SAP-üzembe helyezés megtervezése és implementálása az Azure-ban

Az Azure-ban a szervezetek hosszadalmas beszerzési ciklus elvégzése nélkül szerezhetik be a szükséges felhőbeli erőforrásokat és szolgáltatásokat. Az SAP-számítási feladatok Azure-ban való futtatásához azonban ismerni kell a rendelkezésre álló lehetőségeket, és körültekintő tervezésre van szükség ahhoz, hogy az Azure-összetevők és az architektúra közül válassza ki a megoldást.

Az Azure átfogó platformot kínál az SAP-alkalmazások futtatásához. Az Azure-infrastruktúra szolgáltatásként (IaaS) és szolgáltatásként nyújtott platform (PaaS) ajánlatai kombinálva optimális választást biztosítanak a teljes SAP vállalati környezet sikeres üzembe helyezéséhez.

Ez a cikk kiegészíti az SAP dokumentációját és az SAP Notest, amely az SAP-szoftverek Azure-on és más platformokon való telepítésével és üzembe helyezésével kapcsolatos elsődleges források.

Definíciók

Ebben a cikkben a következő kifejezéseket használjuk:

• SAP-összetevő: Egyéni SAP-alkalmazás, például SAP S/4HANA, SAP ECC, SAP BW vagy SAP Solution Manager. Az SAP-összetevők alapulhatnak hagyományos advanced business application programming (ABAP) vagy Java technológiákon, vagy lehetnek olyan alkalmazások is, amelyek nem SAP NetWeaveren alapulnak, mint például az SAP BusinessObjects.
• SAP-környezet: Több OLYAN SAP-összetevő, amely logikailag csoportosítva van egy üzleti funkció, például fejlesztés, minőségbiztosítás, betanítás, vészhelyreállítás vagy éles üzem elvégzéséhez.
• SAP-környezet: Az SAP-eszközök teljes készlete a szervezet informatikai környezetében. Az SAP-környezet magában foglalja az összes termelési és nem termelési környezetet.
• SAP-rendszer: Egy adatbázis-kezelő rendszer (DBMS) réteg és egy alkalmazásréteg kombinációja. Két példa egy SAP ERP fejlesztési rendszer és egy SAP BW tesztrendszer. Egy Azure-üzemelő példányban ez a két réteg nem osztható el a helyszíni és az Azure között. Az SAP-rendszert a helyszínen vagy az Azure-ban kell üzembe helyezni. Az SAP-környezeten belül azonban különböző rendszereket is üzemeltethet az Azure-ban vagy a helyszínen.

Források

Az SAP-számítási feladatok Azure-beli üzemeltetését és futtatását ismertető dokumentáció belépési pontja az SAP használatának első lépései egy Azure-beli virtuális gépen. A cikkben a következő témakörökre mutató hivatkozásokat talál:

• AZ SAP számítási feladatainak tárolási, hálózatkezelési és támogatott beállításai.
• SAP DBMS-útmutatók az Azure különböző DBMS-rendszereihez.
• SAP üzembe helyezési útmutatók manuális és automatizált egyaránt.
• Az Azure-beli SAP-számítási feladatok magas rendelkezésre állási és vészhelyreállítási adatai.
• Integráció az Azure-beli SAP-val más szolgáltatásokkal és külső alkalmazásokkal.

Fontos

Az előfeltételek, a telepítési folyamat és az adott SAP-funkciók részletei érdekében fontos, hogy gondosan olvassa el az SAP dokumentációját és útmutatóit. Ez a cikk csak az Azure-beli virtuális gépen (virtuális gépen) telepített és üzemeltetett SAP-szoftverek konkrét feladatait ismerteti.

A következő SAP-megjegyzések képezik az AZURE-beli üzembe helyezésekkel kapcsolatos azure-útmutató alapját:

Jegyzet száma	Cím
1928533	SAP-alkalmazások az Azure-ban: Támogatott termékek és méretezés
2015553	SAP az Azure-ban: Támogatási előfeltételek
2039619	SAP-alkalmazások az Azure-ban az Oracle Database használatával
2233094	DB6: SAP-alkalmazások az Azure-ban az IBM DB2 linuxos, UNIX és Windows rendszerű használatával
1999351	Az SAP továbbfejlesztett Azure Monitorozásának hibaelhárítása
1409604	Virtualizálás Windows rendszeren: Fokozott figyelés
2191498	SAP Linuxon az Azure-ral: Továbbfejlesztett monitorozás
2731110	Az Azure-beli SAP hálózati virtuális berendezéseinek (NVA) támogatása

Az Azure-előfizetések és -erőforrások általános alapértelmezett és maximális korlátozásaiért tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait.

Forgatókönyvek

Az SAP-szolgáltatásokat gyakran a vállalat legkritikusabb alkalmazásai közé sorolják. Az alkalmazások architektúrája és működése összetett, és fontos, hogy a rendelkezésre állásra és a teljesítményre vonatkozó összes követelmény teljesüljön. A vállalatok általában alaposan átgondolják, hogy melyik felhőszolgáltatót választják az ilyen üzleti szempontból kritikus üzleti folyamatok futtatásához.

Az Azure ideális nyilvános felhőplatform az üzletileg kritikus FONTOSSÁGÚ SAP-alkalmazásokhoz és üzleti folyamatokhoz. A legtöbb jelenlegi SAP-szoftver, köztük az SAP NetWeaver és az SAP S/4HANA rendszerek jelenleg az Azure-infrastruktúrában üzemeltethetők. Az Azure több mint 800 processzortípust és virtuális gépet kínál, amelyek több terabájtnyi memóriával rendelkeznek.

A támogatott forgatókönyvek és a nem támogatott forgatókönyvek leírásáért tekintse meg az SAP-t az Azure-beli virtuális gépeken támogatott forgatókönyvekben. Ellenőrizze ezeket a forgatókönyveket és azokat a feltételeket, amelyek nem támogatottak az Azure-ban üzembe helyezni kívánt architektúra tervezésekor.

Ahhoz, hogy sikeresen üzembe helyezhesse az SAP-rendszereket az Azure IaaS-ben vagy általában az IaaS-ben, fontos megérteni a hagyományos magánfelhők és az IaaS-ajánlatok ajánlatai közötti jelentős különbségeket. A hagyományos gazdagépek vagy kiszervezések az infrastruktúrát (hálózati, tárolási és kiszolgálótípust) az ügyfél által üzemeltetni kívánt számítási feladathoz igazítják. Egy IaaS-üzembe helyezés során az ügyfél vagy a partner felelőssége, hogy értékelje a lehetséges számítási feladatokat, és válassza ki a virtuális gépek, a tárolás és a hálózat megfelelő Azure-összetevőit.

Az Azure-ban való üzembe helyezés megtervezéséhez szükséges adatok gyűjtéséhez fontos:

• Határozza meg, hogy mely SAP-termékeket és -verziókat támogatja az Azure.
• Értékelje ki, hogy a használni kívánt operációs rendszer-kiadások támogatottak-e az SAP-termékekhez választott Azure-beli virtuális gépeken.
• Határozza meg, hogy az SAP-termékek milyen DBMS-kiadásokat támogatnak az adott virtuális gépeken.
• Értékelje ki, hogy az SAP-környezet frissítése vagy frissítése szükséges-e a támogatott konfiguráció eléréséhez szükséges operációs rendszer- és DBMS-kiadásokhoz való igazodáshoz.
• Értékelje ki, hogy át kell-e lépnie a különböző operációs rendszerekre az Azure-ban való üzembe helyezéshez.

Az Azure-ban, az Azure-infrastruktúraegységekben támogatott SAP-összetevőkkel, valamint a kapcsolódó operációsrendszer-kiadásokkal és DBMS-kiadásokkal kapcsolatos részleteket az Azure-üzemelő példányokhoz támogatott SAP-szoftverek ismertetik. Az SAP-kiadások, az operációsrendszer-kiadások és a DBMS-kiadások közötti támogatás és függőségek kiértékelésével szerzett tudás jelentős hatással van az SAP-rendszerek Azure-ba való áthelyezésére tett erőfeszítéseire. Megtudhatja, hogy jelentős előkészítési erőfeszítésekre van-e szükség, például frissítenie kell-e az SAP-kiadást, vagy másik operációs rendszerre kell váltania.

Üzembe helyezés megtervezésének első lépései

Az üzembe helyezés tervezésének első lépése nem az SAP-alkalmazások futtatásához elérhető virtuális gépek keresése.

Az üzembe helyezés megtervezésének első lépéseként a szervezet megfelelőségi és biztonsági csapataival kell együttműködnie annak meghatározásához, hogy milyen határfeltételek vannak az SAP számítási feladatainak vagy üzleti folyamatainak nyilvános felhőben való üzembe helyezéséhez. A folyamat időigényes lehet, de kritikus fontosságú a befejezés.

Ha a szervezet már telepített szoftvereket az Azure-ban, a folyamat egyszerű lehet. Ha a vállalata az út elején jár, nagyobb megbeszélésekre lehet szükség a határfeltételek, a biztonsági feltételek és a vállalati architektúra megállapításához, amely lehetővé teszi bizonyos SAP-adatok és SAP-üzleti folyamatok nyilvános felhőben való üzemeltetését.

A megfelelőség megtervezése

A Microsoft megfelelőségi ajánlatainak listáját, amelyek segíthetnek a megfelelőségi igények megtervezésében, tekintse meg a Microsoft megfelelőségi ajánlatait.

Tervezés a biztonsághoz

Az SAP-specifikus biztonsági problémákról, például az inaktív adatok adattitkosításáról vagy egy Azure-szolgáltatás egyéb titkosításáról az Azure-titkosítás áttekintésében és az SAP-környezet biztonságában talál további információt.

Azure-erőforrások rendszerezése

Ha még nem végezte el ezt a feladatot, a biztonsági és megfelelőségi felülvizsgálattal együtt tervezze meg az Azure-erőforrások rendszerezését. A folyamat magában foglalja a következő döntések meghozatalát:

• Az egyes Azure-erőforrásokhoz, például virtuális gépekhez és erőforráscsoportokhoz használt elnevezési konvenció.
• Előfizetés és felügyeleti csoport tervezése az SAP-számítási feladathoz, például hogy több előfizetést kell-e létrehozni számítási feladatonként, üzembe helyezési szintenként vagy minden egyes üzleti egységhez.
• Az Azure Policy nagyvállalati szintű használata előfizetésekhez és felügyeleti csoportokhoz.

A megfelelő döntések meghozatalához a vállalati architektúra számos részletét az Azure felhőadaptálási keretrendszer ismerteti.

Ne becsülje alá a projekt kezdeti fázisát a tervezés során. Az üzembe helyezés megtervezését csak akkor érdemes előrelépnie, ha a megfelelőségre, a biztonságra és az Azure-erőforrás-szervezetre vonatkozó megállapodásokkal és szabályokkal rendelkezik.

A következő lépések a földrajzi elhelyezés és az Azure-ban üzembe helyezhető hálózati architektúra megtervezése.

Az Azure földrajzi területei és régiói

Az Azure-szolgáltatások külön Azure-régiókban érhetők el. Az Azure-régió adatközpontok gyűjteménye. Az adatközpontok tartalmazzák a régióban elérhető Azure-szolgáltatásokat üzemeltető és futtató hardvert és infrastruktúrát. Az infrastruktúra nagy számú csomópontot tartalmaz, amelyek számítási csomópontként vagy tárolási csomópontként működnek, vagy amelyek hálózati funkciókat futtatnak.

Az Azure-régiók listájáért tekintse meg az Azure földrajzi helyeit. Interaktív térképért tekintse meg az Azure globális infrastruktúrát.

Nem minden Azure-régió kínál ugyanazokat a szolgáltatásokat. A futtatni kívánt SAP-terméktől, a méretezési követelményektől, valamint a szükséges operációs rendszertől és DBMS-től függően előfordulhat, hogy egy adott régió nem kínálja a forgatókönyvhöz szükséges virtuálisgép-típusokat. Ha például SAP HANA-t futtat, általában a különböző M sorozatú virtuálisgép-családok virtuális gépeire van szüksége. Ezek a virtuálisgép-családok csak az Azure-régiók egy részhalmazában vannak üzembe helyezve.

Amikor elkezdi megtervezni és átgondolni, hogy mely régiókat válassza elsődleges és végül másodlagos régióként, meg kell vizsgálnia, hogy a forgatókönyvekhez szükséges szolgáltatások elérhetők-e az ön által megfontolt régiókban. Megtudhatja, hogy pontosan mely virtuálisgép-típusok, Azure Storage-típusok és egyéb Azure-szolgáltatások érhetők el az egyes régiókban a régiónként elérhető termékekben.

Párosított Azure-régiók

Egy Azure-beli párosított régióban bizonyos adatok replikálása alapértelmezés szerint engedélyezve van a két régió között. További információ: Régiók közötti replikáció az Azure-ban: Üzletmenet-folytonosság és vészhelyreállítás.

A régiópárokban az adatreplikálás olyan Azure Storage-típusokhoz van kötve, amelyeket konfigurálhat a párosított régióba való replikáláshoz. További információ: Storage redundancia egy másodlagos régióban.

A párosított régiók adatreplikálását támogató tárolási típusok olyan tárolótípusok, amelyek nem alkalmasak AZ SAP-összetevőkre és a DBMS-számítási feladatokra. Az Azure Storage-replikáció használhatósága az Azure Blob Storage-ra korlátozódik (biztonsági mentési célokra), fájlmegosztásokra és kötetekre, valamint egyéb nagy késésű tárolási forgatókönyvekre.

A párosított régiók és az elsődleges vagy másodlagos régiókban használni kívánt szolgáltatások keresésekor előfordulhat, hogy az elsődleges régióban használni kívánt Azure-szolgáltatások vagy virtuálisgép-típusok nem érhetők el a másodlagos régióként használni kívánt párosított régióban. Vagy azt is megállapíthatja, hogy az Azure párosított régiója adatmegfelelési okokból nem elfogadható az Ön forgatókönyvéhez. Ezekben a forgatókönyvekben másodlagos vagy vészhelyreállítási régióként kell használnia egy nem használt régiót, és be kell állítania néhány adatreplikálást.

Availability zones

Számos Azure-régió használja a rendelkezésre állási zónákat az Azure-régión belüli helyek fizikai elkülönítésére. Minden rendelkezésre állási zóna egy vagy több adatközpontból áll, amelyek független energiaellátással, hűtéssel és hálózatkezeléssel rendelkeznek. A rendelkezésre állási zónák rugalmasságának fokozására példaként két virtuális gépet helyez üzembe két különálló rendelkezésre állási zónában az Azure-ban. Egy másik példa az SAP DBMS-rendszer magas rendelkezésre állású keretrendszerének implementálása egy rendelkezésre állási zónában, és az SAP (A)SCS üzembe helyezése egy másik rendelkezésre állási zónában, így ön a legjobb SLA-t kapja az Azure-ban.

Az Azure-beli virtuálisgép-SLA-kkal kapcsolatos további információkért tekintse meg a Virtuális gépek SLA-k legújabb verzióját. Mivel az Azure-régiók gyorsan fejlődnek és terjednek, az Azure-régiók topológiája, a fizikai adatközpontok száma, az adatközpontok közötti távolság és az Azure rendelkezésre állási zónák közötti távolság fejlődik. A hálózati késés megváltozik az infrastruktúra változásakor.

Ha olyan régiót választ ki, amely rendelkezésre állási zónákkal rendelkezik, kövesse az SAP számítási feladatainak azure-beli rendelkezésre állási zónákkal való konfigurálásának útmutatását. Azt is meghatározhatja, hogy melyik zónatelepítési modell felel meg a legjobban a követelményeknek, a választott régiónak és a számítási feladatnak.

Tartalék tartományok

A tartalék tartományok a meghibásodás fizikai egységét jelölik. A tartalék tartomány szorosan kapcsolódik az adatközpontokban található fizikai infrastruktúrához. Bár a fizikai panelek vagy állványok tartalék tartománynak tekinthetők, a fizikai számítási elem és a tartalék tartomány között nincs közvetlen egy-az-egyhez leképezés.

Ha több virtuális gépet helyez üzembe egy SAP-rendszer részeként, közvetetten befolyásolhatja az Azure Fabric-vezérlőt a virtuális gépek különböző tartalék tartományokba való üzembe helyezésére, hogy megfeleljen a rendelkezésre állási SLA-k követelményeinek. Azonban nem tudja közvetlenül szabályozni a tartalék tartományok elosztását egy Azure-skálázási egységen (több száz számítási csomópontot vagy tárolócsomópontot és hálózatkezelést tartalmazó gyűjteményen) vagy a virtuális gépek adott tartalék tartományhoz való hozzárendelésén. Ahhoz, hogy az Azure Fabric-vezérlővel különböző tartalék tartományokon keresztül üzembe helyezhesse a virtuális gépeket, az üzembe helyezéskor hozzá kell rendelnie egy Azure rendelkezésre állási csoportot a virtuális gépekhez. További információ: Rendelkezésre állási csoportok.

Frissítési tartományok

A frissítési tartományok egy logikai egységet jelölnek, amely meghatározza, hogy a több virtuális gépből álló SAP-rendszerben lévő virtuális gépek hogyan frissülnek. Platformfrissítések esetén az Azure egyenként frissíti ezeket a frissítési tartományokat. Ha a virtuális gépeket üzembe helyezéskor különböző frissítési tartományokra terjeszti, megvédheti az SAP-rendszert a lehetséges állásidőtől. A tartalék tartományokhoz hasonlóan az Azure-beli méretezési egységek több frissítési tartományra vannak osztva. Ha az Azure Fabric-vezérlőt úgy szeretné mozgatni, hogy virtuális gépeket helyezzen üzembe különböző frissítési tartományokon keresztül, az üzembe helyezéskor hozzá kell rendelnie egy Azure rendelkezésre állási csoportot a virtuális gépekhez. További információ: Rendelkezésre állási csoportok.

Rendelkezésre állási csoportok

Az Azure-beli virtuális gépeket egy Azure rendelkezésre állási csoporton belül az Azure Fabric-vezérlő különböző tartalék tartományokon osztja el. A különböző tartalék tartományok közötti elosztás célja, hogy megakadályozza az SAP-rendszer összes virtuális gépének leállítását az infrastruktúra karbantartása során, vagy ha hiba történik egy tartalék tartományban. Alapértelmezés szerint a virtuális gépek nem részei a rendelkezésre állási csoportnak. Virtuális gépet csak az üzembe helyezéskor vagy a virtuális gép ismételt üzembe helyezésekor vehet fel egy rendelkezésre állási csoportban.

Az Azure rendelkezésre állási csoportjairól és a rendelkezésre állási csoportok tartalék tartományokhoz való viszonyáról további információt az Azure rendelkezésre állási csoportjaiban talál.

Fontos

Az Azure rendelkezésre állási zónái és rendelkezésre állási csoportjai kölcsönösen kizárják egymást. Több virtuális gépet is üzembe helyezhet egy adott rendelkezésre állási zónában vagy rendelkezésre állási csoportban. A rendelkezésre állási zóna és a rendelkezésre állási csoport azonban nem rendelhető hozzá virtuális géphez.

A rendelkezésre állási csoportokat és a rendelkezésre állási zónákat kombinálhatja, ha közelségi elhelyezési csoportokat használ.

Amikor rendelkezésre állási csoportokat határoz meg, és különböző virtuálisgép-családok különböző virtuális gépeit próbálja kombinálni egy rendelkezésre állási csoportban, problémákat tapasztalhat, amelyek megakadályozzák, hogy egy adott virtuálisgép-típust egy rendelkezésre állási készletbe foglaljon. Ennek az az oka, hogy a rendelkezésre állási csoport egy adott típusú számítási gazdagépet tartalmazó skálázási egységhez van kötve. Egy adott számítási gazdagéptípus csak bizonyos típusú virtuálisgép-családokon futtatható.

Létrehozhat például egy rendelkezésre állási csoportot, és üzembe helyezi az első virtuális gépet a rendelkezésre állási csoportban. Az első virtuális gép, amelyet hozzáad a rendelkezésre állási csoporthoz, az Edsv5 virtuálisgép-családban található. Amikor megpróbál üzembe helyezni egy második virtuális gépet, egy M-családba tartozó virtuális gépet, ez az üzembe helyezés meghiúsul. Ennek az az oka, hogy az Edsv5 családi virtuális gépek nem ugyanazon a gazdagéphardveren futnak, mint az M-család virtuális gépei.

Ugyanez a probléma akkor fordulhat elő, ha virtuális gépeket átméretez. Ha megpróbál áthelyezni egy virtuális gépet az Edsv5-családból, és egy M-családba tartozó virtuálisgép-típusba próbál áthelyezni, az üzembe helyezés meghiúsul. Ha olyan virtuálisgép-családra méretez át, amely nem üzemeltethető ugyanazon a gazdagéphardveren, le kell állítania a rendelkezésre állási csoportban lévő összes virtuális gépet, és átméreteznie kell őket, hogy a másik gazdagéptípuson fussanak. A rendelkezésre állási csoportban üzembe helyezett virtuális gépek SLA-járól további információt a Virtuális gépek SLA-jai című témakörben talál.

Virtuálisgép-méretezési csoportok rugalmas vezényléssel

A rugalmas vezénylésű virtuálisgép-méretezési csoportok a platform által felügyelt virtuális gépek logikai csoportosítását biztosítják. Lehetősége van méretezési csoport létrehozására a régión belül, vagy a rendelkezésre állási zónákra is kiterjedhet. A létrehozáskor a rugalmas méretezési csoport egy régióban a PlatformFaultDomainCount>1 (FD>1) használatával, a méretezési csoportban üzembe helyezett virtuális gépek adott számú tartalék tartomány között lesznek elosztva ugyanabban a régióban. Másrészt a rugalmas méretezési csoport rendelkezésre állási zónák közötti létrehozása a PlatformFaultDomainCount=1 (FD=1) használatával elosztaná a virtuális gépeket a megadott zónák között, és a méretezési csoport a virtuális gépeket a zóna különböző tartalék tartományai között is elosztaná a legjobb erőfeszítés alapján.

AZ SAP-számítási feladatok esetében csak az FD=1 rugalmas méretezési csoport támogatott. A rugalmas méretezési csoportok és az FD=1 együttes használatának előnye a zónák közötti üzembe helyezéshez, a hagyományos rendelkezésre állási zónák helyett az, hogy a méretezési csoporttal üzembe helyezett virtuális gépek a lehető legjobb munkamennyiséggel oszlanak el a zónán belüli különböző tartalék tartományok között. Ha többet szeretne megtudni az SAP számítási feladatok méretezési csoporttal való üzembe helyezéséről, tekintse meg a rugalmas virtuálisgép-méretezés üzembe helyezési útmutatóját.

Ha magas rendelkezésre állású SAP-számítási feladatot helyez üzembe az Azure-ban, fontos figyelembe venni a különböző elérhető üzembehelyezési típusokat, és hogy hogyan alkalmazhatók a különböző Azure-régiókban (például zónákban, egyetlen zónában vagy zónák nélküli régióban). További információ: Magas rendelkezésre állású üzembe helyezési lehetőségek az SAP számítási feladataihoz.

Tipp.

Jelenleg nincs közvetlen mód a rendelkezésre állási csoportokban vagy rendelkezésre állási zónákban üzembe helyezett SAP-számítási feladatok rugalmas skálázásra való migrálására az FD=1 használatával. A váltáshoz újra létre kell hoznia a virtuális gépet és a lemezt a meglévő erőforrások zónakorlátozásaival. A nyílt forráskódú projektek olyan PowerShell-függvényeket tartalmaznak, amelyekkel mintaként módosíthatja a rendelkezésre állási csoportban vagy a rendelkezésre állási zónában üzembe helyezett virtuális gépeket rugalmas méretezési csoportra az FD=1 használatával. Egy blogbejegyzés bemutatja, hogyan módosíthatja a rendelkezésre állási csoportban vagy a rendelkezésre állási zónában üzembe helyezett HA- vagy nem HA SAP-rendszert rugalmas méretezési csoportra az FD=1 használatával.

Közelségi elhelyezési csoportok

Az egyes SAP virtuális gépek közötti hálózati késés jelentős hatással lehet a teljesítményre. Az SAP-alkalmazáskiszolgálók és a DBMS közötti hálózati kerekítési idő különösen jelentős hatással lehet az üzleti alkalmazásokra. Optimális esetben az SAP virtuális gépeket futtató összes számítási elem a lehető legszorosabban található. Ez a lehetőség nem minden kombinációban lehetséges, és előfordulhat, hogy az Azure nem tudja, hogy mely virtuális gépek legyenek együtt. A legtöbb helyzetben és régióban az alapértelmezett elhelyezés megfelel a hálózati kerekítés késésére vonatkozó követelményeknek.

Ha az alapértelmezett elhelyezés nem felel meg az SAP-rendszeren belüli hálózati kerekítési követelményeknek, a közelségi elhelyezési csoportok képesek kielégíteni ezt az igényt. A rugalmasság növelése érdekében használhat közelségi elhelyezési csoportokat az Azure-régió, a rendelkezésre állási zóna és a rendelkezésre állási csoport helykorlátozásaival. A közelségi elhelyezési csoporttal a rendelkezésre állási zónát és a rendelkezésre állási csoportot kombinálva különböző frissítési és hibatartományokat állíthat be. A közelségi elhelyezési csoportnak csak egyetlen SAP-rendszert kell tartalmaznia.

Bár a közelségi elhelyezési csoportban való üzembe helyezés a leginkább késésoptimalizált elhelyezést eredményezheti, a közelségi elhelyezési csoport használatával történő üzembe helyezésnek is vannak hátrányai. Egyes virtuálisgép-családok nem kombinálhatók egy közelségi elhelyezési csoportban, vagy problémákba ütközhet, ha átméretezi a virtuálisgép-családokat. Előfordulhat, hogy a virtuálisgép-családok, régiók és rendelkezésre állási zónák korlátozásai nem támogatják a közös elhelyezést. A részletekért és a közelségi elhelyezési csoport használatának előnyeiről és lehetséges kihívásairól a Közelség elhelyezési csoport forgatókönyvei című témakörben olvashat.

A közelségi elhelyezési csoportokat nem használó virtuális gépeknek kell az alapértelmezett üzembe helyezési módszernek lenniük a legtöbb esetben az SAP-rendszerek esetében. Ez az alapértelmezett érték különösen igaz az SAP-rendszer zonális (egyetlen rendelkezésre állási zóna) és többzónás (két rendelkezésre állási zóna között elosztott virtuális gépek) üzemelő példányai esetében. A közelségi elhelyezési csoportok használatát sap-rendszerekre és Azure-régiókra kell korlátozni, ha csak teljesítménybeli okokból szükséges.

Azure-hálózatok

Az Azure-nak van egy hálózati infrastruktúrája, amely megfelel az SAP-telepítésben implementálni kívánt összes forgatókönyvnek. Az Azure-ban a következő képességekkel rendelkezik:

• Hozzáférés az Azure-szolgáltatásokhoz és az alkalmazások által használt virtuális gépek adott portjaihoz.
• Közvetlen hozzáférés a virtuális gépekhez a Secure Shell (SSH) vagy a Windows Remote Desktop (RDP) használatával felügyelet és felügyelet céljából.
• Belső kommunikáció és névfeloldás a virtuális gépek és az Azure-szolgáltatások között.
• Helyszíni kapcsolat egy helyszíni hálózat és az Azure-hálózatok között.
• Kommunikáció a különböző Azure-régiókban üzembe helyezett szolgáltatások között.

A hálózatkezeléssel kapcsolatos részletes információkért lásd: Azure Virtual Network.

A hálózatkezelés tervezése általában az első olyan technikai tevékenység, amelyet az Azure-ban való üzembe helyezéskor végez. A központi vállalati architektúra, például az SAP támogatása gyakran része az általános hálózatkezelési követelményeknek. A tervezési szakaszban a lehető legrészletesebben dokumentálnia kell a javasolt hálózati architektúrát. Ha később módosítja az alhálózati hálózati címeket, előfordulhat, hogy át kell helyeznie vagy törölnie kell az üzembe helyezett erőforrásokat.

Azure-beli virtuális hálózatok

A virtuális hálózat alapvető építőeleme a magánhálózatnak az Azure-ban. Megadhatja a hálózat címtartományát, és a tartományt hálózati alhálózatokra bonthatja. Egy hálózati alhálózat használható sap virtuális gép számára, vagy dedikáltan egy adott szolgáltatáshoz vagy célhoz. Egyes Azure-szolgáltatásokhoz, például az Azure Virtual Networkhez és Azure-alkalmazás Gatewayhez dedikált alhálózatra van szükség.

A virtuális hálózat hálózati határként működik. Az üzembe helyezés megtervezésekor szükséges terv része a virtuális hálózat, az alhálózatok és a magánhálózati címtartományok meghatározása. A virtuális gépek üzembe helyezése után nem módosíthatja az erőforrások, például a hálózati adapterek (NIC-k) virtuális hálózati hozzárendelését. Ha módosít egy virtuális hálózatot vagy egy alhálózati címtartományt , akkor előfordulhat, hogy az összes üzembe helyezett erőforrást egy másik alhálózatra kell áthelyeznie.

A hálózat kialakításának az SAP üzembe helyezésére vonatkozó számos követelményt kell kielégítenie:

• Egyetlen hálózati virtuális berendezés, például tűzfal sem kerül az SAP-alkalmazás és az SAP-termékek DBMS-rétege közötti kommunikációs útvonalba az SAP-kernelen keresztül, például S/4HANA vagy SAP NetWeaver.
• A hálózati útválasztási korlátozásokat az alhálózat szintjén a hálózati biztonsági csoportok (NSG-k) kényszerítik ki. A virtuális gépek IP-címeit az NSG-szabályokban fenntartott alkalmazásbiztonsági csoportokba (ASG-kbe) csoportosítja, és engedélyek szerepkör-, réteg- és SID-csoportosítását biztosítja.
• Az SAP-alkalmazás- és adatbázis-virtuális gépek ugyanazon a virtuális hálózaton futnak, egyetlen virtuális hálózat ugyanazon vagy különböző alhálózatán belül. Használjon különböző alhálózatokat alkalmazás- és adatbázis-virtuális gépekhez. Másik lehetőségként dedikált alkalmazás és DBMS ASG-k használatával csoportosíthatja azokat a szabályokat, amelyek az adott alhálózaton belüli egyes számítási feladatokra vonatkoznak.
• A gyorsított hálózatkezelés az SAP számítási feladataihoz tartozó összes virtuális gép összes hálózati kártyáján engedélyezve van, ahol technikailag lehetséges.
• Gondoskodjon biztonságos hozzáférésről a központi szolgáltatásoktól való függőséghez, beleértve a névfeloldás (DNS), az identitáskezelés (Windows Server Active Directory-tartományok/Microsoft Entra-azonosító) és a rendszergazdai hozzáférést.
• Szükség esetén hozzáférést biztosít nyilvános végpontokhoz és azok alapján. Ilyenek például a ClusterLabs Pacemaker-műveletek Azure-felügyeletéhez magas rendelkezésre állású, vagy olyan Azure-szolgáltatásokhoz, mint az Azure Backup.
• Csak akkor használjon több hálózati adaptert, ha olyan kijelölt alhálózatok létrehozásához van szükség, amelyek saját útvonalakkal és NSG-szabályokkal rendelkeznek.

Az SAP üzembe helyezéséhez használható hálózati architektúra példáiért tekintse meg az alábbi cikkeket:

• SAP S/4HANA Linuxon az Azure-ban
• SAP NetWeaver Windows rendszeren az Azure-ban
• Bejövő és kimenő internetes kommunikáció az SAP-hoz az Azure-ban

Virtuális hálózatokkal kapcsolatos szempontok

Egyes virtuális hálózatkezelési konfigurációknak konkrét szempontokat kell figyelembe venniük.

• Nem támogatott a hálózati virtuális berendezések konfigurálása az SAP-alkalmazásréteg és az SAP-összetevők DBMS-rétege között az SAP-kernel használatával, például az S/4HANA vagy az SAP NetWeaver használatával.

  A kommunikációs útvonalakon található hálózati virtuális berendezések könnyedén megduplázhatják a két kommunikációs partner közötti hálózati késést. Az SAP-alkalmazásréteg és a DBMS-réteg közötti kritikus útvonalak átviteli sebességét is korlátozhatják. Bizonyos esetekben a hálózati virtuális berendezések a Pacemaker Linux-fürtöinek meghibásodását okozhatják.

  Az SAP-alkalmazásréteg és a DBMS-réteg közötti kommunikációs útvonalnak közvetlen elérési útnak kell lennie. A korlátozás nem tartalmaz ASG- és NSG-szabályokat , ha az ASG- és NSG-szabályok lehetővé teszik a közvetlen kommunikációs útvonalat.

  Egyéb forgatókönyvek, amelyekben a hálózati virtuális berendezések nem támogatottak, a következők:

  • A Pacemaker Linux-fürtcsomópontjait és SBD-eszközeit képviselő Azure-beli virtuális gépek közötti kommunikációs útvonalak a SU Standard kiadás Linux Enterprise Server for SAP-alkalmazásokhoz készült Azure-beli virtuális gépeken futó SAP NetWeaver magas rendelkezésre állása című cikkben leírtak szerint.
  • Az Azure-beli virtuális gépek és a Windows Server kibővített fájlmegosztások közötti kommunikációs útvonalak, amelyek egy Sap ASCS/SCS-példány fürtön történő fürtben az Azure-beli fájlmegosztás használatával állíthatók be.

• Az SAP-alkalmazásréteg és a DBMS-réteg elkülönítése nem támogatott különböző Azure-beli virtuális hálózatokra. Javasoljuk, hogy különítse el az SAP-alkalmazásréteget és a DBMS-réteget az ugyanazon Az Azure-beli virtuális hálózaton belüli alhálózatok használatával ahelyett, hogy különböző Azure-beli virtuális hálózatokat használna.

  Ha olyan nem támogatott forgatókönyvet állít be, amely két SAP-rendszerréteget különít el különböző virtuális hálózatokban, a két virtuális hálózatot társviszonyba kell állítani.

  A két társviszonyban álló Azure-beli virtuális hálózat közötti hálózati forgalom átviteli költségekkel függ össze. Minden nap nagy mennyiségű, több terabájtból álló adatcsere történik az SAP-alkalmazásréteg és a DBMS-réteg között. Jelentős költséggel jár, ha az SAP-alkalmazásréteg és a DBMS-réteg két társviszonyban lévő Azure-beli virtuális hálózat között van elkülönítve.

Névfeloldás és tartományi szolgáltatások

A gazdagép nevének DNS-n keresztüli feloldása gyakran kulcsfontosságú eleme az SAP hálózatkezelésének. Számos lehetősége van a név és az IP-feloldás konfigurálására az Azure-ban.

A vállalat gyakran rendelkezik központi DNS-megoldással, amely az általános architektúra részét képezi. Az Azure-beli névfeloldás natív implementálásának számos lehetőségét a saját DNS-kiszolgálók beállítása helyett az Azure-beli virtuális hálózatok erőforrásainak névfeloldása ismerteti.

A DNS-szolgáltatásokhoz hasonlóan előfordulhat, hogy a Windows Server Active Directoryt is elérhetővé kell tenni az SAP virtuális gépek vagy szolgáltatások számára.

IP-cím hozzárendelése

A hálózati adapter ip-címe továbbra is érvényes marad, és a virtuális gép hálózati adapterének teljes fennállása során használatos. A szabály dinamikus és statikus IP-hozzárendelésre is vonatkozik. Továbbra is igaz, hogy a virtuális gép fut vagy le van állítva. A dinamikus IP-hozzárendelés akkor jelenik meg, ha a hálózati adaptert törölték, ha az alhálózat megváltozik, vagy ha a foglalási módszer statikusra változik.

Rögzített IP-címeket rendelhet egy Azure-beli virtuális hálózaton belüli virtuális gépekhez. Az IP-címeket gyakran hozzárendelik olyan SAP-rendszerekhez, amelyek külső DNS-kiszolgálóktól és statikus bejegyzésektől függenek. Az IP-cím a virtuális gép és a hálózati adapter törléséig vagy az IP-cím hozzárendelésének megszüntetéséig marad hozzárendelve. A virtuális hálózat IP-címtartományának meghatározásakor figyelembe kell vennie a virtuális gépek teljes számát (fut és leállított).

További információ: Statikus magánhálózati IP-címmel rendelkező virtuális gép létrehozása.

Megjegyzés:

Az Azure-beli virtuális gépek és hálózati adaptereik statikus és dinamikus IP-címfoglalása között kell döntenie. A virtuális gép vendég operációs rendszere a virtuális gép indításakor megkapja a hálózati adapterhez rendelt IP-címet. A vendég operációs rendszerben nem szabad statikus IP-címeket hozzárendelni egy hálózati adapterhez. Egyes Azure-szolgáltatások, például az Azure Backup arra a tényre támaszkodnak, hogy legalább az elsődleges hálózati adapter DHCP-ra van állítva, és nem statikus IP-címekre az operációs rendszeren belül. További információ: Azure-beli virtuális gépek biztonsági mentésének hibaelhárítása.

Másodlagos IP-címek az SAP-gazdagépnév virtualizálásához

Minden Azure-beli virtuális gép hálózati adapteréhez több IP-cím is hozzárendelhető. Másodlagos IP-cím használható egy SAP virtuális gazdagépnévhez, amely egy DNS A rekordhoz vagy EGY DNS PTR-rekordhoz van leképezve. Másodlagos IP-címet kell hozzárendelni az Azure NIC IP-konfigurációhoz. A másodlagos IP-címeket statikusan is konfigurálni kell az operációs rendszeren belül, mert a másodlagos IP-címeket gyakran nem DHCP-vel rendelik hozzá. Minden másodlagos IP-címnek ugyanabból az alhálózatból kell származnia, amelyhez a hálózati adapter kötődik. A másodlagos IP-címek hozzáadhatók és eltávolíthatók az Azure NIC-ből a virtuális gép leállítása vagy felszabadítása nélkül. A hálózati adapter elsődleges IP-címének hozzáadásához vagy eltávolításához a virtuális gépet felszabadítani kell.

Megjegyzés:

Másodlagos IP-konfigurációk esetén az Azure Load Balancer lebegő IP-címe nem támogatott. Az Azure load balancert az SAP magas rendelkezésre állású architektúrái használják Pacemaker-fürtökkel. Ebben a forgatókönyvben a terheléselosztó engedélyezi az SAP virtuális gazdagépneveket. A virtuális gazdagépnevek használatával kapcsolatos általános útmutatásért tekintse meg az SAP Megjegyzés 962955.

Azure Load Balancer SAP-t futtató virtuális gépekkel

A terheléselosztót általában magas rendelkezésre állású architektúrákban használják, hogy lebegő IP-címeket biztosítsanak az aktív és a passzív fürtcsomópontok között. Egy terheléselosztóval egyetlen virtuális géphez is használhatja az SAP virtuális gazdagép nevének virtuális IP-címét. A terheléselosztó használata egyetlen virtuális géphez másodlagos IP-cím használata hálózati adapteren vagy több hálózati adapter használata ugyanazon az alhálózaton.

A standard terheléselosztó módosítja az alapértelmezett kimenő elérési utat, mert az architektúrája alapértelmezés szerint biztonságos. Előfordulhat, hogy a standard terheléselosztó mögötti virtuális gépek már nem tudják elérni ugyanazokat a nyilvános végpontokat. Néhány példa az operációs rendszer frissítési adattárának vagy az Azure-szolgáltatások nyilvános végpontjának végpontja. A kimenő kapcsolat biztosításának lehetőségeiért tekintse meg a virtuális gépek nyilvános végpontkapcsolatát az Azure standard terheléselosztójának használatával.

Tipp.

Az alapszintű terheléselosztót nem szabad sap-architektúrával használni az Azure-ban. Az alapszintű terheléselosztót a rendszer kivezeti.

Több virtuális hálózati adapter virtuális gépenként

Egy Azure-beli virtuális géphez több virtuális hálózati adaptert (vNIC-t) is definiálhat, és mindegyik virtuális hálózati adapter az elsődleges virtuális hálózati adapterrel azonos virtuális hálózat bármely alhálózatához van hozzárendelve. Ha több virtuális hálózati adapterrel rendelkezik, szükség esetén megkezdheti a hálózati forgalom elkülönítésének beállítását. Az ügyfélforgalom például az elsődleges virtuális hálózati adapteren keresztül lesz irányítva, és néhány rendszergazdai vagy háttérbeli forgalom egy második virtuális hálózati adapteren keresztül lesz irányítva. Az operációs rendszertől és a használt rendszerképtől függően előfordulhat, hogy az operációs rendszeren belüli hálózati adapterek forgalmi útvonalait be kell állítani a megfelelő útválasztáshoz.

A virtuális gép típusa és mérete határozza meg, hogy egy virtuális gép hány virtuális hálózati adaptert rendelhet hozzá. A funkciókkal és korlátozásokkal kapcsolatos információkért lásd : Több IP-cím hozzárendelése virtuális gépekhez az Azure Portal használatával.

A virtuális gépekhez való virtuális hálózati adapterek hozzáadása nem növeli a rendelkezésre álló hálózati sávszélességet. Minden hálózati adapter ugyanazt a sávszélességet használja. Javasoljuk, hogy csak akkor használjon több hálózati adaptert, ha a virtuális gépeknek privát alhálózatokhoz kell hozzáférniük. Olyan tervezési mintát ajánlunk, amely az NSG funkcióira támaszkodik, és leegyszerűsíti a hálózati és alhálózati követelményeket. A kialakításnak a lehető legkevesebb hálózati adaptert kell használnia, és optimális esetben csak egyet. Kivételt képez a HANA vertikális felskálázása, amelyben másodlagos virtuális hálózati adapterre van szükség a HANA belső hálózatához.

Figyelmeztetés:

Ha több virtuális hálózati adaptert használ egy virtuális gépen, javasoljuk, hogy egy elsődleges hálózati adapter alhálózatát használja a felhasználói hálózati forgalom kezeléséhez.

Accelerated networking

Az Azure-beli virtuális gépek közötti hálózati késés további csökkentése érdekében javasoljuk, hogy ellenőrizze, hogy az Azure gyorsított hálózatkezelése engedélyezve van-e minden olyan virtuális gépen, amely SAP-számítási feladatot futtat. Bár az új virtuális gépek esetében alapértelmezés szerint engedélyezve van a gyorsított hálózatkezelés, az üzembe helyezési ellenőrzőlistánként ellenőriznie kell az állapotot. A gyorsított hálózatkezelés előnyei a hálózati teljesítmény és a késések jelentősen javultak. Akkor használja, ha Azure-beli virtuális gépeket helyez üzembe SAP-számítási feladatokhoz az összes támogatott virtuális gépen, különösen az SAP-alkalmazásréteg és az SAP DBMS-réteg esetében. A csatolt dokumentáció tartalmazza az operációsrendszer-verziók és virtuálisgép-példányok támogatási függőségeit.

Helyszíni kapcsolatok

Az Azure-beli SAP üzembe helyezése feltételezi, hogy központi, nagyvállalati szintű hálózati architektúra és kommunikációs központ van érvényben a helyszíni kapcsolatok engedélyezéséhez. A helyszíni hálózati kapcsolat elengedhetetlen ahhoz, hogy a felhasználók és az alkalmazások hozzáférhessenek az Azure SAP-környezetéhez más központi szervezeti szolgáltatásokhoz, például a központi DNS-hez, tartományhoz, biztonsági és javításkezelési infrastruktúrához.

Számos lehetőség közül választhat, hogy helyszíni kapcsolatot biztosítson az SAP-hoz az Azure-beli üzembe helyezés során. A hálózati üzembe helyezés leggyakrabban egy küllős hálózati topológia, vagy a küllős topológia kiterjesztése, egy globális virtuális WAN.

Helyszíni SAP-telepítések esetén javasoljuk, hogy privát kapcsolatot használjon az Azure ExpressRoute-on keresztül. Kisebb SAP-számítási feladatok, távoli régiók vagy kisebb irodák esetén a helyszíni VPN-kapcsolat elérhető. Az ExpressRoute használata vpn-helyek közötti kapcsolattal feladatátvételi útvonalként mindkét szolgáltatás lehetséges kombinációja.

Kimenő és bejövő internetkapcsolat

Az SAP-környezethez internetkapcsolatra van szükség, legyen szó operációsrendszer-adattárfrissítések fogadásáról, az SAP SaaS-alkalmazásokkal való kapcsolat nyilvános végpontokon való létesítéséhez, vagy egy Azure-szolgáltatás nyilvános végponton keresztüli eléréséhez. Hasonlóképpen szükség lehet arra is, hogy az ügyfelek számára hozzáférést biztosítson az SAP Fiori-alkalmazásokhoz, és az internetfelhasználók hozzáférjenek az SAP-környezet által biztosított szolgáltatásokhoz. Az SAP hálózati architektúrája megköveteli, hogy megtervezze az internet felé vezető utat és a bejövő kéréseket.

A virtuális hálózat védelme NSG-szabályok használatával, az ismert szolgáltatások hálózati szolgáltatáscímkék használatával, valamint a tűzfalra vagy más hálózati virtuális berendezésre irányuló útválasztás és IP-címzés létrehozásával. Ezek a feladatok vagy szempontok az architektúra részét képezik. A privát hálózatok erőforrásait a 4. és a 7. rétegbeli tűzfalaknak kell védeni.

Az ajánlott eljárások architektúrájának középpontjában az internetes kommunikációs útvonalak állnak.

Azure-beli virtuális gépek SAP-számítási feladatokhoz

Néhány Azure-beli virtuálisgép-család különösen alkalmas SAP-számítási feladatokhoz, és konkrétabban egy SAP HANA-számítási feladathoz. A megfelelő virtuálisgép-típus és az SAP-számítási feladatok támogatásának képességét az Azure-üzemelő példányokhoz támogatott SAP-szoftverek ismertetik. Az SAP Note 1928533 emellett felsorolja az összes minősített Azure-beli virtuális gépet és azok teljesítményképességét az SAP Application Performance Standard (SAPS) teljesítménytesztje és korlátozásai alapján, ha alkalmazhatók. Az SAP-számítási feladatokhoz minősített virtuálisgép-típusok nem használják a processzor- és memóriaerőforrások túlkiépítését.

A támogatott virtuálisgép-típusok kiválasztásán kívül ellenőriznie kell, hogy ezek a virtuálisgép-típusok elérhetők-e egy adott régióban a régiónként elérhető termékek alapján. Legalább annyira fontos annak meghatározása, hogy a virtuális gép alábbi képességei megfelelnek-e a forgatókönyvnek:

• CPU- és memóriaerőforrások
• Bemeneti/kimeneti műveletek másodpercenkénti sávszélessége (IOPS)
• Hálózati képességek
• Csatolható lemezek száma
• Bizonyos Azure Storage-típusok használatának képessége

Egy adott FM-családra és -típusra vonatkozó információkért tekintse meg az Azure-beli virtuális gépek méreteit.

Díjszabási modellek Azure-beli virtuális gépekhez

Virtuálisgép-díjszabási modell esetén kiválaszthatja a használni kívánt lehetőséget:

• Használatalapú fizetéses díjszabási modell
• Egy egyéves fenntartott vagy megtakarítási csomag
• Hároméves fenntartott vagy megtakarítási terv
• Kihasználatlan díjszabási modell

A virtuális gépek díjszabásáról a különböző Azure-szolgáltatások, operációs rendszerek és régiók virtuális gépek díjszabásáról a Virtuális gépek díjszabása című témakörben olvashat.

Az egyéves és hároméves megtakarítási csomagok és fenntartott példányok díjszabásáról és rugalmasságáról az alábbi cikkekben olvashat:

• Mik az Azure-beli megtakarítási csomagok a számításhoz?
• Mi az az Azure Reservations?
• A Reserved VM Instances virtuális gépeinek méretrugalmassága
• Az Azure-foglalási kedvezmény alkalmazása virtuális gépekre

A kihasználatlan díjszabással kapcsolatos további információkért lásd: Azure Spot Virtual Machines.

Az azonos virtuálisgép-típus díjszabása eltérő lehet az Azure-régiók között. Egyes ügyfelek számára előnyös a kevésbé költséges Azure-régióban való üzembe helyezés, ezért a régiók szerinti díjszabással kapcsolatos információk a tervezéskor hasznosak lehetnek.

Az Azure egy dedikált gazdagép használatát is lehetővé teszi. Dedikált gazdagép használatával jobban szabályozhatja az Azure-szolgáltatások javítási ciklusait. A javításokat úgy ütemezheti, hogy támogassák a saját ütemezését és ciklusait. Ez az ajánlat kifejezetten azoknak az ügyfeleknek szól, akik olyan számítási feladattal rendelkeznek, amely nem követi a számítási feladatok szokásos ciklusát. További információ: Dedikált Azure-gazdagépek.

Dedikált Azure-gazdagép használata sap-számítási feladat esetén támogatott. Számos SAP-ügyfél, akik jobban szeretnék szabályozni az infrastruktúra-javítási és karbantartási terveket, dedikált Azure-gazdagépeket használnak. A virtuális gépeket üzemeltető Azure-infrastruktúra Microsoft által történő karbantartásával és javításával kapcsolatos további információkért tekintse meg az Azure-beli virtuális gépek karbantartását ismertető témakört.

Virtuális gépek operációs rendszere

Amikor új virtuális gépeket helyez üzembe egy SAP-környezethez az Azure-ban, akár egy SAP-rendszer telepítéséhez, akár migrálásához, fontos, hogy a számítási feladathoz megfelelő üzemeltetési rendszert válassza. Az Azure számos operációsrendszer-lemezképet kínál Linuxhoz és Windowshoz, valamint számos sap-rendszerhez megfelelő lehetőséget. A helyszíni környezetből egyéni képeket is létrehozhat vagy feltölthet, illetve képtárakból is felhasználhat vagy általánosíthat.

Az elérhető beállításokkal kapcsolatos részletekért és információkért:

• Azure Marketplace-rendszerképek keresése az Azure CLI vagy az Azure PowerShell használatával.
• Egyéni rendszerképek létrehozása Linuxhoz vagy Windowshoz.
• Használja a VM Image Buildert.

Szükség esetén tervezze meg az operációs rendszer frissítési infrastruktúráját és annak függőségeit az SAP-számítási feladathoz. Érdemes lehet adattár-előkészítési környezetet használni az SAP-környezetek (tesztkörnyezet, fejlesztés, előkészítés és éles környezet) összes rétegének szinkronizálásához, ha a frissítési időszakban ugyanazokat a javításokat és frissítéseket használja.

1. és 2. generációs virtuális gépek

Az Azure-ban 1. vagy 2. generációs virtuális gépet helyezhet üzembe. Az Azure 2. generációs virtuális gépeinek támogatása felsorolja a 2. generációsként üzembe helyezhető Azure-beli virtuálisgép-családokat. A cikk az 1. generációs és a 2. generációs Azure-beli virtuális gépek közötti funkcionális különbségeket is felsorolja.

Virtuális gép üzembe helyezésekor a választott operációs rendszer lemezképe határozza meg, hogy a virtuális gép 1. vagy 2. generációs virtuális gép lesz-e. Az AZURE-ban elérhető összes operációsrendszer-lemezkép legújabb verziói (Red Hat Enterprise Linux, Su Standard kiadás Enterprise Linux, Windows vagy Oracle Enterprise Linux) az 1. és a 2. generációs verzióban is elérhetők. Fontos, hogy a rendszerkép leírása alapján gondosan válasszon ki egy képet a virtuális gép megfelelő generációjának üzembe helyezéséhez. Hasonlóképpen létrehozhat egyéni operációsrendszer-lemezképeket 1. vagy 2. generációként, és ezek hatással vannak a virtuális gép generációjára a virtuális gép üzembe helyezésekor.

Megjegyzés:

Javasoljuk, hogy a virtuális gépek méretétől függetlenül minden AZURE-beli SAP-környezetben használjon 2. generációs virtuális gépeket. Az SAP legújabb Azure-beli virtuális gépei a 2. generációsak, vagy csak a 2. generációra korlátozódnak. Egyes virtuálisgép-családok jelenleg csak a 2. generációs virtuális gépeket támogatják. Egyes hamarosan elérhető virtuálisgép-családok csak a 2. generációt támogathatják.

A kiválasztott operációs rendszer lemezképe alapján meghatározhatja, hogy egy virtuális gép 1. vagy csak 2. generációs-e. Egy meglévő virtuális gépet nem lehet egyik generációról a másik generációra módosítani.

Az Üzembe helyezett virtuális gépek 1. generációról a 2. generációra történő módosítása nem lehetséges az Azure-ban. A virtuális gép generációjának módosításához üzembe kell helyeznie egy új virtuális gépet, amely a kívánt generáció, és újra kell telepítenie a szoftvert az új virtuális gép generációjára. Ez a változás csak a virtuális gép alapszintű VHD-rendszerképét érinti, és nincs hatással az adatlemezekre, a csatlakoztatott hálózati fájlrendszerre (NFS) vagy a kiszolgálói üzenetblokkra (SMB). Az 1. generációs virtuális gépekhez eredetileg hozzárendelt adatlemezek, NFS-megosztások vagy SMB-megosztások egy új, 2. generációs virtuális géphez csatolhatók.

Egyes virtuálisgép-családok, például az Mv2 sorozat csak a 2. generációt támogatják. Ugyanez a követelmény az új virtuálisgép-családokra is igaz lehet a jövőben. Ebben a forgatókönyvben egy meglévő 1. generációs virtuális gép nem méretezhető át úgy, hogy az új virtuálisgép-családdal működjön. Az Azure Platform 2. generációs követelményei mellett az SAP-összetevőknek lehetnek olyan követelményei, amelyek a virtuális gép generációjához kapcsolódnak. A választott virtuálisgép-család 2. generációs követelményeiről az SAP Megjegyzés 1928533 olvashat.

Azure-beli virtuális gépek teljesítménykorlátozásai

Nyilvános felhőként az Azure az infrastruktúra biztonságos megosztásától függ az ügyfélbázisban. A skálázás és a kapacitás engedélyezéséhez az egyes erőforrások és szolgáltatások teljesítménykorlátjai vannak meghatározva. Az Azure-infrastruktúra számítási oldalán fontos figyelembe venni az egyes virtuálisgép-méretekre meghatározott korlátokat.

Minden virtuális gép eltérő kvótával rendelkezik a lemezek és a hálózati átviteli sebesség tekintetében, a csatlakoztatható lemezek számával, függetlenül attól, hogy rendelkezik-e helyi ideiglenes tárhellyel, amelynek saját átviteli sebessége és IOPS-korlátai vannak, memóriamérete és hány virtuális processzor érhető el.

Megjegyzés:

Amikor döntéseket hoz egy SAP-megoldás virtuálisgép-méretéről az Azure-ban, figyelembe kell vennie az egyes virtuálisgép-méretek teljesítménykorlátait. A dokumentációban ismertetett kvóták az elméleti maximális elérhető értékeket képviselik. Előfordulhat, hogy a lemezenkénti IOPS teljesítménykorlátja kis bemeneti/kimeneti (I/O) értékekkel (például 8 KB) érhető el, de nagy I/O-értékekkel (például 1 MB) nem érhető el.

A virtuális gépekhez hasonlóan ugyanezek a teljesítménykorlátok léteznek az SAP-számítási feladatokhoz és az összes többi Azure-szolgáltatáshoz tartozó tárolótípusokra vonatkozóan.

Ha az SAP-üzemelő példányban használni kívánt virtuális gépeket tervezi és választja ki, vegye figyelembe az alábbi tényezőket:

• Kezdje a memória- és CPU-követelményekkel. Különítse el a PROCESSZORteljesítmény SAPS-követelményeit a DBMS-részre és az SAP-alkalmazásrészekre. Meglévő rendszerek esetén a gyakran használt hardverhez kapcsolódó SAPS a meglévő SAP Standard alkalmazás-benchmarkok alapján határozható meg vagy becsülhető meg. Az újonnan üzembe helyezett SAP-rendszerek esetében végezzen méretezési gyakorlatot a rendszer SAPS-követelményeinek meghatározásához.

• Meglévő rendszerek esetén a DBMS-kiszolgálón az I/O átviteli sebességet és az IOPS-t kell mérni. Új rendszerek esetén az új rendszer méretezési gyakorlatának általános képet kell adnia az I/O-követelményekről a DBMS oldalán. Ha nem biztos benne, végül el kell végeznie egy megvalósíthatósági igazolást.

• Hasonlítsa össze a DBMS-kiszolgáló SAPS-követelményét az Azure különböző virtuálisgép-típusai által biztosított SAPS-sel. A különböző Azure-beli virtuálisgép-típusok SAPS-ével kapcsolatos információkat az SAP Note 1928533 tartalmazza. Először a DBMS virtuális gépre kell összpontosítani, mert az adatbázisréteg az SAP NetWeaver rendszer azon rétege, amely a legtöbb üzemelő példányban nem méretezhető fel. Ezzel szemben az SAP-alkalmazásréteg felskálázható. Az egyes DBMS-útmutatók ismertetik az ajánlott tárolási konfigurációkat.

• Az alábbiakra vonatkozó megállapítások összegzése:

  • A használni kívánt Azure-beli virtuális gépek száma.
  • Az egyes SAP-rétegekhez tartozó virtuálisgép-család és virtuálisgép-termékváltozatok: DBMS, (A)SCS és alkalmazáskiszolgálók.
  • I/O-átviteli sebesség mértéke vagy számított tárolási kapacitásra vonatkozó követelmények.

HANA Large Instances szolgáltatás

Az Azure számítási képességeket kínál a nagyméretű HANA-adatbázisok vertikális vagy vertikális felskálázásához egy sap HANA nevű dedikált ajánlaton való futtatásához az Azure Large Instancesben. Ez az ajánlat kiterjeszti az Azure-ban elérhető virtuális gépeket.

Megjegyzés:

A HANA Large Instances szolgáltatás naplemente módban van, és nem fogad új ügyfeleket. A meglévő NAGY HANA-példányok ügyfelei számára továbbra is lehetséges egységek biztosítása.

Tároló az SAP-hoz az Azure-ban

Az Azure-beli virtuális gépek különböző tárolási lehetőségeket használnak az adatmegőrzéshez. Egyszerű értelemben a virtuális gépek állandó és ideiglenes vagy nem állandó tártípusokra oszthatók.

Az SAP-számítási feladatokhoz és adott SAP-összetevőkhöz több tárolási lehetőség közül is választhat. További információ: Azure Storage SAP-számítási feladatokhoz. A cikk az SAP minden részének tárolási architektúráját ismerteti: operációs rendszer, alkalmazás bináris fájljai, konfigurációs fájlok, adatbázisadatok, napló- és nyomkövetési fájlok, valamint más alkalmazásokkal rendelkező fájlillesztők, akár lemezen tároltak, akár fájlmegosztásokon érhetők el.

Ideiglenes lemez virtuális gépeken

Az SAP-hoz készült Azure-beli virtuális gépek többsége olyan ideiglenes lemezt kínál, amely nem felügyelt lemez. Ideiglenes lemezt csak a felhasználható adatokhoz használjon. Előfordulhat, hogy egy ideiglenes lemez adatai elvesznek az előre nem látható karbantartási események vagy a virtuális gépek ismételt üzembe helyezése során. Az ideiglenes lemez teljesítményjellemzői ideálissá teszik őket az operációs rendszer csere-/lapfájljaihoz.

Az alkalmazás- vagy nem használható operációsrendszer-adatokat nem szabad ideiglenes lemezen tárolni. Windows-környezetekben az ideiglenes meghajtó általában D meghajtóként érhető el. Linux rendszerekben a csatlakoztatási pont gyakran a /dev/sdb eszköz, /mnt vagy /mnt/resource.

Egyes virtuális gépek nem kínálnak ideiglenes meghajtót. Ha ezeket a virtuálisgép-méreteket az SAP-hoz szeretné használni, előfordulhat, hogy növelnie kell az operációsrendszer-lemez méretét. További információ: SAP Note 1928533. Az ideiglenes lemezzel rendelkező virtuális gépek esetében az Azure-beli virtuális gépek méreteiben az egyes virtuálisgép-sorozatok ideiglenes lemezméretéről, IOPS-járól és átviteli sebességéről kaphat információt.

Nem méretezhető át közvetlenül az ideiglenes lemezekkel rendelkező virtuálisgép-sorozatok és az ideiglenes lemezeket nem tartalmazó virtuálisgép-sorozatok között. Jelenleg két ilyen virtuálisgép-család közötti átméretezés meghiúsul. Megoldásként újra létre kell hozni azt a virtuális gépet, amely nem rendelkezik ideiglenes lemezzel az új méretben egy operációsrendszer-lemez pillanatképének használatával. Tartsa meg az összes többi adatlemezt és a hálózati adaptert. Megtudhatja, hogyan méretezhet át helyi ideiglenes lemezt tartalmazó virtuálisgép-méretet olyan virtuálisgép-méretre, amely nem.

Hálózati megosztások és kötetek az SAP-hoz

Az SAP-rendszerek általában egy vagy több hálózati fájlmegosztást igényelnek. A fájlmegosztások általában az alábbi lehetőségek egyike:

• SAP átviteli könyvtár (/usr/sap/trans vagy TRANSDIR).
• SAP-kötetek vagy megosztott sapmnt - vagy saploc-kötetek több alkalmazáskiszolgáló üzembe helyezéséhez.
• Magas rendelkezésre állású architektúrakötetek AZ SAP (A)SCS, SAP ERS vagy adatbázis (/hana/megosztott) számára.
• Fájlimportáláshoz és exportáláshoz külső alkalmazásokat futtató fájlillesztők.

Ezekben a forgatókönyvekben javasoljuk, hogy használjon Azure-szolgáltatást, például az Azure Filest vagy az Azure NetApp Filest. Ha ezek a szolgáltatások nem érhetők el a választott régiókban, vagy ha nem érhetők el a megoldásarchitektúra számára, alternatív megoldásként NFS- vagy SMB-fájlmegosztásokat kell biztosítani ön által felügyelt, virtuálisgép-alapú alkalmazásokból vagy külső szolgáltatásokból. Tekintse meg az SAP-2015553 az SAP-támogatás korlátozásairól, ha harmadik féltől származó szolgáltatásokat használ az Azure-beli SAP-rendszerek tárolási rétegeihez.

A hálózati megosztások gyakran kritikus jellege miatt, és mivel ezek gyakran egyetlen hibapontot jelentenek a tervezésben (magas rendelkezésre állás esetén) vagy folyamatokban (a fájlfelület esetében), javasoljuk, hogy minden natív Azure-szolgáltatásra támaszkodjon a saját rendelkezésre állása, SLA-ja és rugalmassága érdekében. A tervezési fázisban fontos figyelembe venni az alábbi tényezőket:

• NFS- vagy SMB-megosztások tervezése, beleértve az SAP rendszerazonosítónként (SID) használandó megosztásokat fekvő tájolásonként és régiónként.
• Alhálózat-méretezés, beleértve a privát végpontokra vagy dedikált alhálózatokra vonatkozó IP-követelményt olyan szolgáltatások esetében, mint az Azure NetApp Files.
• Hálózati útválasztás SAP-rendszerekhez és csatlakoztatott alkalmazásokhoz.
• Nyilvános vagy privát végpont használata az Azure Fileshoz.

A követelményekről és az NFS- vagy SMB-megosztások magas rendelkezésre állású forgatókönyvekben való használatáról a Magas rendelkezésre állás című témakörben olvashat.

Megjegyzés:

Ha az Azure Filest használja a hálózati megosztásokhoz, javasoljuk, hogy privát végpontot használjon. Nem valószínű, hogy zonális hiba esetén az NFS-ügyfél automatikusan átirányít egy kifogástalan állapotú zónába. Nem kell újracsatlakoztatnia az NFS- vagy SMB-megosztásokat a virtuális gépeken.

Az SAP-környezet biztonsága

Az AZURE-beli SAP-számítási feladatok védelméhez a biztonság több aspektusát is meg kell terveznie:

• Hálózati szegmentálás és az egyes alhálózatok és hálózati adapterek biztonsága.
• Titkosítás az SAP-környezet minden rétegén.
• Identitásmegoldás végfelhasználói és rendszergazdai hozzáféréshez és egyszeri bejelentkezési szolgáltatásokhoz.
• Fenyegetés- és műveletfigyelés.

Az ebben a fejezetben szereplő témakörök nem az összes elérhető szolgáltatás, lehetőség és alternatív lehetőség teljes listáját ismertetik. Számos ajánlott eljárást sorol fel, amelyeket figyelembe kell venni az Azure-beli összes SAP-üzembe helyezéshez. A vállalati vagy számítási feladatokra vonatkozó követelményektől függően más szempontokat is figyelembe kell venni. A biztonsági kialakítással kapcsolatos további információkért tekintse meg az azure-beli általános útmutatást az alábbi forrásokban:

• Azure Well-Architected Framework: Biztonsági pillér
• Azure felhőadaptálási keretrendszer: Biztonság

Virtuális hálózatok védelme biztonsági csoportok használatával

Az AZURE-beli SAP-környezet tervezésének bizonyos fokú hálózati szegmentálást kell tartalmaznia, és a virtuális hálózatoknak és alhálózatoknak csak AZ SAP-számítási feladatokhoz kell tartoznia. Az alhálózat-definíció ajánlott eljárásait a hálózatkezelés és más Azure-architektúra-útmutatók ismertetik. Javasoljuk, hogy az NSG-k és az NSG-k használatával engedélyezze a bejövő és kimenő kapcsolatokat. Az ASG-k tervezésekor a virtuális gépeken lévő hálózati adapterek több ASG-hez is társíthatók, így különböző csoportokat hozhat létre. Hozzon létre például egy ASG for DBMS virtuális gépeket, amely az összes adatbázis-kiszolgálót tartalmazza a környezetében. Hozzon létre egy másik ASG-t egyetlen SAP SID összes virtuális gépéhez (alkalmazáshoz és DBMS-hez). Így a teljes adatbázis ASG-jének egy NSG-szabályát, egy másik, pontosabb szabályt pedig csak a SID-specifikus ASG-hez definiálhat.

Az NSG-k nem korlátozzák a teljesítményt az NSG-hez definiált szabályokkal. A forgalom monitorozásához opcionálisan aktiválhatja az NSG-forgalom naplózását egy információs eseménykezelő (SIEM) vagy egy tetszőleges behatolásészlelő rendszer (IDS) által kiértékelt naplókkal a gyanús hálózati tevékenységek monitorozásához és kezeléséhez.

Tipp.

Csak az alhálózat szintjén aktiválja az NSG-ket. Bár az NSG-k mind az alhálózati szinten, mind a hálózati adapter szintjén aktiválhatók, a hálózati forgalom korlátozásainak elemzésekor a mindkét oldalon történő aktiválás gyakran akadályozza a hibaelhárítási helyzeteket. NSG-ket csak kivételes helyzetekben és szükség esetén használjon hálózati adapterek szintjén.

Privát végpontok szolgáltatásokhoz

Számos Azure PaaS-szolgáltatás alapértelmezés szerint nyilvános végponton keresztül érhető el. Bár a kommunikációs végpont az Azure háttérhálózatán található, a végpont nyilvános interneten érhető el. A privát végpontok a saját virtuális hálózatán belüli hálózati adapterek. Az Azure Private Linken keresztül a privát végpont a szolgáltatást a virtuális hálózatba irányítja. A kiválasztott PaaS-szolgáltatások ezután privát módon lesznek elérhetők a hálózaton belüli IP-címen keresztül. A konfigurációtól függően a szolgáltatás beállítható úgy, hogy csak privát végponton keresztül kommunikáljon.

A privát végpontok használata növeli az adatszivárgás elleni védelmet, és gyakran leegyszerűsíti a helyszíni és a társhálózatokról való hozzáférést. Sok esetben egyszerűbb a hálózati útválasztás és a tűzfalportok megnyitásának folyamata, amelyek gyakran szükségesek a nyilvános végpontokhoz. Az erőforrások már azért vannak a hálózaton belül, mert egy privát végpont éri el őket.

Ha szeretné megtudni, hogy mely Azure-szolgáltatások kínálják a privát végpontok használatát, tekintse meg az elérhető Private Link-szolgáltatásokat. Az Azure Files szolgáltatással rendelkező NFS-hez vagy SMB-hez javasoljuk, hogy mindig magánvégpontokat használjon SAP-számítási feladatokhoz. A szolgáltatás használatával járó díjakról a Privát végpont díjszabása című témakörben tájékozódhat. Egyes Azure-szolgáltatások opcionálisan magukban foglalhatják a szolgáltatás költségeit. Ezeket az információkat a szolgáltatás díjszabási információi tartalmazzák.

Encryption

A vállalati szabályzatoktól függően előfordulhat, hogy az AZURE-ban az alapértelmezett beállításokon túli titkosításra van szükség az SAP-számítási feladatokhoz.

Infrastruktúra-erőforrások titkosítása

Alapértelmezés szerint az Azure-ban felügyelt lemezek és blobtárolók platform által felügyelt kulccsal (PMK) vannak titkosítva. Emellett saját kulcstitkosítást (BYOK) hozhat a felügyelt lemezekhez, és a blobtárolók támogatottak az Azure-beli SAP-számítási feladatokhoz. Felügyelt lemeztitkosítás esetén a vállalati biztonsági követelményektől függően különböző lehetőségek közül választhat. Az Azure titkosítási lehetőségei a következők:

• Tárolóoldali titkosítás (S Standard kiadás) PMK (S Standard kiadás-PMK)
• S Standard kiadás ügyfél által felügyelt kulcs (S Standard kiadás-CMK)
• Double encryption at rest
• Gazdagépalapú titkosítás

További információkért, beleértve az Azure Disk Encryption leírását, tekintse meg az Azure-titkosítási lehetőségek összehasonlítását.

Megjegyzés:

Jelenleg ne használjon gazdagépalapú titkosítást az M sorozatú virtuálisgép-családba tartozó virtuális gépeken, ha Linuxon futnak egy lehetséges teljesítménykorlátozás miatt. A felügyelt lemezek S Standard kiadás-CMK titkosításának használatát ez a korlátozás nem érinti.

Linux rendszereken futó SAP-telepítések esetén ne használja az Azure Disk Encryptiont. Az Azure Disk Encryption magában foglalja az SAP virtuális gépeken belüli titkosítást az Azure Key VaultBÓL származó CMK-k használatával. Linux esetén az Azure Disk Encryption nem támogatja az SAP-számítási feladatokhoz használt operációsrendszer-lemezképeket . Az Azure Disk Encryption sap számítási feladatokkal használható Windows-rendszereken, de ne kombinálja az Azure Disk Encryptiont natív adatbázis-titkosítással. Javasoljuk, hogy az Azure Disk Encryption helyett natív adatbázis-titkosítást használjon. További információk a következő szakaszban.

A felügyelt lemeztitkosításhoz hasonlóan az Inaktív Azure Files-titkosítás (SMB és NFS) a PMK-k és a CMK-k esetében is elérhető.

SMB-hálózati megosztások esetén gondosan tekintse át az Azure Filest és az operációsrendszer-függőségeket az SMB-verziókkal, mert a konfiguráció hatással van az átvitel közbeni titkosítás támogatására.

Fontos

Az ügyfél által felügyelt titkosítás használata esetén a titkosítási kulcsok tárolására és védelmére vonatkozó gondos terv fontosságát nem lehet túlbecsülni. Titkosítási kulcsok nélkül a titkosított erőforrások, például a lemezek nem érhetők el, és adatvesztéshez vezethetnek. Gondosan fontolja meg a kulcsok védelmét és a kulcsokhoz való hozzáférést csak a kiemelt felhasználók vagy szolgáltatások számára.

SAP-összetevők titkosítása

Az SAP-szinten a titkosítás két rétegre osztható:

• DBMS-titkosítás
• Átviteli titkosítás

A DBMS-titkosításhoz az SAP NetWeaverhez vagy az SAP S/4HANA-környezethez támogatott adatbázisok támogatják a natív titkosítást. A transzparens adatbázis-titkosítás teljesen független az Azure-ban használt infrastruktúra-titkosítástól. Egyidejűleg használhatja az S Standard kiadás és az adatbázis titkosítását. Titkosítás használatakor kritikus fontosságú a titkosítási kulcsok helye, tárolása és megőrzése. A titkosítási kulcsok elvesztése adatvesztéshez vezet, mert nem tudja elindítani vagy helyreállítani az adatbázist.

Előfordulhat, hogy egyes adatbázisok nem rendelkeznek adatbázis-titkosítási módszerrel, vagy nem igényelnek dedikált beállítást az engedélyezéshez. Más adatbázisok esetében a DBMS biztonsági másolatai implicit módon titkosíthatók az adatbázis-titkosítás aktiválásakor. A transzparens adatbázistitkosítás engedélyezéséről és használatáról az ALÁBBI SAP-dokumentációban olvashat:

• SAP HANA-adatok és naplókötet titkosítása
• SQL Server: SAP Note 1380493
• Oracle: SAP Note 974876
• IBM Db2: SAP Megjegyzés 1555903
• SAP A Standard kiadás: SAP Megjegyzés 1972360

A szoftvertitkosítás engedélyezésével, használatával vagy hibaelhárításával kapcsolatban forduljon az SAP-hoz vagy a DBMS-szállítóhoz.

Fontos

Nem lehet túlbecsülni, hogy milyen fontos a titkosítási kulcsok tárolására és védelmére szolgáló gondos terv. Titkosítási kulcsok nélkül előfordulhat, hogy az adatbázis vagy az SAP-szoftver nem érhető el, és adatvesztést eredményezhet. Alaposan gondolja át, hogyan védheti meg a kulcsokat. Csak kiemelt felhasználók vagy szolgáltatások férhetnek hozzá a kulcsokhoz.

Átviteli vagy kommunikációs titkosítás alkalmazható az SAP-motorok és a DBMS közötti SQL Server-kapcsolatokra. Hasonlóképpen titkosíthatja a kapcsolatokat az SAP-bemutató rétegből (SAPGui biztonságos hálózati kapcsolat vagy SNC) vagy EGY HTTPS-kapcsolatból egy webes előtérhez. Tekintse meg az alkalmazások szállítójának dokumentációját a titkosítás átvitel közbeni engedélyezéséhez és kezeléséhez.

Veszélyforrások monitorozása és riasztása

A fenyegetésfigyelési és riasztási megoldások üzembe helyezéséhez és használatához először a szervezet architektúráját kell használnia. Az Azure-szolgáltatások fenyegetésvédelmet és biztonsági nézetet biztosítanak, amelyet beépíthet az SAP általános üzembehelyezési tervébe. Felhőhöz készült Microsoft Defender kezeli a fenyegetésvédelmi követelményt. Felhőhöz készült Defender általában egy teljes Azure-üzemelő példány általános szabályozási modelljének része, nem csak AZ SAP-összetevők esetében.

A biztonsági információk eseménykezelésével (SIEM) és a biztonsági vezénylési automatizált válaszmegoldásokkal (SOAR) kapcsolatos további információkért lásd a Microsoft Sentinel SAP-integrációs megoldásait.

Biztonsági szoftver SAP virtuális gépeken

A Linuxhoz készült SAP Note 2808515 és a Windowshoz készült SAP Note 106267 ismertetik a vírusolvasók vagy biztonsági szoftverek SAP-kiszolgálókon való használatakor alkalmazott követelményeket és ajánlott eljárásokat. Javasoljuk, hogy kövesse az SAP-javaslatokat, amikor SAP-összetevőket helyez üzembe az Azure-ban.

Magas szintű rendelkezésre állás

Az Azure-ban az SAP magas rendelkezésre állása két összetevőből áll:

• Az Azure-infrastruktúra magas rendelkezésre állása: Az Azure Compute (virtuális gépek), a hálózati és tárolási szolgáltatások magas rendelkezésre állása, valamint az SAP-alkalmazások rendelkezésre állásának növelése.

• SAP-alkalmazás magas rendelkezésre állása: Hogyan kombinálható az Azure-infrastruktúra magas rendelkezésre állásával a szolgáltatásjavítás használatával. Példa az SAP-szoftverösszetevők magas rendelkezésre állására:

  • SAP (A)SCS és SAP ERS-példány
  • Az adatbázis-kiszolgáló

Az SAP azure-beli magas rendelkezésre állásával kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• Támogatott forgatókönyvek: Az SAP DBMS-réteg magas rendelkezésre állású védelme
• Támogatott forgatókönyvek: Az SAP Central Services magas rendelkezésre állása
• Támogatott forgatókönyvek: Sap Central Services-forgatókönyvek támogatott tárhelye
• Támogatott forgatókönyvek: Több SID-alapú SAP Central Services feladatátvevő fürtök
• Azure-beli virtuális gépek magas rendelkezésre állása az SAP NetWeaverhez
• Magas rendelkezésre állású architektúra és forgatókönyvek az SAP NetWeaverhez
• Azure-infrastruktúra virtuális gép újraindításának használata az SAP-rendszerek magasabb rendelkezésre állásának eléréséhez fürtözés nélkül
• SAP-számítási feladatok konfigurációi azure-beli rendelkezésre állási zónákkal
• Nyilvános végpontkapcsolat virtuális gépekhez az Azure Standard Load Balancer használatával az SAP magas rendelkezésre állású forgatókönyveiben

A Pacemaker Linuxon és a Windows Server feladatátvételi fürtözésen az egyetlen magas rendelkezésre állású keretrendszer az SAP számítási feladataihoz, amelyeket a Microsoft közvetlenül támogat az Azure-ban. A Microsoft nem támogatja a többi magas rendelkezésre állású keretrendszert, és tervezési, megvalósítási részletekre és üzemeltetési támogatásra lesz szüksége a gyártótól. További információ: Sap támogatott forgatókönyvek az Azure-ban.

Vészhelyreállítás

Az SAP-alkalmazások gyakran a vállalat legkritikusabb folyamatai közé tartoznak. A fontosságuk és az előre nem látható megszakítás utáni működéshez szükséges idő alapján körültekintően kell megtervezni az üzletmenet-folytonossági és vészhelyreállítási (BCDR) forgatókönyveket.

Ennek a követelménynek a megoldásához tekintse meg a vészhelyreállítás áttekintését és az SAP számítási feladataira vonatkozó infrastruktúra-irányelveket.

Backup

A BCDR-stratégia részeként az SAP-számítási feladat biztonsági mentésének minden tervezett üzembe helyezés szerves részét kell képeznie. A biztonsági mentési megoldásnak az SAP-megoldásverem összes rétegére kiterjednie kell: virtuális gépre, operációs rendszerre, SAP-alkalmazásrétegre, DBMS-rétegre és bármely megosztott tárolási megoldásra. Az SAP-számítási feladat által használt Azure-szolgáltatások, valamint más fontos erőforrások, például a titkosítás és a hozzáférési kulcsok biztonsági mentésének és BCDR-tervének is részét kell képeznie.

Az Azure Backup PaaS-megoldásokat kínál a biztonsági mentéshez:

• Virtuális gép konfigurációja, operációs rendszere és SAP-alkalmazásrétege (felügyelt lemezeken lévő adatok átméretezése) az Azure Backup for VM-en keresztül. Tekintse át a támogatási mátrixot annak ellenőrzéséhez, hogy az architektúra használhatja-e ezt a megoldást.
• SQL Server - és SAP HANA-adatbázisadatok és naplók biztonsági mentése. Támogatja az adatbázis-replikációs technológiákat, például a HANA-rendszerreplikációs vagy az SQL Always On-t, valamint a párosított régiók régiók közötti támogatását.
• Fájlmegosztás biztonsági mentése az Azure Fileson keresztül. Ellenőrizze az NFS- vagy SMB-támogatás és egyéb konfigurációs adatok támogatását .

Az Azure NetApp Files üzembe helyezése esetén a biztonsági mentési lehetőségek mennyiségi szinten is elérhetők , beleértve az SAP HANA-t és az Oracle DBMS-integrációt egy ütemezett biztonsági mentéssel.

Az Azure Backup-megoldások helyreállítható törlési lehetőséget kínálnak a rosszindulatú vagy véletlen törlés megelőzésére és az adatvesztés megelőzésére. A helyreállítható törlés az Azure Files használatával üzembe helyezhető fájlmegosztásokhoz is elérhető.

A biztonsági mentési lehetőségek olyan megoldásokhoz érhetők el, amelyeket ön hoz létre és kezel, vagy ha külső szoftvereket használ. Lehetőség van a szolgáltatások Azure Storage-beli használatára, beleértve a blobadatok nem módosítható tárterületének használatát is. Ez az önkiszolgáló beállítás jelenleg adatbázis-biztonsági mentési lehetőségként szükséges bizonyos adatbázisokhoz, például az SAP A Standard kiadás vagy az IBM Db2-hez.

Az Azure ajánlott eljárásainak ajánlásaival védheti és ellenőrizheti a ransomware-támadásokat .

Tipp.

Győződjön meg arról, hogy a biztonsági mentési stratégia magában foglalja az üzembe helyezés automatizálásának védelmét, az Azure-erőforrások titkosítási kulcsait és a használatuk esetén transzparens adatbázis-titkosítást.

Régiók közötti biztonsági mentés

Régiók közötti biztonsági mentési követelmények esetén határozza meg a megoldás által kínált helyreállítási időkorlátot (RTO) és helyreállításipont-célkitűzést (RPO), és hogy az megfelel-e a BCDR-kialakításnak és -igényeknek.

SAP-migrálás az Azure-ba

Nem lehet leírni az SAP-termékek, verziófüggőségek, natív operációs rendszer és DBMS-technológiák széles választékának migrálási megközelítéseit és lehetőségeit. A szervezet projektcsapatának és a szolgáltatói oldal képviselőinek több technikát is figyelembe kell venniük az SAP Azure-ba való zökkenőmentes migrálásához.

• A migrálás során tesztelje a teljesítményt. Az SAP-migrálás tervezésének fontos része a műszaki teljesítmény tesztelése. A migrálási csapatnak elegendő időt és rendelkezésre állást kell engedélyeznie ahhoz, hogy a kulcsfontosságú személyzet futtathassa a migrált SAP-rendszer alkalmazását és műszaki tesztelését, beleértve a csatlakoztatott interfészeket és alkalmazásokat. A sikeres SAP-migráláshoz kritikus fontosságú, hogy összehasonlítsa a tesztelési környezet kulcsfontosságú üzleti folyamatainak premigrálását és utáni futásidejét, valamint pontosságát. Az információk segítségével optimalizálhatja a folyamatokat az éles környezet migrálása előtt.

• Azure-szolgáltatások használata AZ SAP-migráláshoz. Egyes virtuálisgép-alapú számítási feladatok az Azure-ba való módosítás nélkül migrálhatók olyan szolgáltatások használatával, mint az Azure Migrate vagy az Azure Site Recovery, vagy egy külső eszköz. Szorgalmasan ellenőrizze, hogy a szolgáltatás támogatja-e az operációs rendszer verzióját és az általa futtatott SAP-számítási feladatokat.

  Az adatbázis-számítási feladatok gyakran szándékosan nem támogatottak, mert egy szolgáltatás nem tudja garantálni az adatbázis konzisztenciáját. Ha a dbMS-típust a migrálási szolgáltatás támogatja, az adatbázis-változási vagy adatváltozási arány gyakran túl magas. A legtöbb foglalt SAP-rendszer nem felel meg a migrálási eszközök által megengedett változási sebességnek. Előfordulhat, hogy a problémák az éles migrálásig nem láthatók és nem észlelhetők. Sok esetben egyes Azure-szolgáltatások nem alkalmasak AZ SAP-rendszerek migrálására. Az Azure Site Recovery és az Azure Migrate nem rendelkezik érvényesség-ellenőrzéssel a nagy léptékű SAP-migráláshoz. Az SAP bevált migrálási módszertana a DBMS-replikációra vagy az SAP migrálási eszközeire támaszkodik.

  Az azure-beli üzembe helyezés az alapszintű virtuálisgép-migrálás helyett előnyösebb és egyszerűbb, mint a helyszíni migrálás. Az olyan automatizált üzembehelyezési keretrendszerek, mint az Azure Center az SAP-megoldásokhoz és az Azure Deployment Automation-keretrendszer , lehetővé teszik az automatizált feladatok gyors végrehajtását. Az SAP-környezet új üzembe helyezett infrastruktúrába való migrálása a DBMS natív replikációs technológiáival, például a HANA rendszerreplikálásával, a DBMS biztonsági mentésével és visszaállításával, vagy az SAP migrálási eszközei az SAP-rendszer meglévő technikai ismereteit használják.

• Infrastruktúra felskálázása. Az SAP-migrálás során a nagyobb infrastruktúra-kapacitás segíthet a gyorsabb üzembe helyezésben. A projektcsapatnak érdemes megfontolnia a virtuális gép méretének felskálázását, hogy több processzort és memóriát biztosítson. A csapatnak fontolóra kell vennie a virtuális gépek összesített tároló- és hálózati átviteli sebességének skálázását is. Hasonlóképpen, a virtuális gép szintjén fontolja meg a tárolási elemeket, például az egyes lemezeket, hogy növeljék az átviteli sebességet az igény szerinti kipukkadással és a Premium SSD 1-es verziójának teljesítményszintjeivel. Növelje az IOPS és az átviteli sebesség értékeit, ha a Prémium SSD v2-t használja a konfigurált értékek felett. NFS- és SMB-fájlmegosztások nagyítása a teljesítménykorlátok növeléséhez. Ne feledje, hogy az Azure-beli lemezek mérete nem csökkenthető, és hogy a méret, a teljesítményszintek és az átviteli kpI-k csökkentése különböző lehűlési időket okozhat.

• Hálózat- és adatmásolás optimalizálása. Az SAP-rendszerek Azure-ba való migrálása mindig nagy mennyiségű adat áthelyezésével jár. Az adatok lehetnek adatbázisok és fájlok biztonsági mentései vagy replikációja, alkalmazásról alkalmazás közötti adatátvitelre vagy SAP-áttelepítés exportálására. A használt migrálási folyamattól függően ki kell választania a megfelelő hálózati útvonalat az adatok áthelyezéséhez. Sok adatáthelyezési művelet esetén az adatok biztonságos másolásának leggyorsabb útja az internet használata magánhálózat helyett az Azure Storage-ba.

  Az ExpressRoute vagy a VPN használata szűk keresztmetszetekhez vezethet:

  • A migrálási adatok túl nagy sávszélességet használnak, és zavarják a felhasználók hozzáférését az Azure-ban futó számítási feladatokhoz.
  • A helyszíni hálózati szűk keresztmetszeteket, például a tűzfalat vagy az átviteli sebesség korlátozását gyakran csak a migrálás során észlelik.

  A használt hálózati kapcsolattól függetlenül az adatátmozgatások egy streamelt hálózati teljesítménye gyakran alacsony. Ha több TCP-streamen szeretné növelni az adatátviteli sebességet, használjon több streamet támogató eszközöket. Az SAP dokumentációjában és a témakör számos blogbejegyzésében ismertetett optimalizálási technikák alkalmazása.

Tipp.

A tervezési szakaszban fontos figyelembe venni minden olyan dedikált migrálási hálózatot, amelyet nagy mennyiségű azure-beli adatátvitelhez fog használni. Ilyenek például a biztonsági mentések vagy az adatbázis-replikációk, vagy egy nyilvános végpont használata az Azure Storage-ba történő adatátvitelhez. A migrálásnak a felhasználók és alkalmazások hálózati útvonalára gyakorolt hatását elvárni és csökkenteni kell. A hálózattervezés részeként fontolja meg a migrálás minden fázisát és a részben hatékony Azure-beli számítási feladatok költségeit a migrálás során.

Sap-támogatás és műveletek

Néhány további területet fontos figyelembe venni az SAP Azure-beli üzembe helyezése előtt és alatt.

Azure-beli virtuálisgép-bővítmény az SAP-hoz

Az Azure Monitoring Extension, a Enhanced Monitoring és az Azure Extension for SAP mind olyan virtuálisgép-bővítményre hivatkozik, amelyet üzembe kell helyeznie ahhoz, hogy alapvető adatokat biztosítson az Azure-infrastruktúráról az SAP-gazdaügynöknek. Az SAP-jegyzetek a bővítményre figyelési bővítményként vagy fokozott figyelésre hivatkozhatnak. Az Azure-ban ezt azure-bővítménynek nevezzük az SAP-hoz. Támogatási célokból a bővítményt minden OLYAN Azure-beli virtuális gépen telepíteni kell, amely SAP-számítási feladatot futtat. További információ: Azure-beli virtuálisgép-bővítmény az SAP-hoz.

SAProuter sap-támogatáshoz

Az AZURE-beli SAP-környezetek üzemeltetése támogatás céljából az SAP-hoz és az azokból való kapcsolódást igényli. A kapcsolat általában SAProuter-kapcsolat formájában történik, akár az interneten keresztüli titkosítási hálózati csatornán, akár az SAP-hez való privát VPN-kapcsolaton keresztül. Az ajánlott eljárásokért és a SAProuter Azure-beli implementációjáért tekintse meg az azure-beli SAP bejövő és kimenő internetkapcsolatának architektúraforgatókönyvét.

Következő lépések

• SAP-számítási feladat üzembe helyezése az Azure-ban
• Az Azure Virtual Machines DBMS sap-számítási feladatokhoz való üzembe helyezésének szempontjai
• SAP-számítási feladatok az Azure-ban: Tervezési és üzembehelyezési ellenőrzőlista
• Virtuálisgép-méretezési csoportok AZ SAP számítási feladataihoz