Instalar o SAP NetWeaver com HA usando o SMB dos Arquivos do Azure

  • Artigo

A Microsoft e a SAP agora oferecem suporte total a compartilhamentos de arquivos SMB (Server Message Block) premium dos Arquivos do Azure. O SAP Software Provisioning Manager (SWPM) 1.0 SP32 e o SWPM 2.0 SP09 (e posterior) oferecem suporte ao armazenamento SMB premium dos Arquivos do Azure.

Há requisitos especiais para dimensionar compartilhamentos SMB premium do Azure Files. Este artigo contém recomendações específicas sobre como distribuir cargas de trabalho, escolher um tamanho de armazenamento adequado e atender aos requisitos mínimos de instalação para o SMB premium do Azure Files.

As soluções SAP de alta disponibilidade (HA) precisam de um compartilhamento de arquivos altamente disponível para hospedar diretórios sapmnt, transporte e interface . O Azure Files premium SMB é uma solução simples de PaaS (plataforma como serviço) do Azure para sistemas de arquivos compartilhados para SAP em ambientes Windows. Você pode usar o Azure Files Premium SMB com conjuntos de disponibilidade e zonas de disponibilidade. Você também pode usar o SMB premium dos Arquivos do Azure para cenários de recuperação de desastres (DR) para outra região.

Observação

O cluster de instâncias SAP ASCS/SCS com compartilhamento de arquivo é compatível com sistemas SAP com o kernel do SAP 7.22 (e posteriores). Para obter detalhes, consulte a Nota SAP 2698948.

Dimensionamento e distribuição do SMB premium do Azure Files para sistemas SAP

Avalie os seguintes pontos ao planejar a implantação do SMB premium dos Arquivos do Azure:

  • O nome de compartilhamento de arquivos sapmnt pode ser criado uma vez por conta de armazenamento. É possível criar IDs de armazenamento adicionais (SIDs) como diretórios no mesmo compartilhamento /sapmnt, como /sapmnt/SID1> e /sapmnt/<<SID2>.
  • Escolha um tamanho, IOPS e taxa de transferência apropriados. Um tamanho sugerido para o compartilhamento é de 256 GB por SID. O tamanho máximo de um compartilhamento é de 5.120 GB.
  • O SMB premium do Azure Files pode não ter um bom desempenho para compartilhamentos sapmnt muito grandes com mais de 1 milhão de arquivos por conta de armazenamento.  Os clientes que têm milhões de trabalhos em lote que criam milhões de arquivos de log de trabalho devem reorganizá-los regularmente, conforme descrito na Nota SAP 16083. Se necessário, você pode mover ou arquivar logs de trabalho antigos para outro compartilhamento de arquivos SMB premium dos Arquivos do Azure. Se você espera que o sapmnt seja muito grande, considere outras opções (como Arquivos NetApp do Azure).
  • Recomendamos que você use um ponto de extremidade de rede privada.
  • Evite colocar muitos SIDs em uma única conta de armazenamento e seu compartilhamento de arquivos.
  • Como orientação geral, não junte mais de quatro SIDs de não produção.
  • Não coloque todo o cenário de desenvolvimento, produção e sistema de garantia de qualidade (QAS) em uma conta de armazenamento ou compartilhamento de arquivos. A falha do compartilhamento leva ao tempo de inatividade de todo o cenário SAP.
  • Recomendamos que você coloque os diretórios sapmnt e transport em contas de armazenamento diferentes, exceto em sistemas menores. Durante a instalação do servidor de aplicativos primário SAP, o SAPinst solicitará o nome do host de transporte . Insira o FQDN de uma conta de armazenamento diferente como storage_account.file.core.windows.net>.<
  • Não coloque o sistema de arquivos usado para interfaces na mesma conta de armazenamento que /sapmnt/<SID>.
  • Você deve adicionar os usuários e grupos SAP ao compartilhamento sapmnt . Defina a permissão Compartilhamento Elevado de Colaborador SMB de Dados de Arquivo de Armazenamento para eles no portal do Azure.

A distribuição de transporte, interface e sapmnt entre contas de armazenamento separadas melhora a taxa de transferência e a resiliência. Também simplifica a análise de desempenho. Se você colocar muitos SIDs e outros sistemas de arquivos em uma única conta de armazenamento de Arquivos do Azure e o desempenho da conta de armazenamento for ruim porque você está atingindo os limites de taxa de transferência, será difícil identificar qual SID ou aplicativo está causando o problema.

Planejamento

Importante

A instalação de sistemas SAP HA no SMB premium do Azure Files com integração do Active Directory requer colaboração entre equipes. Recomendamos que as seguintes equipes trabalhem juntas para realizar tarefas:

  • Equipe do Azure: configure contas de armazenamento, execução de scripts e sincronização do Active Directory.
  • Equipe do Active Directory: crie contas de usuário e grupos.
  • Equipe base: Execute o SWPM e defina listas de controle de acesso (ACLs), se necessário.

Aqui estão os pré-requisitos para a instalação de sistemas SAP NetWeaver HA no Azure Files Premium SMB com integração com o Active Directory:

  • Associe os servidores SAP a um domínio do Active Directory.
  • Replique o domínio do Active Directory que contém os servidores SAP para o Microsoft Entra ID usando o Microsoft Entra Connect.
  • Certifique-se de que pelo menos um controlador de domínio do Active Directory esteja no cenário do Azure, para evitar atravessar a Rota Expressa do Azure para contatar controladores de domínio locais.
  • Certifique-se de que a equipe de suporte do Azure revise a documentação do Azure Files SMB com integração do Active Directory. O vídeo mostra opções de configuração extras, que foram modificadas (DNS) e ignoradas (DFS-N) por motivos de simplificação. Mas essas são opções de configuração válidas.
  • Verifique se o usuário que está executando o script do PowerShell Arquivos do Azure tem permissão para criar objetos no Active Directory.
  • Use o SWPM versão 1.0 SP32 e o SWPM 2.0 SP09 ou posterior para a instalação. O patch SAPinst deve ser 749.0.91 ou posterior.
  • Instale uma versão atualizada do PowerShell na instância do Windows Server em que o script é executado.

Sequência de instalação

Criar usuários e grupos

O administrador do Active Directory deve criar, antecipadamente, três usuários de domínio com direitos de Administrador Local e um grupo global na instância local do Active Directory do Windows Server.

SAPCONT_ADMIN@SAPCONTOSO.localtem direitos de Administrador de Domínio e é usado para executar SAPinst, <sid>adm e SAPService<SID como usuários do sistema SAP e o grupo SAP_<SAPSID>>_GlobalAdmin. O guia de instalação da SAP contém os detalhes específicos necessários para essas contas.

Observação

As contas de usuário SAP não devem ser administrador de domínio. Geralmente, recomendamos que você não use <o sid>adm para executar o SAPinst.

Verificar o Gerenciador de Serviços de Sincronização

O administrador do Active Directory ou do Azure deve verificar o Gerenciador de Serviços de Sincronização no Microsoft Entra Connect. Por padrão, leva cerca de 30 minutos para replicar para o Microsoft Entra ID.

Criar uma conta de armazenamento, um ponto de extremidade privado e um compartilhamento de arquivos

O administrador do Azure deve concluir as seguintes tarefas:

  1. Na guia Noções básicas, crie uma conta de armazenamento com ZRS (armazenamento redundante de zona premium) ou LRS (armazenamento com redundância local). Os clientes com implantação zonal devem escolher o ZRS. Aqui, o administrador precisa fazer a escolha entre configurar uma conta Standard ou Premium .

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Importante

    Para uso em produção, recomendamos escolher uma conta Premium . Para utilização fora da produção, uma conta padrão deve ser suficiente.

  2. Na guia Avançado, as configurações padrão devem ser OK.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. Na guia Rede, o administrador toma a decisão de usar um ponto de extremidade privado.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Selecione Adicionar ponto de extremidade privado para a conta de armazenamento e insira as informações para criar um ponto de extremidade privado.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. Se necessário, adicione um registro DNS A ao DNS do Windows para <storage_account_name>.file.core.windows.net. (Isso pode precisar estar em uma nova zona DNS.) Discuta este tópico com o administrador de DNS. A nova zona não deve ser atualizada fora de uma organização.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Crie o compartilhamento de arquivos sapmnt com um tamanho apropriado. O tamanho sugerido é de 256 GB, que fornece 650 IOPS, saída de 75 MB/s e entrada de 50 MB/seg.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Baixe o conteúdo do GitHub de Arquivos do Azure e execute o script.

    Esse script cria uma conta de computador ou uma conta de serviço no Active Directory. Ela tem os seguintes requisitos:

    • O usuário que está executando o script deve ter permissão para criar objetos no domínio do Active Directory que contém os servidores SAP. Normalmente, uma organização usa uma conta de Administrador de Domínio, como SAPCONT_ADMIN@SAPCONTOSO.local.
    • Antes de o usuário executar o script, confirme se essa conta de usuário de domínio do Active Directory está sincronizada com a ID do Microsoft Entra. Um exemplo disso seria abrir o portal do Azure e ir para usuários do Microsoft Entra, verificar se o usuário existe e verificar a conta de usuário SAPCONT_ADMIN@SAPCONTOSO.local do Microsoft Entra.
    • Conceda a função RBAC (controle de acesso baseado em função de Colaborador) a essa conta de usuário do Microsoft Entra para o grupo de recursos que contém a conta de armazenamento que contém o compartilhamento de arquivos. Neste exemplo, o usuário SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com recebe a função Colaborador para o respectivo grupo de recursos.
    • O usuário deve executar o script enquanto estiver conectado a uma instância do Windows Server usando uma conta de usuário de domínio do Active Directory com a permissão especificada anteriormente.

    Neste cenário de exemplo, o administrador do Active Directory faria logon na instância do Windows Server como SAPCONT_ADMIN@SAPCONTOSO.local. Quando o administrador está usando o comando Connect-AzAccountdo PowerShell, o administrador se conecta como usuário SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com. Idealmente, o administrador do Active Directory e o administrador do Azure devem trabalhar juntos nessa tarefa.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Importante

    Quando um usuário estiver executando o comando Connect-AzAccountde script do PowerShell, é altamente recomendável inserir a conta de usuário do Microsoft Entra que corresponde e mapeia para a conta de usuário de domínio do Active Directory que foi usada para fazer logon em uma instância do Windows Server.

    Depois que o script for executado com êxito, vá para Compartilhamentos de Arquivos de Armazenamento> e verifique se Active Directory: Configured (Active Directory: Configurado) é exibido.

  6. Atribua usuários <SAP sid>adm e SAPService<SID e o grupo SAP_<SAPSID>>_GlobalAdmin ao compartilhamento de arquivos SMB premium Arquivos do Azure. Selecione a função Compartilhamento SMB de Dados de Arquivo de Armazenamento Colaborador Elevado no portal do Azure.

  7. Verifique a ACL no compartilhamento de arquivos sapmnt após a instalação. Em seguida, adicione a conta DOMAIN\CLUSTER_NAME$, a conta ADM DOMAIN\sid>, a conta DOMAIN\<SAPService<SID e o grupo SAP_<SID>>_GlobalAdmin grupo. Essas contas e grupo devem ter controle total do diretório sapmnt .

    Importante

    Conclua esta etapa antes da instalação do SAPinst. Será difícil ou impossível alterar ACLs depois que o SAPinst tiver criado diretórios e arquivos no compartilhamento de arquivos.

    As capturas de tela a seguir mostram como adicionar contas de computador computador.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    Você pode encontrar a conta DOMAIN\CLUSTER_NAME$ selecionando Computadores em Tipos de objeto.

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. Se necessário, mova a conta de computador criada para os Arquivos do Azure para um contêiner do Active Directory que não tenha expiração de conta. O nome da conta de computador é o nome abreviado da conta de armazenamento.

    Importante

    Para inicializar a ACL do Windows para o compartilhamento SMB, monte o compartilhamento uma vez em uma letra de unidade.

    A chave de armazenamento é a senha e o usuário é o nome> do compartilhamento Azure\<SMB.

    Windows screenshot of the one-time mount of the SMB share.

Concluir tarefas do SAP Basis

Um administrador do SAP Basis deve concluir estas tarefas:

  1. Instale o cluster do Windows nos nós ASCS/ERS e adicione a testemunha de nuvem.
  2. A primeira instalação do nó de cluster solicita o nome da conta de armazenamento SMB do Azure Files. Digite o FQDN <storage_account_name>.file.core.windows.net. Se o SAPinst não aceitar mais de 13 caracteres, a versão do SWPM será muito antiga.
  3. Modificar o perfil SAP da instância do ASCS/SCS.
  4. Atualize a porta de teste para a função SID> do SAP no WSFC (Cluster de Failover do <Windows Server).
  5. Continue com a instalação do SWPM para o segundo nó ASCS/ERS. O SWPM requer apenas o caminho do diretório de perfil. Insira o caminho UNC completo para o diretório de perfil.
  6. Insira o caminho do perfil UNC para o banco de dados e para a instalação do servidor de aplicativos primário (PAS) e do servidor de aplicativos adicional (AAS).
  7. A instalação do PAS solicita o nome do host de transporte . Forneça o FQDN de um nome de conta de armazenamento separado para o diretório de transporte .
  8. Verifique as ACLs no SID e no diretório de transporte .

Configuração de recuperação de desastres

O SMB premium dos Arquivos do Azure dá suporte a cenários de recuperação de desastres e cenários de replicação entre regiões. Todos os dados nos diretórios SMB premium dos Arquivos do Azure podem ser sincronizados continuamente com a conta de armazenamento de uma região de DR. Para obter mais informações, consulte o procedimento para sincronizar arquivos em Transferir dados com o AzCopy e armazenamento de arquivos.

Após um evento de DR e failover da instância do ASCS para a região de DR, altere o parâmetro profile para apontar para o SAPGLOBALHOST Azure Files SMB na região de DR. Execute as mesmas etapas de preparação na conta de armazenamento de recuperação de desastres para associar a conta de armazenamento ao Active Directory e atribuir funções RBAC para usuários e grupos SAP.

Solução de problemas

Os scripts do PowerShell que você baixou anteriormente contêm um script de depuração para conduzir verificações básicas para validar a configuração.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Aqui está uma captura de tela do PowerShell da saída do script de depuração.

Screenshot of the PowerShell script to validate configuration.

A captura de tela a seguir mostra as informações técnicas para validar uma associação de domínio bem-sucedida.

Screenshot of the PowerShell script to retrieve technical info.

Configurações opcionais

Os diagramas a seguir mostram várias instâncias SAP em VMs do Azure que executam o Cluster de Failover do Windows Server para reduzir o número total de VMs.

Essa configuração pode ser servidores de aplicativos SAP locais em um cluster SAP ASCS/SCS ou uma função de cluster SAP ASCS/SCS nos nós do Microsoft SQL Server Always On.

Importante

Não há suporte para a instalação de um servidor de aplicativos SAP local em um nó SQL Server Always On.

Tanto o SAP ASCS/SCS quanto o banco de dados do Microsoft SQL Server são SPOFs (pontos únicos de falha). Usar o Azure Files SMB ajuda a proteger esses SPOFs em um ambiente Windows.

Embora o consumo de recursos do SAP ASCS/SCS seja relativamente pequeno, recomendamos uma redução da configuração de memória em 2 GB para o SQL Server ou o servidor de aplicativos SAP.

Servidores de aplicativos SAP em nós WSFC usando o Azure Files SMB

O diagrama a seguir mostra os servidores de aplicativos SAP instalados localmente.

Diagram of a high-availability setup with additional application servers.

Observação

O diagrama mostra o uso de discos locais adicionais. Essa configuração é opcional para clientes que não instalarão o software do aplicativo na unidade do sistema operacional (unidade C).

SAP ASCS/SCS em nós Always On do SQL Server usando o SMB de Arquivos do Azure

O diagrama a seguir mostra o Azure Files SMB com a instalação local do SQL Server.

Importante

Não há suporte para o uso do SMB de Arquivos do Azure para qualquer volume do SQL Server.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Observação

O diagrama mostra o uso de discos locais adicionais. Essa configuração é opcional para clientes que não instalarão o software do aplicativo na unidade do sistema operacional (unidade C).