Установка SAP NetWeaver высокого уровня доступности с использованием общих папок SMB в Azure

  • Статья

Корпорация Майкрософт и SAP теперь полностью поддерживают общие папки Файлы Azure блока сообщений сервера уровня "Премиум" (S МБ). Sap Software Provisioning Manager (SWPM) 1.0 с пакетом обновления 32 (SP32) и SWPM 2.0 SP09 (и более поздних версий) поддерживают Файлы Azure хранилище класса Premium S МБ.

Существуют особые требования к размеру Файлы Azure акций premium S МБ. В этой статье содержатся конкретные рекомендации по распределению рабочих нагрузок, выбору соответствующего размера хранилища и выполнению минимальных требований к установке для Файлы Azure premium S МБ.

Решения SAP с высоким уровнем доступности требуют высокодоступной общей папки для размещения sapmnt, транспорта и каталогов интерфейса . Файлы Azure premium S МБ — это простое решение платформы Azure как услуга (PaaS) для общих файловых систем для SAP в средах Windows. Вы можете использовать Файлы Azure premium S МБ с группами доступности и зонами доступности. Вы также можете использовать Файлы Azure premium S МБ для сценариев аварийного восстановления в другом регионе.

Примечание.

Кластеризация экземпляров SAP ASCS/SCS с использованием общего файлового ресурса поддерживается для систем SAP с ядром SAP 7.22 (и более поздних версий). Дополнительные сведения см. в 2698948 заметки SAP.

Размер и распределение Файлы Azure premium S МБ для систем SAP

Оцените следующие моменты при планировании развертывания Файлы Azure premium S МБ:

  • Имя общей папки sapmnt можно создать один раз для каждой учетной записи хранения. Можно создать дополнительные идентификаторы хранилища (SID) в качестве каталогов в той же папке /sapmnt, например /sapmnt/<SID1> и /sapmnt/<SID2>.
  • Выберите соответствующий размер, операции ввода-вывода в секунду и пропускную способность. Рекомендуемый размер общей папки составляет 256 ГБ на идентификатор безопасности. Максимальный размер общей папки составляет 5120 ГБ.
  • Файлы Azure premium S МБ может не работать хорошо для очень больших общих папок sapmnt с более чем 1 миллионами файлов на учетную запись хранения.  Клиенты, у которых есть миллионы пакетных заданий, которые создают миллионы файлов журнала заданий, должны регулярно реорганизовать их, как описано в заметке SAP 16083. При необходимости можно переместить или архивировать старые журналы заданий в другой файловый ресурс Файлы Azure premium S МБ. Если вы ожидаете, что sapmnt будет очень большим, рассмотрите другие варианты (например, Azure NetApp Files).
  • Рекомендуется использовать конечную точку частной сети.
  • Избегайте размещения слишком большого количества идентификаторов безопасности в одной учетной записи хранения и ее общей папке.
  • Как общее руководство, не объединять более четырех непроизводственных SID.
  • Не помещайте всю среду разработки, рабочей среды и системы контроля качества (QAS) в одну учетную запись хранения или общую папку. Сбой общей папки приводит к простою всего ландшафта SAP.
  • Рекомендуется поместить каталоги sapmnt и транспорта в разные учетные записи хранения, за исключением небольших систем. Во время установки сервера основного приложения SAP SAPinst запрашивает имя узла транспорта . Введите полное доменное имя другой учетной записи хранения, как storage_account.file.core.windows.net>.<
  • Не помещайте файловую систему, используемую для интерфейсов, в ту же учетную запись хранения, что и /sapmnt/<SID>.
  • Необходимо добавить пользователей и группы SAP в общую папку sapmnt . Задайте разрешение служба хранилища файловой данных S МБ предоставить им разрешение участника с повышенными привилегиями в портал Azure.

Распределение транспорта, интерфейса и sapmnt между отдельными учетными записями хранения повышает пропускную способность и устойчивость. Он также упрощает анализ производительности. Если вы помещаете множество идентификаторов и других файловых систем в одну Файлы Azure учетную запись хранения, а производительность учетной записи хранения низка, так как вы достигаете ограничений пропускной способности, трудно определить, какой идентификатор безопасности или приложение вызывает проблему.

Планирование

Важно!

Установка систем высокого уровня доступности SAP на Файлы Azure premium S МБ с интеграцией Active Directory требует совместной работы между группами. Рекомендуется совместно работать со следующими командами, чтобы достичь задач:

  • Команда Azure. Настройка и настройка учетных записей хранения, выполнения скриптов и синхронизации Active Directory.
  • Команда Active Directory: создание учетных записей пользователей и групп.
  • Команда основы: запустите SWPM и задайте списки управления доступом (ACL), при необходимости.

Ниже приведены предварительные требования для установки систем высокого уровня доступности SAP NetWeaver на Файлы Azure premium S МБ с интеграцией Active Directory:

  • Присоединяйте серверы SAP к домену Active Directory.
  • Репликация домена Active Directory, содержащего серверы SAP, в идентификатор Microsoft Entra с помощью Microsoft Entra Подключение.
  • Убедитесь, что хотя бы один контроллер домена Active Directory находится в ландшафте Azure, чтобы избежать обхода Azure ExpressRoute для связи с локальными контроллерами домена.
  • Убедитесь, что команда поддержка Azure проверяет документацию по Файлы Azure S МБ с интеграцией Active Directory. В видео показаны дополнительные параметры конфигурации, которые были изменены (DNS) и пропущены (DFS-N) по упрощению причин. Но это допустимые параметры конфигурации.
  • Убедитесь, что пользователь, выполняющий скрипт PowerShell Файлы Azure, имеет разрешение на создание объектов в Active Directory.
  • Используйте SWPM версии 1.0 с пакетом обновления 32 (SP32) и SWPM 2.0 с пакетом обновления 09 (SP09) или более поздней версии для установки. Исправление SAPinst должно быть 749.0.91 или более поздней версии.
  • Установите актуальный выпуск PowerShell в экземпляре Windows Server, где выполняется скрипт.

Последовательность установки

Создание пользователей и групп

Администратор Active Directory должен заранее создать трех пользователей домена с правами локального Администратор istrator и одной глобальной группы в локальном экземпляре Windows Server Active Directory.

SAPCONT_ADMIN@SAPCONTOSO.localимеет права Администратор istrator домена и используется для запуска SAPinst, <sid>adm и SAPService<SID> в качестве пользователей системы SAP и группы SAP_<SAPSID>_GlobalАдминистратор. В этом руководстве по установке SAP приведены сведения непосредственно для этих учетных записей.

Примечание.

Учетные записи пользователей SAP не должны быть учетными записями администраторов домена. Как правило, рекомендуется не использовать <sid>adm для запуска SAPinst.

Проверка диспетчера службы синхронизации

Администратор Active Directory или администратор Azure должны проверка Диспетчер службы синхронизации в Microsoft Entra Подключение. По умолчанию требуется около 30 минут, чтобы реплика te в идентификатор Microsoft Entra.

Создание учетной записи хранения, частной конечной точки и общей папки

Администратор Azure должен выполнить следующие задачи:

  1. На вкладке "Основные сведения " создайте учетную запись хранения с хранилищем с избыточностью между зонами уровня "Премиум" (ZRS) или локально избыточным хранилищем (LRS). Клиенты с зональным развертыванием должны выбрать ZRS. Здесь администратору необходимо выбрать настройку учетной записи уровня "Стандартный" или "Премиум".

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Важно!

    Для использования в рабочей среде рекомендуется выбрать учетную запись Premium . Для использования, отличного от рабочей среды, учетная запись уровня "Стандартный" должна быть достаточной.

  2. На вкладке "Дополнительно" параметры по умолчанию должны быть ОК.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. На вкладке "Сеть" администратор принимает решение использовать частную конечную точку.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Выберите " Добавить частную конечную точку " для учетной записи хранения и введите сведения о создании частной конечной точки.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. При необходимости добавьте запись DNS A в DNS Windows для <storage_account_name>.file.core.windows.net. (Это может потребоваться в новой зоне DNS.) Обсудите эту статью с администратором DNS. Новая зона не должна обновляться за пределами организации.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Создайте общую папку sapmnt с соответствующим размером. Предлагаемый размер составляет 256 ГБ, что обеспечивает 650 операций ввода-вывода в секунду, 75-МБ/с исходящего трафика и 50-МБ/с входящего трафика.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Скачайте содержимое Файлы Azure GitHub и запустите скрипт.

    Этот скрипт создает учетную запись компьютера или учетную запись службы в Active Directory. К нему предъявляются следующие требования.

    • Пользователь, выполняющий скрипт, должен иметь разрешение на создание объектов в домене Active Directory, который содержит серверы SAP. Как правило, организация использует учетную запись домена Администратор istrator, SAPCONT_ADMIN@SAPCONTOSO.localнапример.
    • Перед запуском скрипта убедитесь, что эта учетная запись пользователя домена Active Directory синхронизирована с идентификатором Microsoft Entra. Примером этого будет открытие портал Azure и переход на пользователей Microsoft Entra, проверка, что SAPCONT_ADMIN@SAPCONTOSO.local пользователь существует, и проверить учетную запись пользователя Microsoft Entra.
    • Предоставьте роли управления доступом на основе ролей (RBAC) этой учетной записи пользователя Microsoft Entra для группы ресурсов, содержащей учетную запись хранения, содержащую общую папку. В этом примере пользователю SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com предоставляется роль участника соответствующей группе ресурсов.
    • Пользователь должен запустить скрипт во время входа в экземпляр Windows Server с помощью учетной записи пользователя домена Active Directory с разрешением, указанным ранее.

    В этом примере администратор Active Directory войдет в экземпляр Windows Server как SAPCONT_ADMIN@SAPCONTOSO.local. Когда администратор использует команду Connect-AzAccountPowerShell, администратор подключается как пользователь SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com. В идеале администратор Active Directory и администратор Azure должны работать вместе с этой задачей.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Важно!

    Когда пользователь выполняет команду Connect-AzAccountскрипта PowerShell, настоятельно рекомендуется вводить учетную запись пользователя Microsoft Entra, соответствующую и сопоставляющуюся с учетной записью пользователя домена Active Directory, которая использовалась для входа в экземпляр Windows Server.

    После успешного выполнения скрипта перейдите к общим папкам служба хранилища> File и убедитесь, что active Directory: настроено.

  6. Назначьте пользователям <SAP sid>adm и SAPService<SID> и группу SAP_<SAPSID>_GlobalАдминистратор в общую папку Файлы Azure premium S МБ. Выберите роль служба хранилища файловые данные S МБ предоставить общий доступ к участнику с повышенными привилегиями в портал Azure.

  7. Проверьте ACL в общей папке sapmnt после установки. Затем добавьте учетную запись DOMAIN\CLUSTER_NAME$, учетную запись DOMAIN\<sid>adm, учетную запись ДОМЕНА\SAPService<SID> и группу SAP_<SID>_GlobalАдминистратор. Эти учетные записи и группы должны иметь полный контроль над каталогом sapmnt .

    Важно!

    Выполните этот шаг перед установкой SAPinst. После создания каталогов и файлов в общей папке будет трудно или невозможно изменить списки управления доступом.

    На следующих снимках экрана показано, как добавить учетные записи компьютера.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    Учетная запись DOMAIN\CLUSTER_NAME$ можно найти, выбрав компьютеры в разделе "Типы объектов".

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. При необходимости переместите учетную запись компьютера, созданную для Файлы Azure, в контейнер Active Directory, который не имеет срока действия учетной записи. Имя учетной записи компьютера — это короткое имя учетной записи хранения.

    Важно!

    Чтобы инициализировать ACL Windows для общей папки S МБ, подключите общую папку один раз к букве диска.

    Ключ хранилища — это пароль, а пользователь — Azure\<S МБ имя> общего ресурса.

    Windows screenshot of the one-time mount of the SMB share.

Выполнение задач на основе SAP

Администратор базы SAP должен выполнить следующие задачи:

  1. Установите кластер Windows на узлах ASCS/ERS и добавьте облачного свидетеля.
  2. Первая установка узла кластера запрашивает имя учетной записи хранения Файлы Azure S МБ. Введите полное доменное имя <storage_account_name>.file.core.windows.net. Если SAPinst не принимает более 13 символов, версия SWPM слишком старая.
  3. Изменение профиля SAP для экземпляра ASCS/SCS.
  4. Обновите порт пробы для роли безопасности> SAP <в отказоустойчивом кластере Windows Server (WSFC).
  5. Продолжайте установку SWPM для второго узла ASCS/ERS. ДЛЯ SWPM требуется только путь к каталогу профиля. Введите полный путь в формате UNC к каталогу профиля.
  6. Введите UNC-путь профиля для базы данных и для установки сервера основного приложения (PAS) и дополнительного сервера приложений (AAS).
  7. Установка PAS запрашивает имя узла транспорта . Укажите полное доменное имя отдельной учетной записи хранения для каталога транспорта .
  8. Проверьте списки управления доступом в каталоге безопасности и транспорта .

Настройка аварийного восстановления

Файлы Azure premium S МБ поддерживает сценарии аварийного восстановления и сценарии реплика между регионами. Все данные в Файлы Azure каталогах premium S МБ можно непрерывно синхронизировать с учетной записью хранения региона аварийного восстановления. Дополнительные сведения см. в процедуре синхронизации файлов в службе "Передача данных" с помощью AzCopy и хранилища файлов.

После события аварийного восстановления и отработки отказа экземпляра ASCS в регион аварийного восстановления измените SAPGLOBALHOST параметр профиля на Файлы Azure S МБ в регионе аварийного восстановления. Выполните те же действия по подготовке учетной записи хранения аварийного восстановления, чтобы присоединить учетную запись хранения к Active Directory и назначить роли RBAC для пользователей и групп SAP.

Устранение неполадок

Скрипты PowerShell, скачанные ранее, содержат скрипт отладки для выполнения базовых проверка для проверки конфигурации.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Ниже приведен снимок экрана PowerShell выходных данных скрипта отладки.

Screenshot of the PowerShell script to validate configuration.

На следующем снимка экрана показана техническая информация для проверки успешного присоединения к домену.

Screenshot of the PowerShell script to retrieve technical info.

Необязательные конфигурации

На следующих схемах показаны несколько экземпляров SAP на виртуальных машинах Azure под управлением отказоустойчивого кластера Windows Server, чтобы уменьшить общее количество виртуальных машин.

Эта конфигурация может быть локальными серверами приложений SAP в кластере SAP ASCS/SCS или ролью кластера SAP ASCS/SCS на узлах Microsoft SQL Server AlwaysOn.

Важно!

Установка локального сервера приложений SAP на узле SQL Server AlwaysOn не поддерживается.

Как SAP ASCS/SCS, так и база данных Microsoft SQL Server являются одними точками сбоя (SPOFs). Использование Файлы Azure S МБ помогает защитить эти SPOF в среде Windows.

Хотя потребление ресурсов SAP ASCS/SCS довольно мало, рекомендуется сократить конфигурацию памяти на 2 ГБ для SQL Server или сервера приложений SAP.

Серверы приложений SAP на узлах WSFC с помощью Файлы Azure S МБ

На следующей схеме показаны локальные серверы приложений SAP.

Diagram of a high-availability setup with additional application servers.

Примечание.

На схеме показано использование дополнительных локальных дисков. Эта настройка является необязательной для клиентов, которые не будут устанавливать программное обеспечение приложения на диске ОС (диск C).

SAP ASCS/SCS на узлах SQL Server AlwaysOn с помощью Файлы Azure S МБ

На следующей схеме показаны Файлы Azure S МБ с локальной настройкой SQL Server.

Важно!

Использование Файлы Azure S МБ для любого тома SQL Server не поддерживается.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Примечание.

На схеме показано использование дополнительных локальных дисков. Эта настройка является необязательной для клиентов, которые не будут устанавливать программное обеспечение приложения на диске ОС (диск C).