pro správu serveru protokol SSH (Secure Shell Protocol) a RDP (Remote Desktop Protocol), je dobrým řešením hostitel služby Azure Bastion . Pokud používáte jiné nástroje pro správu, jako je SQL Server Management Studio nebo SAP Frontend, použijte tradiční jump box s vlastním nasazením.
Privátní DNS služba. Azure Privátní DNS poskytuje spolehlivou a zabezpečenou službu DNS pro vaši virtuální síť. Azure Privátní DNS spravuje a překládá názvy domén ve virtuální síti, aniž by bylo nutné konfigurovat vlastní řešení DNS.
Nástroje pro vyrovnávání zatížení. Pokud chcete distribuovat provoz do virtuálních počítačů v podsíti aplikační vrstvy SAP pro zajištění vysoké dostupnosti, doporučujeme použít nástroj pro vyrovnávání zatížení azure úrovně Standard. Všimněte si, že standardní nástroj pro vyrovnávání zatížení poskytuje ve výchozím nastavení úroveň zabezpečení. Virtuální počítače, které jsou za standardním nástrojem pro vyrovnávání zatížení, nemají odchozí připojení k internetu. Pokud chcete povolit odchozí internet na virtuálních počítačích, musíte aktualizovat konfiguraci nástroje pro vyrovnávání zatížení úrovně Standard. V případě vysoké dostupnosti webových aplikací SAP použijte integrovaný sap Web Dispatcher nebo jiný komerčně dostupný nástroj pro vyrovnávání zatížení. Založte výběr na:
- Váš typ provozu, jako je HTTP nebo SAP GUI.
- Síťové služby, které potřebujete, jako je ukončení protokolu SSL (Secure Sockets Layer).
Některé příklady návrhu příchozích a odchozích přenosů na internetu najdete v tématu Příchozí a odchozí připojení k internetu pro SAP v Azure.
Load Balancer úrovně Standard podporuje několik front-endových virtuálních IP adres. Tato podpora je ideální pro implementace clusteru, které zahrnují tyto komponenty:
- Pokročilé programování obchodních aplikací (ABAP) – centrální služba SAP (ASCS)
- Server replikace enqueue (ERS)
Skladová položka Standard podporuje také clustery SAP s více systémy (multi-SID). Jinými slovy, několik systémů SAP ve Windows může sdílet společnou infrastrukturu s vysokou dostupností, aby se ušetřily náklady. Vyhodnoťte úspory nákladů a vyhněte se umístění příliš mnoha systémů do jednoho clusteru. podpora Azure maximálně pět identifikátorů SID na cluster.
Application Gateway. Aplikace Azure lication Gateway je nástroj pro vyrovnávání zatížení webového provozu, který můžete použít ke správě provozu do webových aplikací. Tradiční nástroje pro vyrovnávání zatížení pracují na přenosové vrstvě (OSI vrstva 4 – TCP a UDP). Směrují provoz na základě zdrojové IP adresy a portu na cílovou IP adresu a port. Application Gateway může rozhodovat o směrování na základě dalších atributů požadavku HTTP, jako je cesta URI nebo hlavičky hostitele. Tento typ směrování se označuje jako vyrovnávání zatížení aplikační vrstvy (vrstva OSI 7).
Skupiny zabezpečení sítě Chcete-li omezit příchozí, odchozí a uvnitř podsíť provozu ve virtuální síti, vytvořte skupiny zabezpečení sítě.
Skupiny zabezpečení aplikací Pokud chcete definovat jemně odstupňované zásady zabezpečení sítě založené na úlohách, které jsou zaměřené na aplikace, použijte skupiny zabezpečení aplikací místo explicitních IP adres. Skupiny zabezpečení aplikací poskytují způsob, jak seskupit virtuální počítače podle názvu a pomáhají zabezpečit aplikace filtrováním provozu z důvěryhodných segmentů sítě.
Brána. Brána propojuje jedinečné sítě a rozšiřuje vaši místní síť do virtuální sítě Azure. Doporučujeme používat ExpressRoute k vytváření privátních připojení, která nepřecházejí přes veřejný internet, ale můžete také použít připojení typu site-to-site . Pokud chcete snížit latenci nebo zvýšit propustnost, zvažte expressRoute Global Reach a ExpressRoute FastPath, jak je popsáno dále v tomto článku.
Azure Storage Úložiště poskytuje trvalost dat pro virtuální počítač ve formě virtuálního pevného disku. Doporučujeme spravované disky Azure.
Doporučení
Tato architektura popisuje malé nasazení na úrovni produkčního prostředí. Nasazení se liší na základě obchodních požadavků, proto zvažte tato doporučení jako výchozí bod.
Virtuální počítače
Ve fondech a clusterech aplikačních serverů upravte počet virtuálních počítačů na základě vašich požadavků. Podrobné informace o spouštění SAP NetWeaver na virtuálních počítačích najdete v tématu Plánování a implementace služby Azure Virtual Machines pro SAP NetWeaver.
Podrobnosti o podpoře SAP pro typy virtuálních počítačů Azure a metriky propustnosti (SAPS) najdete v poznámkách SAP 1928533. Pokud chcete získat přístup k poznámkám SAP, potřebujete účet SAP Service Marketplace.
SAP Web Dispatcher
Komponenta Web Dispatcher se používá k vyrovnávání zatížení provozu SAP mezi aplikačními servery SAP. Aby bylo dosaženo vysoké dostupnosti součásti Web Dispatcher, load Balancer se používá k implementaci clusteru s podporou převzetí služeb při selhání instancí Web Dispatcheru nebo paralelního nastavení Webového dispečeru. Podrobný popis řešení najdete v tématu Vysoká dostupnost sap Web Dispatcheru.
Fond aplikačních serverů
Transakce SAP SMLG se běžně používá ke správě přihlašovacích skupin pro aplikační servery ABAP a k vyrovnávání zatížení přihlašovacích uživatelů. Další transakce, jako je SM61 pro skupiny dávkových serverů a RZ12 pro skupiny vzdáleného volání funkcí (RFC), také vyrovnávání zatížení přihlašovacích uživatelů. Tyto transakce používají funkci vyrovnávání zatížení na serveru zpráv centrálních služeb SAP k distribuci příchozích relací nebo úloh mezi fond aplikačních serverů SAP pro rozhraní SAP GUI a provoz RFC.
Cluster SAP Central Services
Tato architektura spouští centrální služby na virtuálních počítačích v aplikační vrstvě. Centrální služby jsou potenciálním kritickým bodem selhání (SPOF) při nasazení do jednoho virtuálního počítače. Pokud chcete implementovat vysoce dostupné řešení, použijte cluster sdílené složky nebo cluster sdíleného disku.
U sdílených složek s vysokou dostupností existuje několik možností. Doporučujeme používat sdílené složky Azure Files jako plně spravované sdílené složky SMB (Cloud-Native Server Message Block) nebo NFS (Network File System). Alternativou ke službě Azure Files je Azure NetApp Files, která poskytuje vysoce výkonné sdílené složky NFS a SMB.
Sdílené složky s vysokou dostupností můžete implementovat také v instancích Centrální služby pomocí clusteru s podporou převzetí služeb při selhání windows serveru se službou Azure Files. Toto řešení také podporuje cluster s Windows se sdílenými disky pomocí sdíleného disku Azure jako sdíleného svazku clusteru. Pokud raději používáte sdílené disky, doporučujeme použít sdílené disky Azure k nastavení clusteru s podporou převzetí služeb při selhání s Windows Serverem pro cluster SAP Central Services.
Existují také partnerské produkty, jako je SIOS DataKeeper Cluster Edition od SIOS Technology Corp. Tento doplněk replikuje obsah z nezávislých disků, které jsou připojené k uzlům clusteru ASCS, a pak disky prezentuje jako sdílený svazek clusteru softwaru clusteru.
Pokud používáte dělení sítě clusteru, software clusteru používá hlasy kvora k výběru segmentu sítě a jeho přidružených služeb, které slouží jako mozek fragmentovaného clusteru. Systém Windows nabízí mnoho modelů kvora. Toto řešení používá cloudovou kopii clusteru , protože je jednodušší a poskytuje větší dostupnost než určující výpočetní uzel. Určující sdílená složka Azure je další alternativou pro poskytnutí hlasu kvora clusteru.
Při nasazení Azure se aplikační servery připojují k vysoce dostupným centrálním službám pomocí názvů virtuálních hostitelů služeb ASCS nebo ERS. Tyto názvy hostitelů se přiřazují konfiguraci front-endové IP adresy clusteru nástroje pro vyrovnávání zatížení. Load Balancer podporuje několik IP adres front-endu, takže virtuální IP adresy ASCS i ERS můžou být vázané na jeden nástroj pro vyrovnávání zatížení.
Sítě
Tato architektura používá hvězdicovou topologii. Virtuální síť centra funguje jako centrální bod připojení k místní síti. Paprsky jsou virtuální sítě, které jsou v partnerském vztahu s centrem a izolují úlohy SAP. Provoz prochází mezi místním datacentrem a centrem prostřednictvím připojení brány.
Síťové karty
Síťové karty umožňují veškerou komunikaci mezi virtuálními počítači ve virtuální síti. Tradiční místní nasazení SAP implementují více síťových karet na počítač, aby se oddělil provoz správy od obchodního provozu.
V Azure je virtuální síť softwarově definovanou sítí, která odesílá veškerý provoz přes stejné síťové prostředky infrastruktury. Proto není nutné používat více síťových rozhraní z důvodů výkonu. Pokud ale vaše organizace potřebuje oddělit provoz, můžete na virtuální počítač nasadit několik síťových karet a připojit každou síťovou kartu k jiné podsíti. Skupiny zabezpečení sítě pak můžete použít k vynucení různých zásad řízení přístupu.
Síťové karty Azure podporují více IP adres. Tato podpora odpovídá postupům, které SAP doporučuje používat názvy virtuálních hostitelů pro instalace. Kompletní osnovu najdete v 962955 poznámky SAP. Pokud chcete získat přístup k poznámkám SAP, potřebujete účet SAP Service Marketplace.
Podsítě a skupiny zabezpečení sítě
Tato architektura rozdělí adresní prostor virtuální sítě do podsítí. Každou podsíť můžete přidružit ke skupině zabezpečení sítě, která definuje zásady přístupu pro podsíť. Umístěte aplikační servery do samostatné podsítě. Díky tomu je můžete snadněji zabezpečit tím, že místo jednotlivých serverů spravujete zásady zabezpečení podsítě.
Když přidružíte skupinu zabezpečení sítě k podsíti, skupina zabezpečení sítě se vztahuje na všechny servery v podsíti a nabízí jemně odstupňovanou kontrolu nad servery. Nastavte skupiny zabezpečení sítě pomocí webu Azure Portal, PowerShellu nebo Azure CLI.
ExpressRoute Global Reach
Pokud vaše síťové prostředí zahrnuje dvě nebo více připojení ExpressRoute, může vám s snížením počtu segmentů směrování a latence pomoct Služba ExpressRoute Global Reach . Tato technologie je partnerský vztah tras protokolu BGP (Border Gateway Protocol), který je nastavený mezi dvěma nebo více připojeními ExpressRoute pro přemostit dvě domény směrování ExpressRoute. Global Reach snižuje latenci, když síťový provoz prochází více než jedním připojením ExpressRoute. V současné době je k dispozici pouze pro privátní peering v okruhech ExpressRoute.
V tuto chvíli neexistují žádné seznamy řízení přístupu k síti ani jiné atributy, které je možné změnit v aplikaci Global Reach. Všechny trasy získané daným okruhem ExpressRoute (z místního prostředí a Azure) se tedy inzerují napříč partnerským vztahem okruhu do druhého okruhu ExpressRoute. Doporučujeme vytvořit filtrování síťového provozu místně, abyste omezili přístup k prostředkům.
ExpressRoute FastPath
FastPath je navržený tak, aby zlepšil výkon cesty k datům mezi vaší místní sítí a vaší virtuální sítí. Když je povolená, FastPath odesílá síťový provoz přímo do virtuálních počítačů ve virtuální síti a vynechá bránu.
Pro všechna nová připojení ExpressRoute k Azure je výchozí konfigurací FastPath. Pokud chcete aktivovat FastPath, kontaktujte podpora Azure pro existující okruhy ExpressRoute.
FastPath nepodporuje partnerský vztah virtuálních sítí. Pokud jsou jiné virtuální sítě v partnerském vztahu s jednou připojenou k ExpressRoute, síťový provoz z vaší místní sítě do ostatních paprskových virtuálních sítí se odešle do brány virtuální sítě. Alternativním řešením je přímé připojení všech virtuálních sítí k okruhu ExpressRoute. Tato funkce je v současné době ve verzi Public Preview.
Nástrojů pro vyrovnávání zatížení
SAP Web Dispatcher zpracovává vyrovnávání zatížení provozu HTTP(S) do fondu aplikačních serverů SAP. Tento softwarový nástroj pro vyrovnávání zatížení poskytuje služby aplikační vrstvy (označované jako vrstva 7 v síťovém modelu ISO), které můžou provádět ukončení protokolu SSL a další funkce snižování zátěže.
Azure Load Balancer je služba vrstvy přenosu sítě (vrstva 4), která vyrovnává provoz pomocí hodnoty hash pěti členů z datových proudů. Hodnota hash je založená na zdrojové IP adrese, zdrojovém portu, cílové IP adrese, cílovém portu a typu protokolu. V nasazeních SAP v Azure se Load Balancer používá v nastaveních clusteru k směrování provozu do primární instance služby nebo do uzlu, který je v pořádku, pokud dojde k chybě.
Doporučujeme používat Load Balancer úrovně Standard pro všechny scénáře SAP. Pokud virtuální počítače v back-endovém fondu vyžadují veřejné odchozí připojení nebo pokud se používají v nasazení zóny Azure, vyžaduje Load Balancer úrovně Standard další konfigurace , protože jsou ve výchozím nastavení zabezpečené. Nepovolují odchozí připojení, pokud ho explicitně nenakonfigurujete.
Pro provoz z klientů SAP GUI, kteří se připojují k serveru SAP přes protokol DIAG nebo RFC, server zpráv Centrální služby vyrovnává zatížení prostřednictvím přihlašovacích skupin aplikačního serveru SAP. Pro tento typ nastavení nepotřebujete další nástroj pro vyrovnávání zatížení.
Úložiště
Některé organizace používají pro své aplikační servery standardní úložiště. Spravované disky úrovně Standard se nepodporují. Viz 1928533 poznámky SAP. Pokud chcete získat přístup k poznámkám SAP, potřebujete účet SAP Service Marketplace. Doporučujeme používat spravované disky Azure Úrovně Premium ve všech případech. Nedávná aktualizace poznámky SAP 2015553 vylučuje použití úložiště HDD úrovně Standard a úložiště SSD úrovně Standard pro několik konkrétních případů použití.
Aplikační servery hostují obchodní data. Menší disky P4 a P6 Úrovně Premium můžete použít také k minimalizaci nákladů. Pokud máte centrální instalaci zásobníku SAP, můžete tak využít smlouvu SLA virtuálního počítače s jednou instancí.
Ve scénářích s vysokou dostupností můžete použít sdílené složky Azure a sdílené disky Azure. Spravované disky Azure SSD úrovně Premium a Azure Ultra Disk Storage jsou k dispozici pro sdílené disky Azure a disk SSD úrovně Premium je k dispozici pro sdílené složky Azure.
Úložiště také používá cloudová kopie clusteru k údržbě kvora se zařízením ve vzdálené oblasti Azure, mimo primární oblast, ve které se cluster nachází.
Pro záložní úložiště dat doporučujeme úrovně přístupu azure cool a archivní. Tyto úrovně úložiště poskytují nákladově efektivní způsob ukládání dlouhodobých dat, ke kterým se přistupuje zřídka.
Diskové úložiště Azure PREMIUM SSD v2 je navržené pro důležité úlohy s výkonem, jako jsou systémy pro zpracování online transakcí, které konzistentně vyžadují latenci v milisekundách v kombinaci s vysokou IOPS a propustností.
Diskové úložiště úrovně Ultra výrazně snižuje latenci disku. V důsledku toho přináší výhody kritickým pro výkon aplikací, jako jsou databázové servery SAP. Porovnání možností blokového úložiště v Azure najdete v tématu Typy spravovaných disků Azure.
Pro vysoce dostupné vysoce výkonné sdílené úložiště dat použijte Azure NetApp Files. Tato technologie je zvláště užitečná pro databázovou vrstvu při použití Oracle a také při hostování dat aplikací.
Důležité informace o výkonu
Aplikační servery SAP neustále komunikují s databázovými servery. Pro aplikace kritické pro výkon, které běží na databázových platformách, povolte akcelerátor zápisu pro svazek protokolu, pokud používáte SSD úrovně Premium v1. To může zlepšit latenci zápisu do protokolu. Akcelerátor zápisu je k dispozici pro virtuální počítače řady M.
K optimalizaci komunikace mezi servery použijte akcelerované síťové služby. Většina velikostí instancí virtuálních počítačů optimalizovaných pro obecné účely a výpočetních prostředků, které mají dvě nebo více virtuálních procesorů, podporují akcelerované síťové služby. U instancí, které podporují hyperthreading, podporují instance virtuálních počítačů se čtyřmi nebo více virtuálními procesory akcelerované síťové služby.
Pokud chcete dosáhnout vysoké propustnosti vstupně-výstupních operací za sekundu a disku, postupujte podle běžných postupů optimalizace výkonu svazků úložiště, která platí pro rozložení úložiště Azure. Můžete například umístit několik disků dohromady a vytvořit prokláněný diskový svazek, aby se zlepšil výkon vstupně-výstupních operací. Povolení mezipaměti pro čtení v úložišti obsahu, která se nemění často, zvyšuje rychlost načítání dat.
Ssd úrovně Premium v2 poskytuje vyšší výkon než disky SSD úrovně Premium a obecně je levnější. Disk SSD úrovně Premium v2 můžete nastavit na libovolnou podporovanou velikost, kterou dáváte přednost, a provádět podrobné úpravy výkonu bez výpadků.
Diskové úložiště Úrovně Ultra je k dispozici pro aplikace náročné na vstupně-výstupní operace. Pokud jsou tyto disky k dispozici, doporučujeme je používat přes úložiště Write Accelerator Úrovně Premium. Metriky výkonu, jako jsou IOPS a MB/s, můžete jednotlivě zvýšit nebo snížit bez nutnosti restartování.
Pokyny k optimalizaci úložiště Azure pro úlohy SAP na SQL Serveru najdete v tématu Plánování a implementace služby Azure Virtual Machines pro SAP NetWeaver.
Umístění síťového virtuálního zařízení (NVA) mezi aplikací a databázovými vrstvami pro jakýkoli zásobník aplikací SAP se nepodporuje. Tento postup představuje významný čas zpracování datových paketů, což vede k nepřijatelnému výkonu aplikace.
Skupiny umístění bezkontaktní komunikace
Některé aplikace SAP vyžadují častou komunikaci s databází. Fyzická vzdálenost aplikace a databázových vrstev ovlivňuje latenci sítě, což může nepříznivě ovlivnit výkon aplikace.
K optimalizaci latence sítě můžete použít skupiny umístění bezkontaktní komunikace, které nastavují logické omezení virtuálních počítačů nasazených ve skupinách dostupnosti. Skupiny umístění bezkontaktní komunikace upřednostňují společné umístění a výkon oproti škálovatelnosti, dostupnosti nebo nákladům. Můžou výrazně zlepšit uživatelské prostředí pro většinu aplikací SAP. Skripty, které jsou k dispozici na GitHubu od týmu nasazení SAP, najdete v tématu Skripty.
Zóny dostupnosti
Zóny dostupnosti poskytují způsob, jak nasadit virtuální počítače napříč datovými centry, což jsou fyzicky oddělená umístění v rámci konkrétní oblasti Azure. Jejich účelem je zvýšit dostupnost služeb. Nasazení prostředků napříč zónami ale může zvýšit latenci, proto mějte na paměti důležité informace o výkonu.
Správci potřebují jasný profil latence sítě mezi všemi zónami cílové oblasti, aby mohli určit umístění prostředků s minimální latencí mezi zónami. Pokud chcete vytvořit tento profil, nasaďte do každé zóny malé virtuální počítače pro účely testování. Mezi doporučené nástroje pro tyto testy patří PsPing a Iperf. Po dokončení testů odeberte virtuální počítače, které jste použili k testování. Jako alternativu zvažte použití nástroje pro kontrolu latence mezi zónami Azure.
Aspekty zabezpečení
Pro aplikační vrstvu SAP nabízí Azure širokou škálu velikostí virtuálních počítačů pro vertikální navýšení a horizontální navýšení kapacity. Inkluzivní seznam najdete v poznámkách SAP 1928533 – Aplikace SAP v Azure: Podporované produkty a typy virtuálních počítačů Azure. Pokud chcete získat přístup k poznámkám SAP, potřebujete účet SAP Service Marketplace.
Můžete škálovat aplikační servery SAP a clustery Centrální služby nahoru a dolů. Můžete je také škálovat nebo zmenšit změnou počtu instancí, které používáte. Databáze AnyDB může vertikálně navýšit nebo snížit kapacitu, ale ne vertikálně navýšit kapacitu. Kontejner databáze SAP pro AnyDB nepodporuje horizontální dělení.
Aspekty dostupnosti
Redundance prostředků je obecný motiv v řešeních infrastruktury s vysokou dostupností. Smlouvy SLA pro dostupnost virtuálních počítačů s jednou instancí pro různé typy úložišť najdete v tématu SLA pro virtuální počítače. Pokud chcete zvýšit dostupnost služeb v Azure, nasaďte prostředky virtuálních počítačů pomocí škálovacích sad virtuálních počítačů s flexibilní orchestrací, zónami dostupnosti nebo skupinami dostupnosti.
Nasazení úloh SAP v Azure může být buď regionální, nebo zónové v závislosti na požadavcích na dostupnost a odolnost aplikací SAP. Azure nabízí různé možnosti nasazení, jako jsou škálovací sady virtuálních počítačů s flexibilní orchestrací (FD=1), zóny dostupnosti a skupiny dostupnosti, aby se zlepšila dostupnost prostředků. Pokud chcete získat komplexní přehled o dostupných možnostech nasazení a jejich použitelnosti v různých oblastech Azure (včetně zón, v rámci jedné zóny nebo v oblasti bez zón), podívejte se na architekturu a scénáře s vysokou dostupností pro SAP NetWeaver.
V této distribuované instalaci aplikace SAP se základní instalace replikuje, aby se dosáhlo vysoké dostupnosti. Pro každou vrstvu architektury se návrh s vysokou dostupností liší.
Web Dispatcher na úrovni aplikačních serverů
Komponenta Web Dispatcher se používá jako nástroj pro vyrovnávání zatížení pro provoz SAP mezi aplikačními servery SAP. Aby bylo dosaženo vysoké dostupnosti sap Web Dispatcheru, Load Balancer implementuje buď cluster s podporou převzetí služeb při selhání, nebo paralelní nastavení webového dispečeru.
Pro internetovou komunikaci doporučujeme samostatné řešení v hraniční síti, které se také označuje jako DMZ, aby vyhovovalo obavám zabezpečení.
Vložený webový dispečer ve službě ASCS je speciální možností. Pokud použijete tuto možnost, zvažte správnou velikost kvůli nadbytečné úloze ve službě ASCS.
Centrální služby na úrovni aplikačních serverů
Vysoká dostupnost centrálních služeb se implementuje s clusterem s podporou převzetí služeb při selhání windows serveru. Když je úložiště clusteru pro cluster s podporou převzetí služeb při selhání nasazené v Azure, můžete ho nakonfigurovat dvěma způsoby: jako clusterovaný sdílený disk nebo jako clusterovaná sdílená složka.
Službu Azure Files doporučujeme používat jako plně spravované sdílené složky SMB nebo NFS nativní pro cloud. Dalším způsobem je použití služby Azure NetApp Files, která poskytuje vysoce výkonné sdílené složky NFS a SMB na podnikové úrovni.
Clustery se sdílenými disky v Azure můžete nastavit dvěma způsoby. Nejprve doporučujeme použít sdílené disky Azure k nastavení clusteru s podporou převzetí služeb při selhání windows serveru pro služby SAP Central Services. Příklad implementace najdete v clusteru ASCS s využitím sdílených disků Azure. Dalším způsobem, jak implementovat clusterovaný sdílený disk, je použít SIOS DataKeeper k provádění následujících úloh:
- Replikujte obsah nezávislých disků, které jsou připojené k uzlům clusteru.
- Abstrahujte jednotky jako sdílený svazek clusteru pro správce clusteru.
Podrobnosti o implementaci najdete v tématu Clustering SAP ASCS v Azure se systémem SIOS.
Pokud používáte Load Balancer úrovně Standard, můžete povolit port s vysokou dostupností. Tímto způsobem se můžete vyhnout konfiguraci pravidel vyrovnávání zatížení pro více portů SAP. Při nastavování nástrojů pro vyrovnávání zatížení Azure povolte také direct server return (DSR), který se také nazývá plovoucí IP adresa. To poskytuje způsob, jak odpovědi na server obejít nástroj pro vyrovnávání zatížení. Díky tomuto přímému připojení se nástroj pro vyrovnávání zatížení stává kritickým bodem v cestě přenosu dat. Doporučujeme povolit DSR pro ASCS a databázové clustery.
Aplikační služby na úrovni aplikačních serverů
Vysoká dostupnost aplikačních serverů SAP se dosahuje vyrovnáváním zatížení v rámci fondu aplikačních serverů. Nepotřebujete software clusteru, SAP Web Dispatcher ani nástroj pro vyrovnávání zatížení Azure. Server zpráv SAP může vyrovnávat zatížení klientského provozu na aplikační servery definované v přihlašovací skupině ABAP transakční SMLG.
Databázová vrstva
V této architektuře běží zdrojová databáze na AnyDB – dbms, jako je SQL Server, SAP ASE, IBM Db2 nebo Oracle. Funkce nativní replikace databázové vrstvy poskytuje ruční nebo automatické převzetí služeb při selhání mezi replikovanými uzly.
Podrobnosti o implementaci konkrétních databázových systémů najdete v tématu Nasazení DBMS služby Azure Virtual Machines pro SAP NetWeaver.
Virtuální počítače nasazené napříč zónami dostupnosti
Zóna dostupnosti se skládá z jednoho nebo více datacenter. Je navržená tak, aby zlepšila dostupnost úloh a chránila aplikační služby a virtuální počítače před výpadky datacenter. Virtuální počítače v jedné zóně se považují za virtuální počítače v jedné doméně selhání. Když vyberete zónové nasazení, virtuální počítače ve stejné zóně se distribuují do domén selhání na základě maximálního úsilí.
V oblastech Azure, které podporují více zón, jsou k dispozici aspoň tři zóny. Maximální vzdálenost mezi datovými centry v těchto zónách ale není zaručená. Pokud chcete nasadit vícevrstvé systémy SAP napříč zónami, potřebujete znát latenci sítě v rámci zóny a napříč cílovými zónami. Potřebujete také vědět, jak citlivé jsou nasazené aplikace na latenci sítě.
Při rozhodování o nasazení prostředků napříč zónami dostupnosti vezměte v úvahu tyto aspekty:
- Latence mezi virtuálními počítači v jedné zóně
- Latence mezi virtuálními počítači napříč vybranými zónami
- Dostupnost stejných služeb Azure (typů virtuálních počítačů) ve vybraných zónách
Poznámka:
Zóny dostupnosti podporují vysokou dostupnost uvnitř oblastí, ale nejsou efektivní pro zotavení po havárii (DR). Vzdálenosti mezi zónami jsou příliš krátké. Typické lokality zotavení po havárii by měly být vzdáleny nejméně 100 kilometrů od primární oblasti.
Příklad aktivního/neaktivního nasazení
V tomto příkladu nasazení stav aktivní/pasivní odkazuje na stav aplikační služby v rámci zón. Ve vrstvě aplikace jsou všechny čtyři aktivní aplikační servery systému SAP v zóně 1. Další sada čtyř pasivních aplikačních serverů je integrovaná v zóně 2, ale je vypnutá. Aktivují se jenom v případě, že jsou potřeba.
Clustery se dvěma uzly pro centrální služby a databázové služby jsou roztažené mezi dvě zóny. Pokud zóna 1 selže, centrální služby a databázové služby běží v zóně 2. Pasivní aplikační servery v zóně 2 se aktivují. Díky všem komponentám tohoto systému SAP se teď společně nachází ve stejné zóně, je latence sítě minimalizovaná.
Příklad aktivního/aktivního nasazení
V nasazení typu aktivní/aktivní jsou dvě sady aplikačních serverů vytvořené ve dvou zónách. V každé zóně jsou dva aplikační servery v každé sadě serverů neaktivní, protože jsou vypnuté. V důsledku toho jsou aktivní aplikační servery v obou zónách během normálního provozu.
Centrální služby a databázové služby běží v zóně 1. Aplikační servery v zóně 2 můžou mít delší latenci sítě, když se připojují k Centrálním službám a databázovým službám kvůli fyzické vzdálenosti mezi zónami.
Pokud zóna 1 přejde do režimu offline, centrální služby a databázové služby převezme služby při selhání do zóny 2. Neaktivní aplikační servery můžete přenést do online režimu, abyste zajistili plnou kapacitu pro zpracování aplikací.
Aspekty zotavení po havárii
Každá vrstva v zásobníku aplikací SAP používá jiný přístup k zajištění ochrany zotavení po havárii. Podrobnosti o strategiích zotavení po havárii a implementaci najdete v tématu Přehled zotavení po havárii a pokyny pro infrastrukturu pro úlohy SAP a pokyny pro zotavení po havárii pro aplikaci SAP.
Poznámka:
Pokud dojde k regionální havárii, která způsobí velké převzetí služeb při selhání pro mnoho zákazníků Azure v jedné oblasti, není zaručená kapacita prostředků cílové oblasti. Stejně jako všechny služby Azure site Recovery nadále přidává funkce a možnosti. Nejnovější informace o replikaci z Azure do Azure najdete v matici podpory.
Důležité informace o správě a provozu
Pokud chcete systém udržovat v produkčním prostředí, zvažte následující body.
Azure Center pro řešení SAP
Azure Center for SAP solutions je komplexní řešení, které umožňuje vytvářet a provozovat systémy SAP jako jednotné úlohy v Azure a poskytuje efektivnější základ pro inovace. Prostředí nasazení s asistencí pro řešení SAP také vytvoří potřebné výpočetní, úložné a síťové komponenty, které potřebujete ke spuštění systému SAP. Pomůže vám pak automatizovat instalaci softwaru SAP podle osvědčených postupů Microsoftu. Možnosti správy můžete využít u nových i stávajících systémů SAP v Azure. Další informace najdete v tématu Azure Center pro řešení SAP.
Pokud potřebujete větší kontrolu nad událostmi údržby nebo izolací hardwaru pro zajištění výkonu nebo dodržování předpisů, zvažte nasazení virtuálních počítačů na vyhrazené hostitele.
Backup
Databáze jsou kritické úlohy, které vyžadují nízký cíl bodu obnovení (RPO) a dlouhodobé uchovávání.
Pro SAP na SQL Serveru je jedním z přístupů použití služby Azure Backup k zálohování databází SQL Serveru, které běží na virtuálních počítačích. Další možností je použít snímky služby Azure Files k zálohování databázových souborů SQL Serveru.
Sap v Oracle/Windows najdete v části Zálohování a obnovení v nasazení DBMS virtuálního počítače Azure pro SAP.
Další databáze najdete v doporučeních pro zálohování pro vašeho poskytovatele databáze. Pokud databáze podporuje službu Stínová kopie svazku windows (VSS), použijte snímky služby Stínová kopie svazku systému Windows pro zálohování konzistentní vzhledem k aplikacím.
Správa identit
K řízení přístupu k prostředkům na všech úrovních použijte centralizovaný systém správy identit, jako je Microsoft Entra ID a Doména služby Active Directory Services (AD DS):
Poskytnutí přístupu k prostředkům Azure pomocí řízení přístupu na základě role v Azure (Azure RBAC)
Udělte přístup k virtuálním počítačům Azure pomocí protokolu LDAP (Lightweight Directory Access Protocol), Microsoft Entra ID, Kerberos nebo jiného systému.
Podpora přístupu v rámci samotných aplikací pomocí služeb, které SAP poskytuje. Nebo použijte OAuth 2.0 a Microsoft Entra ID.
Sledování
Pokud chcete maximalizovat dostupnost a výkon aplikací a služeb v Azure, použijte Azure Monitor, komplexní řešení pro shromažďování, analýzu a akce na telemetrii z cloudových a místních prostředí. Azure Monitor ukazuje, jak aplikace fungují a aktivně identifikují problémy, které je ovlivňují, a prostředky, na nichž závisí. V případě aplikací SAP, které běží na SAP HANA a dalších hlavních databázových řešeních, najdete v tématu Azure Monitor pro řešení SAP, kde se dozvíte, jak vám azure Monitor pro SAP může pomoct se správou dostupnosti a výkonu služeb SAP.
Bezpečnostní aspekty
SAP má vlastní modul pro správu uživatelů (UME) pro řízení přístupu a autorizace na základě role v rámci aplikací a databází SAP. Podrobné pokyny k zabezpečení aplikací najdete v průvodci zabezpečením SAP NetWeaver.
Pokud chcete zajistit větší zabezpečení sítě, zvažte použití hraniční sítě , která používá síťové virtuální zařízení k vytvoření brány firewall před podsítí pro Web Dispatcher.
Síťové virtuální zařízení můžete nasadit k filtrování provozu mezi virtuálními sítěmi, ale neumisťujte ho mezi aplikací SAP a databází. Zkontrolujte také pravidla směrování nakonfigurovaná v podsíti a vyhněte se směrování provozu do síťového virtuálního zařízení s jednou instancí. To může vést k výpadku údržby a selhání sítě nebo clusterovaného uzlu.
Kvůli zabezpečení infrastruktury se data šifrují při přenosu a neaktivních uložených datech. Informace o zabezpečení sítě najdete v části Doporučení zabezpečení ve službě Azure Virtual Machines k plánování a implementaci pro SAP NetWeaver. Tento článek také určuje síťové porty, které je potřeba otevřít v bránách firewall, aby umožňovaly komunikaci aplikací.
Azure Disk Encryption můžete použít k šifrování disků virtuálních počítačů s Windows. Tato služba používá funkci BitLockeru systému Windows k zajištění šifrování svazků pro operační systém a datové disky. Řešení také spolupracuje se službou Azure Key Vault, která vám pomůže řídit a spravovat klíče a tajné kódy pro šifrování disků ve vašem předplatném trezoru klíčů. Neaktivní uložená data na discích virtuálních počítačů se šifrují ve vašem úložišti Azure.
Pro šifrování neaktivních uložených dat sql Server transparentní šifrování dat (TDE) šifruje SQL Server, Azure SQL Database a datové soubory Azure Synapse Analytics. Další informace najdete v tématu NASAZENÍ SQL Server Azure Virtual Machines DBMS pro SAP NetWeaver.
Pokud chcete monitorovat hrozby z brány firewall i mimo bránu firewall, zvažte nasazení služby Microsoft Sentinel (Preview). Řešení poskytuje nepřetržitou detekci a analýzu hrozeb pro systémy SAP nasazené v Azure, v jiných cloudech nebo místně. Pokyny k nasazení najdete v tématu Nasazení monitorování hrozeb pro SAP v Microsoft Sentinelu.
Stejně jako vždy spravujte aktualizace zabezpečení a opravy, které chrání vaše informační prostředky. Zvažte použití komplexního přístupu automatizace pro tuto úlohu.
Důležité informace o nákladech
K odhadu nákladů použijte cenovou kalkulačku Azure.
Další informace najdete v části věnované nákladům v tématu Dobře navržená architektura Microsoft Azure.
Pokud vaše úloha vyžaduje více paměti a méně procesorů, zvažte použití jedné z velikostí virtuálních počítačů vCPU s omezenými omezeními, abyste snížili náklady na licencování softwaru, které se účtují za vCPU.
Virtuální počítače
Tato architektura používá virtuální počítače pro aplikační vrstvu a databázovou vrstvu. Vrstva SAP NetWeaver používá virtuální počítače s Windows ke spouštění služeb a aplikací SAP. Na databázové vrstvě běží AnyDB jako databáze, jako je SQL Server, Oracle nebo IBM DB2. Virtuální počítače se také používají jako jump boxy pro správu.
Pro virtuální počítače existuje několik možností platby:
U úloh, které nemají předvídatelný čas dokončení nebo spotřeby prostředků, zvažte možnost průběžných plateb.
Zvažte použití rezervací Azure, pokud se můžete zavázat k používání virtuálního počítače po dobu jednoho roku nebo tříletého období. Rezervace virtuálních počítačů můžou výrazně snížit náklady. Můžete zaplatit až 72 procent nákladů na službu s průběžným platbou.
Pomocí spotových virtuálních počítačů Azure můžete spouštět úlohy, které je možné přerušit a nevyžadují dokončení v rámci předem určeného časového rámce nebo smlouvy SLA. Azure nasadí spotové virtuální počítače, když je k dispozici kapacita, a vyřazuje je, když potřebuje kapacitu zpět. Náklady spojené s spotovými virtuálními počítači jsou nižší než u jiných virtuálních počítačů. Zvažte spotové virtuální počítače pro tyto úlohy:
- Scénáře vysokovýkonné výpočetní techniky, úlohy dávkového zpracování nebo aplikace pro vizuální vykreslování
- Testovací prostředí, včetně kontinuální integrace a úloh průběžného doručování
- Rozsáhlé bezstavové aplikace
Rezervované instance virtuálních počítačů Azure můžou snížit celkové náklady na vlastnictví tím, že zkombinují sazby rezervovaných instancí virtuálních počítačů Azure s předplatným s průběžnými platbami, abyste mohli spravovat náklady napříč předvídatelnými a proměnlivými úlohami. Další informace najdete v tématu Rezervované instance virtuálních počítačů Azure.
Load Balancer
V tomto scénáři se Load Balancer používá k distribuci provozu do virtuálních počítačů v podsíti aplikační vrstvy.
Účtuje se vám jenom počet nakonfigurovaných pravidel vyrovnávání zatížení a odchozích přenosů a navíc za data, která se zpracovávají přes nástroj pro vyrovnávání zatížení. Pravidla překladu příchozích síťových adres (NAT) jsou bezplatná. Za Load Balancer úrovně Standard se neúčtují žádné hodinové poplatky, pokud nejsou nakonfigurovaná žádná pravidla.
ExpressRoute
V této architektuře je ExpressRoute síťová služba, která se používá k vytváření privátních připojení mezi místní sítí a virtuálními sítěmi Azure.
Veškerý příchozí přenos dat je zdarma. Veškerý odchozí přenos dat se účtuje na základě předem stanovené sazby. Další informace najdete v tématu o cenách Azure ExpressRoute.
Komunity
Komunity dokážou zodpovědět dotazy a pomáhají zajistit úspěšné nasazení. Zvažte tyto prostředky:
- Spuštění aplikací SAP na blogu Microsoft Platform
- Podpora komunity Azure
- Komunita SAP
- Stack Overflow pro SAP
Přispěvatelé
Tento článek spravuje Microsoft. Původně byl napsán následujícím přispěvatelem.
Hlavní autor:
- Ben Trinh | Hlavní architekt
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
Další informace a příklady úloh SAP, které používají některé ze stejných technologií jako tato architektura, najdete v těchto článcích:
- Plánování a implementace virtuálních počítačů Azure pro SAP NetWeaver
- Použití Azure k hostování a spouštění scénářů úloh SAP