你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本指南介绍了在支持 Azure 上灾难恢复(DR)的高可用性(HA)环境中运行 S/4HANA 和 Suite 的一组经过验证的做法。 Fiori 信息仅适用于 S/4HANA 应用程序。
建筑
下载此体系结构的 Visio 文件。
注释
若要部署此体系结构,请确保拥有 SAP 产品和其他任何非Microsoft技术所需的许可。
本指南介绍典型的生产系统。 此体系结构使用各种虚拟机(VM)大小。 若要满足组织的需求,可以调整大小或将此配置减少到单个 VM。
本指南简化了网络布局,以演示体系结构原则。 它不表示完整的企业网络。
该体系结构使用以下组件。 某些共享服务是可选的。
Azure 虚拟网络。 虚拟网络服务通过增强的安全性将 Azure 资源相互连接。 在此体系结构中,虚拟网络将通过中心-分支拓扑的中心内部署的网关连接到本地环境。 分支是用于 SAP 应用程序和数据库层的虚拟网络。
虚拟网络对等互连。 此体系结构使用 多个对等互连的虚拟网络。 此拓扑为部署在 Azure 上的服务提供网络分段和隔离。 对等互连通过 Microsoft 骨干网透明地连接网络,并且在单个区域内实现时不会对性能产生负面影响。 单独的子网用于每个层,包括应用程序层(SAP NetWeaver)和数据库层,以及共享组件(如跳转盒和 Windows Server Active Directory)。
虚拟机。 此体系结构通过以下方式将运行 Linux 的 VM 组织为应用程序层和数据库层的组:
应用程序层。 此架构层包括 Fiori 前端服务器池、SAP Web 调度程序池、应用程序服务器池和 SAP Central Services 群集。 对于在 Linux VM 中运行的 Azure 上的 Central Services 的 HA,需要高可用性网络文件共享服务,例如 Azure 文件存储、Azure NetApp 文件、群集 NFS 服务器或适用于 Linux 的 SIOS 保护套件中的网络文件系统(NFS)文件共享。 要在 Red Hat Enterprise Linux (RHEL) 上为 Central Services 群集设置高可用性文件共享,可在运行 RHEL 的 Azure VM 上配置 GlusterFS。 在 SUSE Linux Enterprise Server (SLES) 15 SP1 及更高版本或适用于 SAP 应用程序的 SLES 上,可以将 Pacemaker 群集上的 Azure 共享磁盘 用作隔离设备来实现 HA。
SAP HANA。 数据库层使用群集中的两个或多个 Linux VM 在纵向扩展部署中实现 HA。 HANA 系统复制 (HSR) 用于在主要和辅助 HANA 系统之间复制内容。 Linux 群集用于检测系统故障,以及方便自动故障转移。 必须使用基于存储或基于云的隔离机制来帮助确保失败的系统处于隔离状态或关闭状态,以避免已分区群集。 在 HANA 横向扩展部署中,可以使用以下选项之一来实现数据库 HA:
在没有 Linux 群集组件的情况下使用 Azure NetApp 文件配置 HANA 备用节点。
使用 Azure 高级存储在没有备用节点的情况下横向扩展。 使用 Linux 群集进行故障转移。
Azure Bastion。 通过此服务,可以使用浏览器和 Azure 门户或使用本地计算机上安装的本机安全外壳(SSH)或远程桌面协议(RDP)客户端连接到 VM。 如果仅使用 RDP 和 SSH 进行管理,请考虑使用 Azure Bastion。 如果使用其他管理工具,如 SQL Server Management Studio 或 SAP 前端,请使用传统的自部署跳转盒。
专用 DNS 服务。Azure 专用 DNS 为虚拟网络提供可靠且安全的 DNS 服务。 Azure 专用 DNS 可管理并解析虚拟网络中的域名,使你无需配置自定义 DNS 解决方案。
负载均衡器。 若要将流量分发到 SAP 应用程序层子网中的 VM 以提高可用性,请使用 Azure 标准负载均衡器。 标准负载均衡器默认提供安全层。 位于标准负载均衡器后的虚拟机(VM)没有出站互联网连接。 要在 VM 中启用出站 Internet,你需要更新标准负载均衡器配置。 此外,还可以使用 Azure NAT 网关获取出站连接。 对于基于 SAP Web 的应用程序 HA,请使用内置的 SAP Web 调度程序 或其他商业可用的负载均衡器。 根据你的选择:
- 您的流量类型,例如 HTTP 或 SAP 图形用户界面(GUI)流量。
- 所需的网络功能,例如安全套接字层 (SSL) 终止。
标准负载均衡器支持多个前端虚拟 IP 地址。 此支持非常适合包含以下组件的群集实现:
- 高级业务应用程序编程 (ABAP) SAP Central Services (ASCS)
- 排队复制服务器
这两个组件可以共享负载均衡器来简化解决方案。
标准负载均衡器还支持多系统标识符(多 SID)SAP 群集。 此功能允许 SLES 或 RHEL 上的多个 SAP 系统共享通用 HA 基础结构,以帮助降低成本。 建议评估成本节省,避免在一个群集中放置过多系统。 Azure 支持每个群集最多五个 SID。
应用程序网关。 Azure 应用程序网关是一种 Web 流量负载均衡器,可用于管理 Web 应用的流量。 传统负载均衡器使用传输控制协议和用户数据报协议在传输层(称为开放系统互连(OSI)第 4 层运行。 它们根据源 IP 地址和端口将流量路由到目标 IP 地址和端口。 应用程序网关可以根据 HTTP 请求的额外属性(例如统一资源标识符路径或主机标头)做出路由决策。 这种类型的路由称为应用程序层或 OSI 第 7 层负载均衡。 S/4HANA 通过 Fiori 提供 Web 应用程序服务。 可以使用应用程序网关对由 Web 应用组成的 Fiori 前端进行负载均衡。 如果使用公共 IP 地址,请确保它们使用标准 IP 地址 SKU。 避免使用基本 IP 地址 SKU,因为计划在 2025 年 9 月 30 日弃用它。
网关。 网关的作用是连接不同的网络,以及将本地网络扩展到 Azure 虚拟网络。 建议使用 Azure ExpressRoute 创建不通过公共 Internet 的专用连接。 你也可以使用站点到站点连接。 为了帮助降低延迟,请使用 ExpressRoute Global Reach 或 ExpressRoute FastPath。
区域冗余网关。 可以跨区域部署 ExpressRoute 或虚拟专用网 (VPN) 网关,以防止区域故障。 此体系结构使用 区域冗余 的虚拟网络网关实现复原,而不是基于同一可用性区域的区域性部署。
邻近放置组。 此逻辑组对在可用性集或虚拟机规模集内部署的 VM 施加限制。 邻近放置组通过确保 VM 部署在同一数据中心来有效实现并置。 此配置可减少资源之间的物理距离,以最大程度地减少应用程序延迟。
注释
有关更新的配置策略,请参阅 配置选项,以最大程度地减少 SAP 应用程序的网络延迟。 本文介绍在优化 SAP 系统以降低网络延迟时部署灵活性的潜在权衡。
网络安全组(NSG)。 若要限制虚拟网络中的传入、传出和子网内部流量,可以创建 NSG。
应用程序安全组。 要基于工作负载并以应用程序为中心定义细致缜密的网络安全策略,请使用应用程序安全组而不是显式 IP 地址。 可以按名称对 VM 进行分组,并通过筛选来自网络可信任段的流量来保护应用程序的安全。
Azure 存储。 存储以虚拟硬盘的形式为VM 提供数据持久性。 建议使用 Azure 托管磁盘。
建议
此体系结构描述一个小型的生产级部署。 根据业务需求,部署将有所不同,因此请考虑将这些建议作为起点。
虚拟机
在应用程序服务器池和群集中,根据要求调整 VM 数目。 有关如何在 VM 上运行 SAP NetWeaver 的详细信息,请参阅 Azure 虚拟机规划和实施指南。 本指南也适用于 SAP S/4HANA 部署。
有关 Azure VM 类型和吞吐量指标的 SAP 支持的详细信息,请参阅 SAP 说明1928533。 要访问 SAP 说明,需要具有 SAP 服务市场帐户。 有关 HANA 数据库的认证 Azure VM 列表,请参阅 SAP 认证和支持的 SAP HANA 硬件目录。
SAP Web 调度程序
Web 调度程序组件用来实现 SAP 应用程序服务器之间 SAP 流量的负载均衡。 为了实现 SAP Web 调度器的 HA,Azure 负载均衡器实现故障转移群集或并行 Web 调度器设置。 对于面向 Internet 的通信,外围网络中的独立解决方案是解决安全要求的推荐体系结构。 ASCS 上的嵌入式 Web 调度程序 是一种高级配置。 如果使用此配置,请考虑合理规划资源,以应对 ASCS 上的额外工作负荷。
Fiori 前端服务器 (FES)
此体系结构满足多个要求,并假定使用嵌入式 Fiori FES 模型。 所有技术组件都直接安装在 S/4 系统上,因此每个 S/4 系统都有自己的 Fiori 启动板。 S/4 系统管理此部署模型的 HA 配置。 此方法不需要额外的群集或 VM。 因此,体系结构关系图不包括 FES 组件。
有关部署选项的详细信息,请参阅 SAP Fiori 部署选项和系统布局建议。 为了实现简单和高性能,Fiori 技术组件和 S/4 应用程序之间的软件版本是紧密耦合的。 此设置使中心部署仅适用于几个特定的用例。
如果使用 FES 中心型部署,FES 则是经典 SAP NetWeaver ABAP 堆栈的附加组件。 设置 HA 的方式与保护具有群集或多主机功能的三层 ABAP 应用程序堆栈的方式相同。 使用备用服务器数据库层、具有 HA NFS 的群集 ASCS 层进行共享存储,以及至少两个应用程序服务器。 流量通过一对可群集或并行的 Web Dispatcher 实例进行负载均衡。 对于面向 Internet 的 Fiori 应用,我们建议在外围网络中部署 FES 中心。 将 应用程序网关 上的 Azure Web 应用程序防火墙用作转移威胁的关键组件。 将 Microsoft Entra ID 与安全断言标记语言配合使用 , 以便对 SAP Fiori 进行用户身份验证和单一登录。
下载此体系结构的 Visio 文件。
有关详细信息,请参阅 Azure 上的 SAP 入站和出站 Internet 连接。
应用程序服务器池
若要管理 ABAP 应用程序服务器的登录组,请使用以下事务代码:
- SMLG: 对登录用户进行负载均衡。
- SM61: 管理批处理服务器组。
- RZ12: 管理远程函数调用(RFC)组。
这些事务依赖于 Central Services 消息服务器中的负载均衡功能,在管理 SAP GUI 和 RFC 流量的 SAP 应用程序服务器的池中分发传入会话和工作负荷。
SAP Central Services 群集
SAP Central Services 包含消息服务器和排队复制服务的单个实例。 与应用程序服务器的工作过程不同,这些组件是 SAP 应用程序堆栈中的单一故障点。 当 Azure 单实例 VM 可用性服务级别协议 (SLA) 满足要求时,可以将 Central Services 部署到单个 VM。 如果 SLA 需要更高的可用性,则需要在 HA 群集上部署这些服务。 有关详细信息,请参阅 应用程序服务器层中的 Central Services。
网络
该架构使用星型拓扑结构,其中枢纽虚拟网络充当与本地网络的中心连接点。 分支是与中心对等互连的虚拟网络。 可以使用分支来隔离工作负荷。 流量通过网关连接在本地数据中心与中心之间流动。
网络接口卡
传统的本地 SAP 部署为每个计算机实现多个网络接口卡(NIC),将管理流量与业务流量隔离开来。 在 Azure 上,虚拟网络是软件定义的网络,通过单个网络结构路由所有流量。 因此,出于性能原因,不需要多个 NIC。 如果你的组织需要隔离流量,则可以为每个 VM 部署多个 NIC,将每个 NIC 连接到不同的子网,然后使用 NSG 来帮助实施不同的访问控制策略。
Azure NIC 支持多个 IP 地址。 此支持符合 SAP 建议将虚拟主机名用于 SAP 说明962955安装的做法。
子网和 NSGs
此体系结构将虚拟网络地址空间划分为子网。 可以将每个子网与定义子网访问策略的 NSG 相关联。 将应用程序服务器放在单独的子网上。 此方法通过管理子网安全策略而不是单个服务器,更轻松地保护应用程序服务器。
将 NSG 与子网相关联时,NSG 适用于子网中的所有服务器,并提供对服务器的精细控制。 使用 Azure 门户、 Azure PowerShell 或 Azure CLI 设置 NSG。
ExpressRoute Global Reach
如果网络环境包含两条或更多条 ExpressRoute 线路,ExpressRoute Global Reach 可帮助你减少网络跃点并减少延迟。 此技术是在两个或更多 ExpressRoute 线路之间设置的边界网关协议路由对等互连,用于桥接两个 ExpressRoute 路由域。 当网络流量遍历多个 ExpressRoute 线路时,Global Reach 可降低延迟。 它仅适用于 ExpressRoute 线路上的专用对等互连。
Global Reach 不支持更改网络访问控制列表或其他属性。 ExpressRoute 线路(无论从本地还是从 Azure)获知的所有路由都通过线路对等互连播发到其他 ExpressRoute 线路。 建议在本地设置网络流量筛选,以限制对资源的访问。
FastPath
FastPath 在 Azure 网络的入口点实现 Microsoft Edge 交换。 FastPath 可减少大多数数据包的网络跃点。 因此,FastPath 减少了网络延迟,提高了应用程序性能,并且是与 Azure 的新 ExpressRoute 连接的默认配置。
对于现有 ExpressRoute 线路,请联系 Azure 支持人员激活 FastPath。
FastPath 不支持虚拟网络对等互连。 如果连接到 ExpressRoute 的虚拟网络与其他虚拟网络对等互连,则从本地网络发往其他分支虚拟网络的网络流量将通过虚拟网络网关路由。 若要解决此问题,请将所有虚拟网络直接连接到 ExpressRoute 线路。
负载均衡器
SAP Web 调度程序 处理到 SAP 应用程序服务器池的 HTTP 和 HTTPS 流量的负载均衡。 此软件负载均衡器在 ISO 网络模型中提供应用程序层服务(称为第 7 层),这些服务能够进行 SSL 终止和其他卸载功能。
负载均衡器是一种网络传输层服务(第 4 层),它使用来自数据流的 5 元组哈希来均衡流量。 哈希基于源 IP 地址、源端口、目标 IP 地址、目标端口和协议类型。 Azure 负载均衡器用于在群集设置中将流量定向到主服务实例或正常节点(如果有故障)。 无论哪种 SAP 方案,均建议使用标准负载均衡器。 标准负载均衡器默认是安全的,标准负载均衡器后面的 VM 没有出站 Internet 连接。 要在 VM 中启用出站 Internet,必须调整标准负载均衡器配置。
对于通过动态信息和行动网关(DIAG)协议或 RFC 连接到 SAP 服务器的 SAP GUI 客户端产生的流量,Central Services 消息服务器通过 SAP 应用程序服务器 登录组平衡负载。 因此,不需要其他负载均衡器。
储存
一些客户对应用程序服务器使用标准存储。 由于不支持标准托管磁盘,因此建议在所有方案中使用 Azure 高级 SSD 或 Azure NetApp 文件 。 最近对SAP 说明 2015553的更新明确排除了在某些特定用例中使用 Azure 标准 HDD 存储和 Azure 标准 SSD 存储。
由于应用程序服务器不托管任何业务数据,因此你可以借助较小的 P4 和 P6 高级磁盘来帮助管理成本。 对于 SAP 应用程序,强烈建议使用 Azure SSD v1、SSD v2 或超级磁盘。 若要了解存储类型如何影响 VM 可用性 SLA,请参阅 联机服务的 SLA。 对于 HA 方案,Azure 高级 SSD 和 Azure 超级磁盘存储上提供了 Azure 共享磁盘 功能。 有关详细信息,请参阅 Azure 托管磁盘 和 Azure 托管磁盘类型。
可以将 Azure 共享磁盘与 Windows Server、SLES 15 SP1及更高版本或 SLES for SAP 一起使用。 在 Linux 群集中使用 Azure 共享磁盘时,Azure 共享磁盘可用于隔离故障的节点块设备。 它在群集网络分区情况下提供仲裁投票。 此共享磁盘没有文件系统,并且不支持从多个群集成员 VM 同时写入。
Azure NetApp 文件内置有 NFS 和 SMB 的文件共享功能。
对于 NFS 共享方案,Azure NetApp 文件为 NFS 共享提供 HA,可用于 /hana/shared、/hana/data 和 /hana/log 卷。 有关可用性保证,请参阅 联机服务的 SLA。 如果您为 /hana/data 和 /hana/log 卷使用基于 Azure NetApp 文件的 NFS 共享,则需要使用 NFS v4.1 协议。 /hana/shared 卷支持 NFS v3 协议。
对于备份数据存储,建议使用 Azure 冷访问层和存档访问层。 这些存储层的性价比较高,适合用于存储不经常访问的长久留存数据。 此外,请考虑使用 Azure NetApp 文件标准层 作为备份目标或 Azure NetApp 文件备份选项。 对于托管磁盘,建议的备份数据层是 Azure 冷访问层或存档访问层。
超级磁盘存储和 Azure NetApp 文件 超级层 可显著减少磁盘延迟并提高关键应用程序和 SAP 数据库服务器的性能。
高级 SSD v2 专为 SAP 等性能关键型工作负荷而设计。 有关此存储解决方案的优点和限制的详细信息,请参阅 部署高级 SSD v2。
性能注意事项
SAP 应用程序服务器经常与数据库服务器通信。 对于在任何数据库平台(包括 SAP HANA)上运行的性能关键型应用程序,如果使用高级 SSD v1,请为日志卷启用 写入加速器 。 此方法可以提高日志写入延迟。 高级 SSD v2 不使用写入加速器。 写入加速器可用于 M 系列 VM。
若要优化服务器间的通信,请使用加速网络。 大多数具有两个或更多 vCPU 的常规用途和计算优化 VM 实例大小都支持加速网络。 在支持超线程的实例上,具有四个或多个 vCPU 的 VM 实例支持加速网络。
应优化 网络接口中的 Linux TCP/IP 堆栈和缓冲区 ,以实现一致的性能。 按照 Microsoft 推荐的设置进行操作。 例如,你将调整如下项:
- 用于优化读取和写入内存缓冲区的内核参数
- 瓶颈带宽和往返传播时间 (BBR) 拥塞控制
- 调整 TCP 参数以提高一致性和吞吐量
- TX/RX 的 NIC 环形缓冲区
有关 SAP HANA 性能要求的详细信息,请参阅 SAP 说明1943937。
若要实现每秒高输入/输出作(IOPS)和磁盘带宽吞吐量,请遵循存储卷 性能优化的常见做法。 例如,合并多个磁盘以创建条带化磁盘卷可以提高输入/输出(I/O)性能。 在不经常更改的存储内容上启用读取缓存还可以加快数据检索速度。 有关详细信息,请参阅 SAP HANA Azure 虚拟机存储配置。
高级 SSD v2 专为 SAP 等性能关键型工作负荷而设计。 有关其优点、限制和最佳使用方案的详细信息,请参阅 Azure 托管磁盘类型。
超级磁盘存储是新一代存储,可满足密集型 IOPS 和应用程序(如 SAP HANA)的传输带宽需求。 可以在不重新启动 VM 的情况下动态更改超级磁盘的性能,并独立配置 IOPS 和 MBps 等指标。 建议尽可能使用超级磁盘存储而不是写入加速器。
某些 SAP 应用程序需要频繁与数据库通信。 由于距离,应用程序和数据库层之间的网络延迟可能会对应用程序性能产生负面影响。 Azure 邻近放置组为在可用性集内部署的 VM 设置放置约束。 在组的逻辑构造中,并置和性能优先于可伸缩性、可用性和成本。 邻近放置组可以极大地改善大多数 SAP 应用程序的用户体验。
任何 SAP 应用程序堆栈都不支持在应用程序层和数据库层之间放置网络虚拟设备 (NVA)。 NVA 需要大量的时间来处理数据包。 因此,它极大降低应用程序性能。
我们还建议在部署 具有可用性区域的资源时考虑性能,这可以提高服务可用性。 请考虑在目标区域的所有分区之间创建明确的网络延迟概况。 此方法有助于确定资源放置以实现区域之间的最小延迟。 要创建此配置文件,请在每个区域中部署小型 VM 来运行测试。 建议的测试工具包括 PsPing 和 Iperf。 测试后,请删除这些 VM。 有关可以改用的公共域网络延迟测试工具,请参阅 可用性区域延迟测试。
Azure NetApp 文件具有独特的性能功能,支持实时优化以满足最苛刻的 SAP 环境的需求。 有关使用 Azure NetApp 文件时的性能注意事项,请参阅 Azure NetApp 文件上的 HANA 数据库的大小调整。
可伸缩性注意事项
在 SAP 应用程序层,Azure 提供了多种 VM 大小以支持纵向扩展和横向扩展。有关详细列表,请参阅 SAP 说明1928533中的 "Azure 上的 SAP 应用程序:支持的产品和 Azure VM 类型"。 更多的 VM 类型经过持续认证,因此可以在同一个云部署中纵向扩展或缩减。
在数据库层上,此体系结构在 Azure VM 上运行 SAP S/4HANA 应用程序,可在一个实例中纵向扩展到 24 TB(TB)。 如果工作负荷超过最大 VM 大小,则可以将多节点配置用于多达 96 TB(4 个 24 TB 实例)用于联机事务处理应用程序。 有关详细信息,请参阅 认证和支持的 SAP HANA 硬件目录。
可用性注意事项
资源冗余是高可用性基础结构解决方案中的常见话题。 有关各种存储类型的单实例 VM 可用性 SLA,请参阅 联机服务的 SLA。 若要在 Azure 上提高服务可用性,请使用 Azure 虚拟机规模集部署 VM 资源,该规模集提供灵活的业务流程、可用性区域和可用性集。
Azure 区域可用性集部署模型是受支持的选项。 但是,我们建议为新的 SAP 部署采用具有可用性区域模型的虚拟机规模集,以提高可用性并提高部署灵活性。
在此 SAP 应用程序的分布式安装中,将复制基本安装以实现 HA。 对于体系结构的每个层,HA 设计各不相同。
部署方法
在 Azure 上,SAP 工作负载部署可以是地区性部署,也可以是区域性部署,具体取决于 SAP 应用程序的可用性和复原能力要求。 Azure 提供 不同的部署选项,例如具有灵活业务流程的虚拟机规模集(一个容错域配置)、可用性区域和可用性集,以增强资源的可用性。
随着 Azure 上的客户部署多年来的发展,Microsoft增强了 Azure VM 部署模型,包括虚拟机规模集,以帮助确保云弹性和复原能力。 考虑到可用的部署选项,我们强烈建议对所有新部署使用 Azure 灵活规模集区域部署。 有关跨区域、单个区域和无区域的区域部署的详细信息,请参阅 SAP NetWeaver 的 HA 体系结构和方案。
应用程序服务器层中的 Web Dispatcher
可以使用冗余 Web 调度程序实例实现 HA。 有关详细信息,请参阅 SAP Web 调度程序。 可用性级别取决于 Web Dispatcher 后面的应用程序的大小。 在具有很少可伸缩性问题的小型部署中,可以将 Web 调度程序与 ASCS VM 并置。 此方法可帮助你节省独立的操作系统维护成本,同时获得高可用性(HA)。
应用程序服务器层中的中央服务
对于 Azure Linux VM 上的 Central Services 的 HA,请使用适用于所选 Linux 分发版的相应 HA 扩展。 通常,使用 SUSE 分布式复制块设备或 Red Hat GlusterFS 将共享文件系统放置在高度可用的 NFS 存储上。 若要提供高度可用的 NFS 并消除对 NFS 群集的需求,可以使用其他经济高效或可靠的解决方案,例如 通过 Azure 文件 存储或 Azure NetApp 文件使用 NFS。 Azure NetApp 文件共享可以托管 SAP HANA 数据和日志文件。 此设置支持具有备用节点的 HANA 横向扩展部署模型,而 Azure 文件存储上的 NFS 非常适合高可用性非数据库文件共享。
Azure 文件存储上的 NFS 现在支持 SLES 和 RHEL 的高可用性文件共享。 此解决方案适用于 SAP 安装中的高可用性文件共享,例如 /sapmnt 和 /saptrans。
Azure NetApp 文件支持 SLES 上的 ASCS HA。 有关 RHEL HA 上的 ASCS 的详细信息,请参阅 适用于 Linux 的 SIOS 保护套件。
改进的 Azure 围栏代理适用于 SUSE 和 Red Hat ,并提供比以前版本的代理更快的服务故障转移。
另一个隔离措施选项是使用 Azure 共享磁盘 作为隔离设备。 在 SLES 15 SP1 或 SLES for SAP 15 SP1 及更高版本上,可以使用 Azure 共享磁盘设置 Pacemaker 群集。 此选项很简单,不需要像 Azure 围栏代理这样的开放网络端口。
SLES 15 及更高版本上最近支持的、更简单的 Pacemaker 配置是 HA SAP NetWeaver,在 SLES 上为 SAP 应用程序 VM 提供简单装载和 NFS。 在此配置中,系统从群集管理中排除 SAP 文件共享,这使得操作更简单。 对所有新部署使用此 HA 配置。
为了进一步管理大型 SAP 布局的成本,Linux 群集支持在 Azure 上安装 ASCS 多 SID 。 在多个 SAP 系统中共享可用性群集可以简化 SAP 布局并降低运营成本。
在标准负载均衡器上,可以启用 HA 端口 ,并避免需要为许多 SAP 端口配置负载均衡规则。 通常,如果在设置负载均衡器时启用直接服务器返回 (DSR) 功能,则对客户端查询的服务器响应可以绕过负载均衡器。 此功能也称为浮动 IP。 负载均衡器可以位于本地或 Azure 上。 这种直接连接避免了负载均衡器成为数据传输路径上的瓶颈。 对于 ASCS 和 HANA 数据库群集,建议启用 DSR。 如果后端池中的 VM 需要公共出站连接,则需要进一步 配置 。
对于通过 DIAG 协议或 RFC 连接 SAP 服务器的 SAP GUI 客户端发出的流量,Central Services 消息服务器会使用 SAP 应用程序服务器登录组进行负载均衡。 因此,不需要其他负载均衡器。
应用程序服务器层中的应用程序服务器
可以通过对应用程序服务器池中的流量进行负载均衡来实现 HA。
数据库层
本指南中的此参考体系结构描述包括两个 Azure VM 的高可用性 SAP HANA 数据库系统。 数据库层的本机系统复制功能在复制的节点之间提供手动或自动故障转移。
若要手动故障转移,请部署多个 HANA 实例,并使用 HSR。
若要自动故障转移,请使用适用于 Linux 分发版的 HSR 和 Linux HA 扩展 (HAE)。 Linux HAE 为 HANA 资源提供群集服务,检测故障事件,并将故障服务的故障转移协调到正常的节点。
跨可用性区域部署 VM
可用性区域有助于增强服务可用性。 区域是指特定 Azure 地区中的物理分隔位置。 它们提高了工作负载可用性,可保护应用程序服务和 VM 免受数据中心中断的影响。 单个区域中的 VM 被视为位于单个更新或容错域中。 选择区域部署后,同一区域中的 VM 会以最佳方式分发到容错域和升级域。
在支持此功能 的 Azure 区域中 ,至少有三个区域可用。 不能保证这些区域中的数据中心之间的最大距离。 若要跨区域部署多层 SAP 系统,必须知道区域中和目标区域中的网络延迟,以及部署的应用程序对网络延迟的敏感程度。
当你决定跨可用性区域部署资源时,请考虑以下注意事项:
- 同一个区域中虚拟机之间的延迟
- 所选区域中 VM 之间的延迟
- 所选区域中相同 Azure 服务或 VM 类型的可用性
注释
我们不推荐将可用性区域用于灾难恢复(DR)。 DR 站点应至少距主站点 100 英里,以应对自然灾害。 无法保证数据中心之间的确切距离。
主动/被动部署示例
在此示例部署中,主动/被动状态是指区域中的应用程序服务状态。 在应用程序层中,SAP 系统的所有四个活动应用程序服务器都位于区域 1 中。 另一组四台被动应用程序服务器是在区域 2 中构建的,还处于关闭状态。 它们仅在需要时才被激活。
Central Services 和数据库的双节点群集跨两个区域延伸。 如果区域 1 失败,Central Services 和数据库服务将在区域 2 中运行。 区域 2 中的被动应用程序服务器被激活。 将此 SAP 系统的所有组件并置在同一区域中后,网络延迟将最小化。
主动/主动部署示例
在 主动/主动部署中,两组应用程序服务器跨两个区域生成。 在每个区域中,每个集中有两个应用程序服务器处于活动状态。 因此,在正常操作中,这两个区域中都有活动应用程序服务器。
ASCS 和数据库服务在区域 1 中运行。 由于区域之间的物理距离,区域 2 中的应用程序服务器连接到 ASCS 和数据库服务时,网络延迟可能更长。
如果区域 1 脱机,ASCS 和数据库服务将故障转移到区域 2。 可将休眠的应用程序服务器联机,以提供完整容量来处理应用程序。
DR 注意事项
SAP 应用程序堆栈中的每个层都使用不同的方法来提供 DR 保护。 有关 DR 策略和实现信息,请参阅 SAP 工作负载的 DR 概述和基础结构指南 ,以及 SAP 应用程序的 DR 指南。
注释
如果发生区域性灾难,导致一个区域中许多 Azure 客户发生大规模故障转移事件,则无法保证目标区域 的资源容量 。 与所有 Azure 服务一样,Site Recovery 会继续增添特性和功能。 有关 Azure 之间的复制的最新信息,请参阅支持矩阵。
若要帮助确保 DR 区域的可用资源容量,请使用 按需容量预留。 Azure 允许将预留实例折扣与容量预留相结合,以降低成本。
成本注意事项
使用 Azure 定价计算器估算成本。
有关详细信息,请参阅 Azure Well-Architected 框架成本优化。
虚拟机
此体系结构将运行 Linux 的虚拟机用于管理层、SAP 应用程序层和数据库层。
有几种虚拟机的支付选项:
对于没有可预测的完成时间或资源消耗的工作负荷,请考虑即用即付选项。
如果可以承诺在一年或三年内使用 VM,请考虑使用 Azure 预留。 虚拟机预留可以显著降低成本。 与即用即付选项相比,你最多可节省 72%。
使用 Azure 低优先级虚拟机 来运行那些可以被中断且不需要在预定时间或 SLA 内完成的工作负载。 Azure 会在有可用容量时部署现成 VM,在需要恢复容量时将其逐出。 现成 VM 成本低于其他 VM。 请考虑为以下工作负载使用现成 VM:
高性能计算方案、批处理作业或视觉渲染应用程序
测试环境,包括持续集成和持续交付工作负载
大规模无状态应用程序
Azure 虚拟机预留实例可以通过将 Azure 虚拟机预留实例费率与即用即付订阅相结合,从而降低总拥有成本,以便跨可预测和可变工作负荷管理成本。 有关详细信息,请参阅 Azure 虚拟机预留实例。
有关定价的概述,请参阅 Linux 虚拟机定价。
负载均衡器
在此示例中,Azure 负载均衡器用于将流量分配到应用层子网中的 VM。
你只需为配置的负载平衡和出站规则的数量付费。 入站网络地址转换规则是免费的。 如果未配置规则,则标准负载均衡器不按小时收费。
ExpressRoute
在此体系结构中,ExpressRoute 是用于在本地网络和 Azure 虚拟网络之间创建专用连接的网络服务。
所有入站数据传输都是免费的。 所有出站数据传输都根据预先确定的费率收费。 有关详细信息,请参阅 ExpressRoute 定价。
管理和操作注意事项
为让系统在生产环境中运行,请考虑以下几点。
适用于 SAP 解决方案的 Azure 中心
Azure SAP 解决方案中心是一种端到端解决方案,可用于在 Azure 上作为统一的工作负载创建和运行 SAP 系统,并为创新提供更加无缝的基础。 Azure Center for SAP 解决方案的指导部署体验创建了你运行 SAP 系统所需的计算、存储和网络组件。 然后,可以根据Microsoft最佳做法自动安装 SAP 软件。 可以同时利用新的和现有的基于 Azure 的 SAP 系统的管理功能。
备份
可以通过多种方式备份 SAP HANA 数据。 迁移到 Azure 后,继续使用已有的任何现有备份解决方案。 Azure 提供了两种用于备份的本地方法。 可在 VM 上备份 SAP HANA,或在文件级别使用 Azure 备份。 Azure 备份已获得 SAP Backint 认证。 有关详细信息,请参阅 Azure 备份常见问题解答和在 Azure VM 上备份 SAP HANA 数据库的支持矩阵。
注释
只有 HANA 单容器或纵向扩展部署支持 Azure 存储快照。
标识管理
使用集中式标识管理系统来控制对各级资源的访问。
通过 Azure 基于角色的访问控制(RBAC)提供对 Azure 资源的访问权限。
通过轻型目录访问协议、Microsoft Entra ID、Kerberos 或其他系统授予对 Azure VM 的访问权限。
通过 SAP 提供的服务或使用 OAuth 2.0 和 Microsoft Entra ID,在应用本身内部支持访问。
监测
若要最大程度地提高 Azure 上应用程序和服务的可用性和性能,请使用 Azure Monitor。 Azure Monitor 提供了一个全面的解决方案,用于从云和本地环境收集、分析和处理遥测数据。 Azure Monitor 有助于你了解应用程序的性能,并主动识别影响应用程序及其所依赖资源的问题。 对于在 SAP HANA 和其他主要数据库解决方案上运行的 SAP 应用程序,请参阅适用于 SAP 的 Azure Monitor 解决方案,了解适用于 SAP 的 Azure Monitor 如何帮助你管理 SAP 服务的可用性和性能。
安全注意事项
SAP 有自己的用户管理引擎,用于控制 SAP 应用程序和数据库中基于角色的访问和授权。 有关详细信息,请参阅 SAP HANA 安全概述。
若要实现更高网络安全性,请考虑使用外围网络。外围网络使用 NVA 在 Web Dispatcher 子网和 Fiori 前端服务器池的前面创建防火墙。 若要最大程度地降低数据传输成本,请部署在 S/4 系统所在的同一虚拟网络中托管 Fiori 应用程序的活动前端服务器。 或者,可以在外围网络中配置这些前端服务器,该服务器利用虚拟网络对等互连与 S/4 系统建立连接。
在基础设施安全方面,传输中的数据和处于静态状态的数据都会被加密。 有关适用于 S/4HANA 的网络安全性的信息,请参阅 SAP 环境的安全性。
若要 加密 Linux VM 磁盘,可以使用多个选项。 对于 SAP HANA 静态数据加密,建议使用 SAP HANA 本机加密技术。 有关特定 Linux 分发版、版本和映像上的 Azure 磁盘加密的支持,请参阅 适用于 Linux VM 的 Azure 磁盘加密。
注释
不要在同一存储卷上使用 HANA 静态数据加密和 Azure 磁盘加密。 对于 HANA,请通过 Azure 磁盘存储服务器端加密使用 HANA 数据加密。 使用客户管理的密钥可能会影响 I/O 吞吐量。
社区
社区可以解答问题,并帮助设置成功的部署。 请考虑以下资源:
供稿人
Microsoft维护本文。 以下参与者撰写了本文。
主要作者:
- Ben Trinh | 首席架构师
要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。
后续步骤
有关使用此体系结构的某些相同技术的 SAP 工作负荷的详细信息和示例,请参阅以下文章:
- 在 Azure 上部署 SAP S/4HANA 或 BW/4HANA
- 使用 Azure 托管和运行 SAP 工作负荷方案
- SAP NetWeaver 的虚拟机规划和实现