Installer HA SAP NetWeaver avec Azure Files SMB

  • Article

Microsoft et SAP prennent désormais entièrement en charge les partages de fichiers Azure Files Premium Server Message Block (S Mo). SAP Software Provisioning Manager (SWPM) 1.0 SP32 et SWPM 2.0 SP09 (et versions ultérieures) prennent en charge le stockage Azure Files Premium S Mo.

Il existe des exigences spéciales pour dimensionnement des partages S Mo Azure Files Premium. Cet article contient des recommandations spécifiques sur la façon de distribuer des charges de travail, de choisir une taille de stockage adéquate et de répondre aux exigences minimales d’installation pour Azure Files Premium S Mo.

Les solutions SAP haute disponibilité ont besoin d’un partage de fichiers hautement disponible pour l’hébergement de sapmnt, de transport et de répertoires d’interface . Azure Files Premium S Mo est une solution PaaS (Platform as a Service) Azure simple pour les systèmes de fichiers partagés pour les environnements SAP sur Windows. Vous pouvez utiliser Azure Files Premium S Mo avec des groupes à haute disponibilité et des zones de disponibilité. Vous pouvez également utiliser Azure Files Premium S Mo pour les scénarios de récupération d’urgence dans une autre région.

Remarque

Le clustering d’instances SAP ASCS/SCS à l’aide d’un partage de fichiers est pris en charge pour les systèmes SAP avec SAP Kernel 7.22 (et versions ultérieures). Pour plus d’informations, consultez la note SAP 2698948.

Dimensionnement et distribution d’Azure Files Premium S Mo pour les systèmes SAP

Évaluez les points suivants lorsque vous planifiez le déploiement d’Azure Files Premium S Mo :

  • Le nom de partage de fichiers sapmnt peut être créé une fois par compte de stockage. Il est possible de créer des ID de stockage supplémentaires (SID) en tant que répertoires sur le même partage /sapmnt, tel que /sapmnt/<SID1> et /sapmnt/<SID2>.
  • Choisissez une taille, des IOPS et un débit appropriés. Une taille suggérée pour le partage est de 256 Go par SID. La taille maximale d’un partage est de 5 120 Go.
  • Azure Files Premium S Mo peut ne pas fonctionner correctement pour les partages sapmnt très volumineux avec plus de 1 million de fichiers par compte de stockage.  Les clients qui ont des millions de travaux par lots qui créent des millions de fichiers journaux de travail doivent régulièrement les réorganiser, comme décrit dans la note SAP 16083. Si nécessaire, vous pouvez déplacer ou archiver les anciens journaux de travaux vers un autre partage de fichiers Azure Files Premium S Mo. Si vous prévoyez que sapmnt soit très volumineux , envisagez d’autres options (telles qu’Azure NetApp Files).
  • Nous vous recommandons d’utiliser un point de terminaison de réseau privé.
  • Évitez de placer trop de SID dans un seul compte de stockage et son partage de fichiers.
  • En guise d’aide générale, ne rassemblez pas plus de quatre SID hors production.
  • Ne placez pas l’ensemble du paysage du système de développement, de production et d’assurance qualité (QAS) dans un compte de stockage ou un partage de fichiers. L’échec du partage entraîne un temps d’arrêt de l’ensemble du paysage SAP.
  • Nous vous recommandons de placer les répertoires sapmnt et de transport sur différents comptes de stockage, sauf dans des systèmes plus petits. Pendant l’installation du serveur d’applications principal SAP, SAPinst demande le nom d’hôte de transport . Entrez le nom de domaine complet d’un autre compte de stockage en tant que storage_account.file.core.windows.net>.<
  • Ne placez pas le système de fichiers utilisé pour les interfaces sur le même compte de stockage que /sapmnt/<SID>.
  • Vous devez ajouter les utilisateurs et groupes SAP au partage sapmnt . Définissez l’autorisation Stockage Données de fichier S Mo Share Elevated Contributor pour celles-ci dans le Portail Azure.

La distribution du transport, de l’interface et de sapmnt entre des comptes de stockage distincts améliore le débit et la résilience. Il simplifie également l’analyse des performances. Si vous placez de nombreux SID et d’autres systèmes de fichiers dans un seul compte de stockage Azure Files et que les performances du compte de stockage sont médiocres, car vous atteignez les limites de débit, il est difficile d’identifier le SID ou l’application qui provoque le problème.

Planification

Important

L’installation de systèmes HAUTE disponibilité SAP sur Azure Files Premium S Mo avec l’intégration d’Active Directory nécessite une collaboration entre équipes. Nous vous recommandons que les équipes suivantes travaillent ensemble pour accomplir des tâches :

  • Équipe Azure : Configurez et configurez des comptes de stockage, l’exécution de script et la synchronisation Active Directory.
  • Équipe Active Directory : créez des comptes d’utilisateur et des groupes.
  • Équipe de base : exécutez SWPM et définissez des listes de contrôle d’accès (ACL), si nécessaire.

Voici les conditions préalables à l’installation des systèmes HAUTE disponibilité SAP NetWeaver sur Azure Files Premium S Mo avec l’intégration d’Active Directory :

  • Joignez les serveurs SAP à un domaine Active Directory.
  • Répliquez le domaine Active Directory qui contient les serveurs SAP vers Microsoft Entra ID à l’aide de Microsoft Entra Connecter.
  • Assurez-vous qu’au moins un contrôleur de domaine Active Directory se trouve dans le paysage Azure, pour éviter de traverser Azure ExpressRoute pour contacter des contrôleurs de domaine locaux.
  • Assurez-vous que l’équipe support Azure passe en revue la documentation d’Azure Files S Mo avec l’intégration d’Active Directory. La vidéo montre des options de configuration supplémentaires, qui ont été modifiées (DNS) et ignorées (DFS-N) pour des raisons de simplification. Mais il s’agit d’options de configuration valides.
  • Assurez-vous que l’utilisateur qui exécute le script PowerShell Azure Files est autorisé à créer des objets dans Active Directory.
  • Utilisez SWPM version 1.0 SP32 et SWPM 2.0 SP09 ou ultérieure pour l’installation. Le correctif SAPinst doit être 749.0.91 ou version ultérieure.
  • Installez une version à jour de PowerShell sur l’instance Windows Server où le script est exécuté.

Séquence d’installation

Créer des utilisateurs et des groupes

L’administrateur Active Directory doit créer, à l’avance, trois utilisateurs de domaine disposant de droits d’Administration istrateur locaux et d’un groupe global dans l’instance Windows Server Active Directory locale.

SAPCONT_ADMIN@SAPCONTOSO.localdispose des droits d’Administration istrateur de domaine et est utilisé pour exécuter SAPinst,< sid>adm et SAPService<SID> en tant qu’utilisateurs système SAP et groupe SAP_<SAPSID>_GlobalAdministration. Le guide d’installation SAP contient les détails spécifiques requis pour ces comptes.

Remarque

Les comptes d’utilisateur SAP ne doivent pas être des administrateurs de domaine. Nous vous recommandons généralement de ne pas utiliser <sid>adm pour exécuter SAPinst.

Vérifier le Gestionnaire de service de synchronisation

L’administrateur Active Directory ou l’administrateur Azure doit case activée Synchronization Service Manager dans Microsoft Entra Connecter. Par défaut, la réplication vers l’ID Microsoft Entra prend environ 30 minutes.

Créer un compte de stockage, un point de terminaison privé et un partage de fichiers

L’administrateur Azure doit effectuer les tâches suivantes :

  1. Sous l’onglet Informations de base , créez un compte de stockage avec un stockage redondant interzone premium (ZRS) ou un stockage localement redondant (LRS). Les clients disposant d’un déploiement zonal doivent choisir ZRS. Ici, l’administrateur doit faire le choix entre la configuration d’un compte Standard ou Premium .

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Important

    Pour une utilisation en production, nous vous recommandons de choisir un compte Premium . Pour une utilisation hors production, un compte Standard doit être suffisant.

  2. Sous l’onglet Avancé , les paramètres par défaut doivent être OK.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. Sous l’onglet Mise en réseau , l’administrateur prend la décision d’utiliser un point de terminaison privé.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Sélectionnez Ajouter un point de terminaison privé pour le compte de stockage, puis entrez les informations pour créer un point de terminaison privé.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. Si nécessaire, ajoutez un enregistrement DNS A dans Windows DNS pour <storage_account_name>.file.core.windows.net. (Cela peut avoir besoin d’être dans une nouvelle zone DNS.) Discutez de cette rubrique avec l’administrateur DNS. La nouvelle zone ne doit pas être mise à jour en dehors d’une organisation.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Créez le partage de fichiers sapmnt avec une taille appropriée. La taille suggérée est de 256 Go, qui fournit 650 IOPS, 75-Mo/s sortie et 50-Mo/s entrée.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Téléchargez le contenu GitHub Azure Files et exécutez le script.

    Ce script crée un compte d’ordinateur ou un compte de service dans Active Directory. Elle comporte les impératifs suivants :

    • L’utilisateur qui exécute le script doit avoir l’autorisation de créer des objets dans le domaine Active Directory qui contient les serveurs SAP. En règle générale, une organisation utilise un compte d’Administration istrateur de domaine tel que SAPCONT_ADMIN@SAPCONTOSO.local.
    • Avant que l’utilisateur exécute le script, vérifiez que ce compte d’utilisateur de domaine Active Directory est synchronisé avec l’ID Microsoft Entra. Par exemple, vous pouvez ouvrir le Portail Azure et accéder aux utilisateurs de Microsoft Entra, case activée que l’utilisateur existe et vérifier le compte d’utilisateur SAPCONT_ADMIN@SAPCONTOSO.local Microsoft Entra.
    • Accordez le rôle De contrôle d’accès en fonction du rôle Contributeur (RBAC) à ce compte d’utilisateur Microsoft Entra pour le groupe de ressources qui contient le compte de stockage qui contient le partage de fichiers. Dans cet exemple, l’utilisateur SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com reçoit le rôle Contributeur au groupe de ressources respectif.
    • L’utilisateur doit exécuter le script tout en se connectant à une instance Windows Server à l’aide d’un compte d’utilisateur de domaine Active Directory avec l’autorisation spécifiée précédemment.

    Dans cet exemple de scénario, l’administrateur Active Directory se connecte à l’instance de Windows Server en tant que SAPCONT_ADMIN@SAPCONTOSO.local. Lorsque l’administrateur utilise la commande Connect-AzAccountPowerShell, l’administrateur se connecte en tant qu’utilisateur SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com. Dans l’idéal, l’administrateur Active Directory et l’administrateur Azure doivent travailler ensemble sur cette tâche.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Important

    Lorsqu’un utilisateur exécute la commande Connect-AzAccountde script PowerShell, nous vous recommandons vivement d’entrer le compte d’utilisateur Microsoft Entra qui correspond et mappe au compte d’utilisateur de domaine Active Directory utilisé pour se connecter à une instance Windows Server.

    Une fois que le script s’exécute correctement, accédez à Stockage> File Shares et vérifiez qu’Active Directory : Configuré s’affiche.

  6. Affectez aux utilisateurs <SAP sid>adm et SAPService<SID>, ainsi que le groupe SAP_<SAPSID>_GlobalAdministration, au partage de fichiers Azure Files Premium S Mo. Sélectionnez le rôle Stockage Mo Contributeur avec élévation de privilèges de partage dans le Portail Azure.

  7. Vérifiez la liste de contrôle d’accès sur le partage de fichiers sapmnt après l’installation. Ajoutez ensuite le compte DOMAIN\CLUSTER_NAME$, le compte DOMAIN\<sid>adm, le compte DOMAIN\SAPService<SID> et le groupe SAP_<SID>_GlobalAdministration. Ces comptes et ces groupes doivent avoir un contrôle total du répertoire sapmnt .

    Important

    Effectuez cette étape avant l’installation de SAPinst. Il est difficile ou impossible de modifier les listes de contrôle d’accès une fois que SAPinst a créé des répertoires et des fichiers sur le partage de fichiers.

    Les captures d’écran suivantes montrent comment ajouter des comptes d’ordinateur.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    Vous trouverez le compte DOMAIN\CLUSTER_NAME$ en sélectionnant Ordinateurs sous Types d’objets.

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. Si nécessaire, déplacez le compte d’ordinateur créé pour Azure Files vers un conteneur Active Directory qui n’a pas d’expiration de compte. Le nom du compte d’ordinateur est le nom court du compte de stockage.

    Important

    Pour initialiser la liste de contrôle d’accès Windows pour le partage S Mo, montez le partage une fois sur une lettre de lecteur.

    La clé de stockage est le mot de passe et l’utilisateur est Azure\<S Mo nom> de partage.

    Windows screenshot of the one-time mount of the SMB share.

Effectuer des tâches SAP Basis

Un administrateur SAP Basis doit effectuer ces tâches :

  1. Installez le cluster Windows sur les nœuds ASCS/ERS et ajoutez le témoin cloud.
  2. La première installation du nœud de cluster demande le nom du compte de stockage Azure Files S Mo. Entrez le nom de domaine <storage_account_name>.file.core.windows.netcomplet . Si SAPinst n’accepte pas plus de 13 caractères, la version SWPM est trop ancienne.
  3. Modifier le profil SAP de l’instance ASCS/SCS.
  4. Mettez à jour le port de sonde pour le rôle SID> SAP <dans le cluster de basculement Windows Server (WSFC).
  5. Poursuivez l’installation de SWPM pour le deuxième nœud ASCS/ERS. SWPM nécessite uniquement le chemin d’accès du répertoire de profil. Entrer le chemin d’accès UNC complet au répertoire du profil.
  6. Entrez le chemin du profil UNC pour la base de données et pour l’installation du serveur d’applications principal (PAS) et du serveur d’applications supplémentaire (AAS).
  7. L’installation pas demande le nom d’hôte de transport . Indiquez le nom de domaine complet d’un nom de compte de stockage distinct pour le répertoire de transport .
  8. Vérifiez les listes de contrôle d’accès sur le SID et le répertoire de transport .

Configuration de la récupération d’urgence

Azure Files Premium S Mo prend en charge les scénarios de récupération d’urgence et les scénarios de réplication inter-régions. Toutes les données dans azure Files Premium S Mo répertoires peuvent être synchronisées en continu avec le compte de stockage d’une région de récupération d’urgence. Pour plus d’informations, consultez la procédure de synchronisation des fichiers dans Le transfert de données avec AzCopy et le stockage de fichiers.

Après un événement de récupération d’urgence et un basculement de l’instance ASCS vers la région de récupération d’urgence, modifiez le SAPGLOBALHOST paramètre de profil pour qu’il pointe vers Azure Files S Mo dans la région de récupération d’urgence. Effectuez les mêmes étapes de préparation sur le compte de stockage de récupération d’urgence pour joindre le compte de stockage à Active Directory et attribuer des rôles RBAC pour les utilisateurs et groupes SAP.

Dépannage

Les scripts PowerShell que vous avez téléchargés précédemment contiennent un script de débogage pour effectuer des case activée de base pour valider la configuration.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Voici une capture d’écran PowerShell de la sortie du script de débogage.

Screenshot of the PowerShell script to validate configuration.

La capture d’écran suivante montre les informations techniques pour valider une jointure de domaine réussie.

Screenshot of the PowerShell script to retrieve technical info.

Configurations facultatives

Les diagrammes suivants montrent plusieurs instances SAP sur des machines virtuelles Azure exécutant le cluster de basculement Windows Server pour réduire le nombre total de machines virtuelles.

Cette configuration peut être des serveurs d’applications SAP locaux sur un cluster SAP ASCS/SCS ou un rôle de cluster SAP ASCS/SCS sur des nœuds Always On Microsoft SQL Server.

Important

L’installation d’un serveur d’applications SAP local sur un nœud SQL Server Always On n’est pas prise en charge.

SAP ASCS/SCS et la base de données Microsoft SQL Server sont des points de défaillance uniques (SPOF). L’utilisation d’Azure Files S Mo permet de protéger ces SPOF dans un environnement Windows.

Bien que la consommation de ressources de SAP ASCS/SCS soit assez petite, nous vous recommandons de réduire la configuration de la mémoire de 2 Go pour SQL Server ou le serveur d’applications SAP.

Serveurs d’applications SAP sur des nœuds WSFC à l’aide d’Azure Files S Mo

Le diagramme suivant montre les serveurs d’applications SAP installés localement.

Diagram of a high-availability setup with additional application servers.

Remarque

Le diagramme montre l’utilisation de disques locaux supplémentaires. Cette configuration est facultative pour les clients qui n’installent pas le logiciel d’application sur le lecteur du système d’exploitation (lecteur C).

Nœuds SAP ASCS/SCS sur SQL Server Always On à l’aide d’Azure Files S Mo

Le diagramme suivant montre Azure Files S Mo avec l’installation locale de SQL Server.

Important

L’utilisation d’Azure Files S Mo pour un volume SQL Server n’est pas prise en charge.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Remarque

Le diagramme montre l’utilisation de disques locaux supplémentaires. Cette configuration est facultative pour les clients qui n’installent pas le logiciel d’application sur le lecteur du système d’exploitation (lecteur C).