在 Azure 上規劃和實作 SAP 部署
在 Azure 中,組織可取得其所需的雲端資源和服務,而不需要完成冗長的採購週期。 但在 Azure 中執行 SAP 工作負載需要瞭解可用的選項,並仔細規劃選擇 Azure 元件和架構來支援您的解決方案。
Azure 提供執行 SAP 應用程式的全方位平台。 Azure 基礎結構即服務 (IaaS) 和平台即服務 (PaaS) 供應項目結合,可讓您為整個 SAP 企業環境的成功部署提供最佳選擇。
本文補充 SAP 文件和 SAP Notes,這是有關如何在 Azure 和其他平台上安裝及部署 SAP 軟體的主要資訊來源。
定義
在本文中,我們使用下列詞彙:
- SAP 元件:SAP S/4HANA、SAP ECC、SAP BW 或 SAP Solution Manager 等個別 SAP 應用程式。 SAP 元件可以傳統進階商務應用程式開發 (ABAP)或 Java 技術為基礎,或可能不是以 SAP NetWeaver 為基礎的應用程式,例如 SAP BusinessObjects。
- SAP 環境︰多個以邏輯方式分組的 SAP 元件,可執行像是開發、品質保證、訓練、災害復原或生產等商務功能。
- SAP 環境:組織 IT 環境中的整個 SAP 資產集。 SAP 環境包括所有生產和非生產環境。
- SAP 系統:資料庫管理系統 (DBMS) 層與應用程式層的組合。 兩個範例是 SAP ERP 開發系統和 SAP BW 測試系統。 在 Azure 部署中,這兩層無法在內部部署環境與 Azure 之間散發。 SAP 系統必須在內部部署環境或在 Azure 中部署。 不過,您可以在 Azure 或內部部署的 SAP 環境中操作不同的系統。
資源
說明如何在 Azure 上裝載及執行 SAP 工作負載的文件進入點為在 Azure 虛擬機器上開始使用 SAP。 在本文中,您會找到涵蓋下列內容的其他文章連結:
- 儲存體、網路和支援選項的 SAP 工作負載特性。
- Azure 上各種 DBMS 系統的 SAP DBMS 指南。
- SAP 部署指南 (手動和自動化)。
- Azure 上 SAP 工作負載的高可用性和災害復原詳細資料。
- SAP on Azure 與其他服務和第三方應用程式的整合。
重要
如需必要條件、安裝程序和特定 SAP 功能的詳細資料,務必仔細閱讀 SAP 文件和指南。 本文僅涵蓋在 Azure 虛擬機器 (VM) 上安裝及操作之 SAP 軟體的特定工作。
下列 SAP Notes 形成適用於 SAP 部署的 Azure 指導基礎:
附註編號 | 標題 |
---|---|
1928533 | Azure 上的 SAP 應用程式︰支援的產品和大小 |
2015553 | SAP on Azure:支援的必要條件 |
2039619 | Azure 上使用 Oracle Database 的 SAP 應用程式 |
2233094 | DB6:Azure 上使用 Linux、UNIX 和 Windows 版 IBM DB2 的 SAP 應用程式 |
1999351 | 疑難排解適用於 SAP 且已強化的 Azure 監視功能 |
1409604 | Windows 上的虛擬化︰增強型監視功能 |
2191498 | Linux 和 Azure 上的 SAP:增強型監視功能 |
2731110 | SAP on Azure 的網路虛擬設備 (NVA) 支援 |
如需 Azure 訂用帳戶和資源的一般預設和最大限制,請參閱 Azure 訂用帳戶和服務限制、配額和條件約束。
案例
SAP 服務通常被視為企業中最關鍵任務的應用程式之一。 應用程式的架構和作業很複雜,務必確保符合可用性和效能的所有需求。 企業通常會仔細考慮哪些雲端提供者選擇執行這類業務關鍵商務程序。
Azure 很適合作為業務關鍵 SAP 應用程式和商務程序的公用雲端平台。 最新的 SAP 軟體 (包括 SAP NetWeaver 和 SAP S/4HANA 系統) 目前可裝載在 Azure 基礎結構中。 Azure 提供超過 800 種 CPU 類型和具有數 TB 記憶體的 VM。
如需支援案例的說明,以及某些不支援的案例,請參閱SAP on Azure VM 支援的案例。 當您規劃要部署至 Azure 的架構時,檢查被指出不支援的這些案例和條件。
若要成功地將 SAP 系統部署到 Azure IaaS 或一般 IaaS,務必了解傳統私人雲端供應項目與 IaaS 供應項目之間的顯著差異。 傳統主機或外包服務商會將基礎結構 (網路、儲存體和伺服器類型) 調整為客戶想要裝載的工作負載。 在 IaaS 部署中,客戶或合作夥伴有責任評估其潛在工作負載,並選擇 VM、儲存體和網路的正確 Azure 元件。
若要收集資料以便規劃部署至 Azure,請務必:
- 判斷 Azure 中支援哪些 SAP 產品和版本。
- 評估您為 SAP 產品選擇的 Azure VM 是否支援您打算使用的作業系統版本。
- 判斷 SAP 產品支援特定 VM 上的哪些 DBMS 版本。
- 評估是否需要升級或更新 SAP 環境,才能配合所需的作業系統和 DBMS 版本,以達到支援的組態。
- 評估您是否需要移至不同的作業系統以在 Azure 中部署。
如需有關 Azure 上支援的 SAP 元件、Azure 基礎結構單位和相關作業系統版本與 DBMS 版本的詳細資訊,請參閱 Azure 部署支援的 SAP 軟體。 您從評估 SAP 版本、作業系統版本和 DBMS 版本之間的支援和相依性所取得的知識,對於將 SAP 系統移至 Azure 的付出有實質影響。 您了解是否涉及大量準備工作,例如,您是否需要升級 SAP 版本或切換至不同的作業系統。
規劃部署的第一個步驟
部署規劃的第一個步驟不是尋找可用來執行 SAP 應用程式的 VM。
規劃部署的第一個步驟是與組織中的合規性和安全性小組合作,以判斷在公用雲端部署哪種 SAP 工作負載或商務程序的界限條件。 此程序可能很耗時,但是要完成的關鍵基礎工作。
如果您的組織已在 Azure 中部署軟體,程序可能很簡單。 如果貴公司才剛開始這趟旅程,則可能需要更大型的討論,以便釐清可讓特定 SAP 資料和 SAP 商務程序裝載於公用雲端的界限條件、安全性條件和企業架構。
規劃合規性
如需可協助您規劃合規性需求的 Microsoft 合規性供應項目清單,請參閱 Microsoft 合規性供應項目。
規劃安全性
如需 SAP 特定安全性考慮的相關資訊,例如待用資料的資料加密或 Azure 服務中的其他加密,請參閱 Azure 加密概觀和 SAP 環境的安全性。
組織 Azure 資源
除了安全性與合規性檢閱,如果您尚未完成這項工作,請規劃如何組織 Azure 資源。 此程序包含進行下列相關決策:
- 您用於每個 Azure 資源的命名慣例,例如 VM 和資源群組。
- SAP 工作負載的訂用帳戶和管理群組設計,例如是否應該為每個工作負載、每個部署層或每個業務單位建立多個訂用帳戶。
- 訂用帳戶和管理群組的 Azure 原則全企業使用量。
為了協助您做出正確的決策,Azure 雲端採用架構中會說明企業架構的許多詳細資料。
在規劃時,千萬不要低估專案的初始階段。 只有在您已備妥合規性、安全性和 Azure 資源組織的合約和規則時,您才能提前規劃部署。
後續步驟是規劃地理位置和您在 Azure 中部署的網路架構。
Azure 地理位置和區域
Azure 服務可在不同的 Azure 區域內使用。 Azure 區域是資料中心的集合。 資料中心包含裝載和執行區域中可用的 Azure 服務的硬體和基礎結構。 此基礎結構包含大量節點,既可作為計算節點或儲存體節點,也可執行網路功能。
如需 Azure 區域清單,請參閱 Azure 地理位置。 如需互動式地圖,請參閱 Azure 全域基礎結構。
並非所有 Azure 區域都提供相同的服務。 視您想要執行的 SAP 產品、大小需求,以及您需要的作業系統和 DBMS 而定,特定區域可能不提供您的案例所需的 VM 類型。 例如,如果您執行 SAP HANA,通常需要各種 M 系列 VM 系列的 VM。 這些 VM 系列只會部署在部分 Azure 區域中。
當您開始規劃和思考要選擇哪些區域作為主要區域和最終次要區域時,您需要調查您案例所需的服務是否可在您考量的區域中使用。 您可以在依區域提供的產品中,確切了解哪些 VM 類型、Azure 儲存體類型和其他 Azure 服務可在每個區域中使用。
Azure 配對區域
在 Azure 配對區域中,預設會在兩個區域之間啟用特定資料的複寫。 如需詳細資訊,請參閱 Azure 中的跨區域複寫:商務持續性和災害復原。
區域配對中的資料複寫會繫結至您可設定為複寫至配對區域的 Azure 儲存體類型。 如需詳細資訊,請參閱次要區域中的儲存體備援。
支援配對區域資料複寫的儲存體類型是不適合 SAP元件和 DBMS 工作負載的儲存體類型。 Azure 儲存體複寫的可用性受限於 Azure Blob 儲存體 (例如備份用途) 檔案共用和磁碟區,以及其他高延遲的儲存體情節。
當您檢查要用於主要或次要區域中的配對區域和服務時,您打算在主要區域中使用的 Azure 服務或 VM 類型可能不適用於您想要作為次要區域的配對區域。 或者,您可能因為資料合規性原因而判斷您的案例無法接受 Azure 配對區域。 在這些案例中,您必須使用非配對區域作為次要或災害復原區域,而且您必須自行設定部分資料複寫。
可用性區域
許多 Azure 區域使用可用性區域來實際分隔 Azure 區域內的位置。 每個可用性區域由一或多個資料中心組成,配備了電力、冷卻系統及網路系統。 使用可用性區域來增強復原能力的範例是在 Azure 的兩個不同的可用性區域中部署兩部 VM。 另一個範例是針對某個可用性區域中的 SAP DBMS 系統實作高可用性架構,並在另一個可用性區域中部署 SAP (A)SCS,讓您可以在 Azure 中獲得最佳 SLA。
如需 Azure 中 VM SLA 的詳細資訊,請參閱最新版的虛擬機器 SLA。 由於 Azure 區域會快速開發和擴充,因此 Azure 區域的拓撲、實體資料中心數目、資料中心之間的距離,以及 Azure 可用性區域之間的距離都會演進。 網路延遲會隨著基礎結構變更而變更。
當您選擇具有可用性區域的區域時,請遵循 Azure 可用性區域的 SAP 工作負載設定中的指引。 此外,判斷哪個區域部署模型最適合您的需求、您選擇的區域,以及您的工作負載。
容錯網域
容錯網域代表失敗的實體單位。 容錯網域與資料中心內含的實體基礎結構密切相關。 雖然實體刀鋒視窗或機架可以視為容錯網域,但實體計算元素與容錯網域之間沒有直接的一對一對應。
當您將多個 VM 部署為一個 SAP 系統的一部分時,您可以間接影響 Azure 網狀架構控制器,將 VM 部署到不同的容錯網域,以便符合可用性 SLA 的需求。 不過,您無法直接控制將容錯網域分散到 Azure 縮放單位 (數百個計算節點或儲存體節點和網路的集合),或將 VM 指派給特定容錯網域。 若要調動 Azure 網狀架構控制器以在不同的容錯網域間部署一組 VM,您必須在部署時,將 Azure 可用性設定組指派給 VM。 如需詳細資訊,請參閱可用性設定組。
更新網域
更新網域代表邏輯單元,可設定如何更新由多個 VM 所組成之 SAP 系統中的 VM。 當平台更新發生時,Azure 會經歷逐一更新這些更新網域的程序。 藉由在部署時將 VM 散佈到不同的更新網域,即可防止您的 SAP 系統可能停機。 類似於容錯網域,Azure 縮放單位會分成多個更新網域。 若要調動 Azure 網狀架構控制器以在不同的更新網域間部署一組 VM,您必須在部署時,將 Azure 可用性設定組指派給 VM。 如需詳細資訊,請參閱可用性設定組。
可用性設定組
一個 Azure 可用性設定組內的 Azure VM 會由 Azure 網狀架構控制器分散到不同的容錯網域。 在不同容錯網域上散發是要防止 SAP 系統的所有 VM 在基礎結構維護期間或一個容錯網域發生失敗時關閉。 根據預設,VM 不是可用性設定組的一部分。 您只能在部署階段或在重新部署 VM 時,在可用性設定組中新增 VM。
若要深入了解 Azure 可用性設定組,以及可用性設定組與容錯網域的關係,請參閱 Azure 可用性設定組。
重要
Azure 中的可用性區域與可用性設定組互斥。 您可以將多個 VM 部署到特定可用性區域或可用性設定組。 但不能同時將可用性區域和可用性設定組指派給 VM。
如果您使用鄰近放置群組,您可結合可用性設定組與可用性區域。
當您定義可用性設定組,並嘗試在一個可用性設定組內混合使用不同 VM 系列的各種 VM 時,您可能會遇到問題而導致無法將特定 VM 類型納入可用性設定組中。 原因是可用性設定組會繫結至包含特定計算主機類型的縮放單位。 特定類型的計算主機只能在特定類型的 VM 系列上執行。
例如,您會建立可用性設定組,並在可用性設定組中部署第一個 VM。 您新增至可用性設定組的第一個 VM 位於 Edsv5 VM 系列中。 當您嘗試部署第二個 VM 時,這是 M 系列中的 VM,此部署會失敗。 原因是 Edsv5 系列 VM 不會在與 M 系列中的 VM 相同的主機硬體上執行。
如果您要調整 VM 的大小,可能會發生相同的問題。 如果您嘗試將 VM 移出 Edsv5 系列,並移至 M 系列中的 VM 類型,則部署會失敗。 如果將大小調整為無法在相同主機硬體上裝載的 VM 系列,您必須先關閉可用性設定組中的所有 VM,再調整其大小,使其能夠在其他主機機器類型上執行。 如需可用性設定組中所部署 VM SLA 的相關資訊,請參閱虛擬機器 SLA。
具有彈性協調流程的虛擬機器擴展集
具有彈性協調流程的虛擬機器擴展集提供平台管理的虛擬機器邏輯群組。 您可選擇在區域內建立擴展集,將其跨越可用性區域。 建立具有 platformFaultDomainCount>1 (FD>1) 的區域內的彈性擴展集時,擴展集中部署的 VM 會分散於相同區域中指定的容錯網域數目。 另一方面,跨可用性區域建立 platformFaultDomainCount=1 (FD=1) 的彈性擴展集會將 VM 分散於指定的區域,而擴展集也會盡最大努力將 VM 分散到區域內的不同容錯網域。
對於 SAP 工作負載,僅支援 FD=1 的彈性擴展集。 使用 FD=1 的彈性擴展集進行跨區域部署 (而不是傳統可用性區域部署) 的優點,就是使用擴展集部署的 VM 會以最佳方式分散到區域內的不同容錯網域。 若要深入了解使用擴展集部署 SAP 工作負載,請參閱彈性虛擬機器縮放部署指南。
在 Azure 上部署高可用性 SAP 工作負載時,務必考慮各種可用的部署類型,以及如何跨不同 Azure 區域套用它們 (例如跨區域、在單一區域,或在沒有區域的區域中)。 如需詳細資訊,請參閱 SAP 工作負載的高可用性部署選項。
提示
目前沒有直接方法可將在可用性設定組或可用性區域中部署的 SAP 工作負載,移轉至 FD=1 的彈性擴展集。 若要進行切換,您必須使用現有資源的區域限制重新建立 VM 和磁碟。 開放原始碼專案包含您可做為範例的 PowerShell 函式,將部署在可用性設定組或可用性區域中的 VM 變更為具有 FD=1 的彈性擴展集。 部落格文章說明如何將在可用性設定組或可用性區域中部署的 HA 或非 HA SAP系統修改為 FD=1 的彈性擴展集。
鄰近放置群組
個別 SAP VM 之間的網路延遲可能對效能產生重大影響。 SAP 應用程式伺服器與 DBMS 之間的網路往返時間特別會對商務應用程式產生重大影響。 以最佳情況下,所有執行 SAP VM 的計算元素都盡可能接近。 此選項不可能適用於每個組合,而且 Azure 可能不知道哪些 VM 要待在一起。 在大部分情況和區域中,預設放置會滿足網路往返延遲需求。
當預設放置不符合 SAP 系統內的網路往返需求時,鄰近放置群組可滿足此需求。 您可使用鄰近放置群組搭配 Azure 區域、可用性區域和可用性設定組的位置條件約束,以提高復原能力。 使用鄰近放置群組,結合可用性區域和可用性設定組,同時可以設定不同的更新和失敗網域。 鄰近放置群組應該只包含單一 SAP 系統。
雖然鄰近放置群組中的部署可能導致最高程度的延遲最佳化放置,但使用鄰近放置群組進行部署也有缺點。 某些 VM 系列無法在一個鄰近放置群組中合併,或者,如果您在 VM 系列之間調整大小,可能會遇到問題。 VM 系列、區域和可用性區域的條件約束可能不支援共置。 如需詳細資訊,以及了解使用鄰近放置群組的優點和潛在挑戰,請參閱鄰近放置群組案例。
在大部分情況下,不使用鄰近放置群組的 VM 應該是 SAP 系統的預設部署方法。 此預設值特別適合 SAP 系統的區域性 (單一可用性區域) 和跨區域 (分散於兩個可用性區域之間的 VM) 部署。 僅基於效能理由而需要時,使用鄰近放置群組應該受限於 SAP 系統和 Azure 區域。
Azure 網路
Azure 有一個網路基礎結構可對應至您可能想要在 SAP 部署中實作的所有案例。 在 Azure 中,您具有下列功能:
- 存取 Azure 服務,以及存取應用程式所用 VM 中的特定連接埠。
- 透過安全殼層 (SSH) 或 Windows 遠端桌面 (RDP) 直接存取 VM,以進行管理和系統管理。
- VM 與 Azure 服務之間的內部通訊和名稱解析。
- 內部部署網路與 Azure 網路之間的內部部署連線。
- 在不同 Azure 區域中部署的服務之間進行通訊。
如需網路功能的詳細資訊,請參閱 Azure 虛擬網路。
設計網路通常是您在部署至 Azure 時進行的第一個技術活動。 支援 SAP 之類的中央企業架構經常是整體網路需求的一部分。 在規劃階段中,您應該盡可能詳細地記載提議的網路架構。 如果您稍後進行變更,例如變更子網路網路位址,您可能必須移動或刪除已部署的資源。
Azure 虛擬網路
虛擬網路是私人網路在 Azure 中的基本建置組塊。 您可以定義網路的位址範圍,並將範圍分隔成網路子網路。 網路子網路可供 SAP VM 使用,也可專用於特定服務或用途。 某些 Azure 服務 (像是 Azure 虛擬網路和 Azure 應用程式閘道) 需要專用的子網路。
虛擬網路可作為網路界限。 規劃部署時所需的部分設計是定義虛擬網路、子網路和私人網路位址範圍。 部署 VM 之後,您無法變更 VM 的網路介面卡 (NIC) 等資源的虛擬網路指派。 變更虛擬網路或子網路位址範圍可能需要您將所有已部署的資源移至不同的子網路。
您的網路設計應符合 SAP 部署的數個需求:
- 沒有網路虛擬設備 (例如防火牆) 會透過 SAP 核心,放置在 SAP 應用程式與 SAP 產品 DBMS 層之間的通訊路徑中,例如 S/4HANA 或 SAP NetWeaver。
- 網路路由限制是由子網路層級上的網路安全性群組 (NSG) 強制執行。 將 VM 的 IP 分組為應用程式安全性群組 (ASG),這些群組會在 NSG 規則中維護,並提供角色、階層和權限的 SID 群組。
- SAP 應用程式和資料庫 VM 會在相同虛擬網路、單一虛擬網路的相同或不同子網路內執行。 針對應用程式和資料庫 VM 使用不同的子網路。 或者,使用專用應用程式和 DBMS ASG,將適用於相同子網路內每個工作負載類型的規則分組。
- 加速網路功能會在技術上為 SAP 工作負載啟用所有 VM 的所有網路卡。
- 確保中央服務相依性的安全存取,包括名稱解析 (DNS)、身分識別管理 (Windows Server Active Directory 網域/Microsoft Entra ID),以及系統管理存取。
- 視需要提供公用端點的存取權。 範例包括適用於高可用性 ClusterLabs Pacemaker 作業的 Azure 管理或 Azure 備份之類的 Azure 服務。
- 只有在必須建立具自有路由和 NSG 規則的指定子網路時,才使用多個 NIC。
如需 SAP 部署的網路架構範例,請參閱下列文章:
虛擬網路考量事項
某些虛擬網路設定有要注意的特定考量。
不支援使用 SAP 核心 (例如 S/4HANA 或 SAP NetWeaver),在 SAP 應用程式層與 SAP 元件的 DBMS 層之間的通訊路徑中設定網路虛擬設備。
通訊路徑中網路虛擬設備可輕鬆加倍兩個通訊合作夥伴之間的網路延遲。 也可以限制 SAP 應用程式層與 DBMS 層間重要路徑中的輸送量。 有些案例中的網路虛擬設備會導致 Pacemaker Linux 叢集失敗。
SAP 應用程式層與 DBMS 層之間的通訊路徑必須是直接路徑。 如果 ASG 和 NSG 規則允許直接通訊路徑,此限制就不包括 ASG 和 NSG 規則。
其他不支援網路虛擬設備的案例:
- Azure VM 之間的通訊路徑,這些 VM 代表 Pacemaker Linux 叢集節點與 SBD 裝置,如 SAP NetWeaver 在適用於 SAP 應用程式的 SUSE Linux Enterprise Server 上 Azure VM 高可用性中所述。
- Azure VM 與 Windows Server 向外延展檔案共用之間的通訊路徑,其設定如在 Azure 中使用檔案共用於 Windows 容錯移轉叢集上進行 SAP ASCS/SCS 執行個體叢集處理中所述。
不支援將 SAP 應用程式層和 DBMS 層隔離至不同的 Azure 虛擬網路中。 建議使用相同 Azure 虛擬網路內的子網路來隔離 SAP 應用程式層和 DBMS 層,不要使用不同的 Azure 虛擬網路。
如果您設定一個不支援的案例,其中隔離了不同虛擬網路中的兩個 SAP 系統層,則兩個虛擬網路必須對等互連。
兩個對等互連的 Azure 虛擬網路間網路流量會產生傳輸成本。 每天,SAP 應用程式層與 DBMS 層之間會交換多達數 TB 的巨量資料。 如果 SAP 應用程式層和 DBMS 層分隔在兩個對等互連的 Azure 虛擬網路,則會造成大量費用。
名稱解析和網域服務
透過 DNS 將主機名稱解析為 IP 位址通常是 SAP 網路的重要元素。 您有許多選項可在 Azure 中設定名稱和 IP 解析。
通常,企業有屬於整體架構的中央 DNS 解析。 Azure 虛擬網路中資源的名稱解析描述在 Azure 中原生實作名稱解析的數個選項,而不是藉由設定自己的 DNS 伺服器。
如同 DNS 服務,可能需要讓 SAP VM 或服務存取 Windows Server Active Directory。
IP 位址指派
NIC 的 IP 位址在 VM 的 NIC 存在期間仍會保持宣告及使用狀態。 此規則適用於動態和靜態 IP 指派。 無論 VM 正在執行還是關機,都是如此。 如果刪除了 NIC、子網路變更或配置方法變更為靜態,則會釋放動態 IP 指派。
您可以將固定 IP 位址指派給 Azure 虛擬網路中的 VM。 IP 位址通常會針對相依於外部 DNS 伺服器和靜態項目的 SAP 系統重新指派。 IP 位址會保持指派狀態,直到 VM 及其 NIC 遭到刪除,或直到 IP 位址取消指派為止。 當您為虛擬網路定義 IP 位址範圍時,必須考慮到 VM (執行中和已停止的 VM) 總數。
如需詳細資訊,請參閱建立具有靜態私人 IP 位址的 VM。
注意
您應該在 Azure VM 及其 NIC 的靜態和動態 IP 位址配置之間做出決定。 VM 的客體作業系統將會取得 VM 開機時指派給 NIC 的 IP。 您不應該將客體作業系統中的靜態 IP 位址指派給 NIC。 有些 Azure 備份之類的 Azure 服務依賴以下事實:主要 NIC 至少會設為 DHCP,而不是設為作業系統內的靜態 IP 位址。 如需詳細資訊,請參閱針對 Azure VM 備份進行疑難排解。
SAP 主機名稱虛擬化的次要 IP 位址
每個 Azure VM 的 NIC 都可有為其指派多個 IP 位址。 次要 IP 可用於對應至 DNS A 記錄或 DNS PTR 記錄的 SAP 虛擬主機名稱。 次要 IP 位址必須指派給 Azure NIC 的 IP 組態。 次要 IP 也必須以靜態方式在作業系統內設定,因為次要 IP 通常不會透過 DHCP 指派。 每個次要 IP 都必須來自 NIC 所繫結的相同子網路。 您不需要停止或解除配置 VM,即可在 Azure NIC 中新增和移除次要 IP。 若要新增或移除 NIC 的主要 IP,必須解除配置 VM。
Azure 負載平衡器是由 SAP 高可用性架構搭配 Pacemaker 叢集使用。 在此案例中,負載平衡器會啟用 SAP 虛擬主機名稱。 如需使用虛擬主機名稱的一般指引,請參閱 SAP Note 962955。
VM 執行 SAP 的 Azure Load Balancer
負載平衡器通常用於高可用性架構,以提供主動和被動叢集節點之間的浮動 IP 位址。 您也可針對單一 VM 使用負載平衡器,以保存 SAP 虛擬主機名稱的虛擬 IP 位址。 針對單一 VM 使用負載平衡器,可替代在 NIC 上使用次要 IP 位址或在相同子網路中使用多個 NIC。
標準負載平衡器會修改預設輸出存取路徑,因為其架構預設很安全。 標準負載平衡器後方的 VM 可能無法再連上相同的公用端點。 有些範例是作業系統更新存放庫的端點或 Azure 服務的公用端點。 如需提供輸出連線的選項,請參閱使用 Azure 標準負載平衡器進行 VM 的公用端點連線。
提示
「基本」負載平衡器應該不要與 Azure 中的任何 SAP 架構搭配使用。 基本負載平衡器已排定要淘汰。
每個 VM 有多個 vNIC
您可為 Azure VM 定義多個虛擬網路介面卡(vNIC),並將每個 vNIC 指派給與主要 vNIC 相同虛擬網路中的任何子網路。 透過有多個 vNIC 的能力,您可以視需要開始設定網路流量分離。 例如,用戶端流量會透過主要 vNIC 路由傳送,而某些系統管理員或後端流量會透過次要 vNIC 路由傳送。 視您使用的作業系統和映像而定,可能需要設定作業系統內部 NIC 的流量路由才能正確的路由傳送。
VM 的類型和大小會決定 VM 可以指派多少個 vNIC。 如需功能和限制的相關資訊,請參閱使用 Azure 入口網站將多個 IP 位址指派給 VM。
將 vNIC 新增至 VM 並不會增加可用的網路頻寬。 所有網路介面都會共用相同的頻寬。 建議您只有在 VM 需要存取私人子網路時,才使用多個 NIC。 我們建議依賴 NSG 功能的設計模式,並簡化網路和子網路需求。 設計應該盡可能使用最少的網路介面,而且最好只使用一個網路介面。 HANA 向外延展是例外狀況,其中 HANA 內部網路需要次要 vNIC。
警告
如果您在 VM 上使用多個 vNIC,建議您使用主要 NIC 的子網路來處理使用者網路流量。
加速網路
若要進一步降低 Azure VM 之間的網路延遲,建議您確認在執行 SAP 工作負載的每個 VM 上都已啟用 Azure 加速網路。 雖然預設會針對新的 VM 啟用加速網路,但根據部署檢查清單,您應該確認狀態。 加速網路的優點是大幅改善網路效能和延遲。 請在所有支援的 VM 上為 SAP 工作負載部署 Azure VM 時加以使用,特別是針對 SAP 應用程式層和 SAP DBMS 層。 連結的文件包含作業系統版本和 VM 執行個體的支援相依性。
內部部署連線能力
Azure 中的 SAP 部署假設已備妥中央、全企業網路架構和通訊中樞,用以啟用內部部署連線。 內部部署網路連線對於允許使用者和應用程式存取 Azure 中的 SAP 環境至關重要,以存取其他中央組織服務,例如中央 DNS、網域以及安全性和修補程式管理基礎結構。
您有許多選項可為 SAP on Azure 部署提供內部部署連線能力。 網路部署通常是中樞輪輻網路拓撲,或中樞輪輻拓撲的擴充功能,這是全域虛擬 WAN。
對於內部部署 SAP 部署,建議您透過 Azure ExpressRoute 使用私人連線。 對於較小的 SAP 工作負載、遠端區域或較小的辦公室,可以使用 VPN 內部部署連線。 使用 ExpressRoute 搭配 VPN 站對站連線作為容錯移轉路徑,是這兩項服務的可能組合。
輸出和輸入網際網路連線能力
無論是接收作業系統存放庫更新、在其公用端點上建立 SAP SaaS 應用程式的連線,還是透過其公用端點存取 Azure 服務,您的 SAP 環境需要連線到網際網路。 同樣地,您可能需要為用戶端提供 SAP Fiori 應用程式的存取權,並讓網際網路使用者存取 SAP 環境所提供的服務。 您的 SAP 網路架構會要求您規劃通往網際網路的路徑,以及任何連入要求的路徑。
使用 NSG 規則來保護虛擬網路,方法是使用已知服務的網路服務標籤,以及建立對防火牆或其他網路虛擬設備的路由和 IP 位址。 所有這些工作或考量都是架構的一部分。 私人網路中的資源必須受到網路第 4 層和第 7 層防火牆的保護。
與網際網路的通訊路徑是最佳做法架構的重點。
適用於 SAP 工作負載的 Azure VM
有些 Azure VM 系列特別適合用於 SAP 工作負載,而有些特別適合用於 SAP HANA 工作負載。 若要了解如何找到正確的 VM 類型及其功能來支援 SAP 工作負載,請參閱哪個 SAP 軟體支援 Azure 部署。 此外,SAP Note 1928533 會列出所有經過認證的 Azure VM,以及經由 SAP 應用程式效能標準 (SAPS) 基準和限制 (如果適用) 所測量的效能功能。 針對 SAP 工作負載所認證的 VM 類型不會使用過度佈建的 CPU 和記憶體資源。
除了僅只查看支援的 VM 類型選取項目外,您還必須根據依區域提供的產品來確認特定區域中是否有提供這些 VM 類型。 至少同樣重要的是判斷 VM 的下列功能是否符合您的案例:
- CPU 和記憶體資源
- 每秒輸入/輸出作業數 (IOPS) 頻寬
- 網路功能
- 可連結的磁碟數目
- 使用特定 Azure 儲存體類型的能力
若要取得特定 FM 系列和類型的這項資訊,請參閱 Azure 中的虛擬機器大小。
Azure VM 的定價模型
針對 VM 定價模型,您可選擇偏好使用的選項:
- 隨用隨付定價模型
- 一年期保留或節省方案
- 三年期保留或節省方案
- 現成定價模型
若要取得不同 Azure 服務、作業系統和區域的 VM 定價詳細資訊,請參閱虛擬機器定價。
若要了解一年期和三年期節省方案和保留執行個體的定價和彈性,請參閱下列文章:
如需現成定價的詳細資訊,請參閱 Azure 現成虛擬機器。
相同 VM 類型的定價可能會因 Azure 區域而有所不同。 有些客戶受益於部署至較不昂貴的 Azure 區域,因此當您規劃時,依區域定價的相關資訊有所幫助。
Azure 也提供使用專用主機的選項。 使用專用主機可讓您更充分掌控 Azure 服務的修補週期。 您可以排程修補以支援自己的排程和週期。 此供應項目特別適合於工作負載未遵循工作負載正常周期的客戶。 如需詳細資訊,請參閱 Azure 專用主機。
SAP 工作負載支援使用 Azure 專用主機。 想要更充分掌控基礎結構修補和維護方案的數個 SAP 客戶會使用 Azure 專用主機。 如需有關 Microsoft 如何維護及修補主控 VM 之 Azure 基礎結構的詳細資訊,請參閱 Azure 中的虛擬機器維護。
VM 的作業系統
當您在 Azure 中為 SAP 環境部署新的 VM 時,若要安裝或移轉 SAP 系統,務必為工作負載選擇正確的作業系統。 Azure 提供適用於 Linux 和 Windows 的大量作業系統映像選取項目,以及許多適合 SAP 系統的選項。 您也可以從內部部署環境建立或上傳自訂映像,也可以從映像資源庫取用或一般化。
如需可用選項的詳細資訊:
- 使用 Azure CLI 或 Azure PowerShell 來尋找 Azure Marketplace 映像。
- 建立 Linux 或 Windows 的自訂映像。
- 使用 VM 映像產生器。
視需要規劃 SAP 工作負載的作業系統更新基礎結構及其相依性。 請考慮使用存放庫預備環境,在更新期間使用相同版本的修補程式和更新,讓 SAP 環境的所有階層 (沙盒、開發、生產前和生產) 保持同步。
第 1 代和第 2 代 VM
在 Azure 中,您可以將 VM 部署為第 1 代或第 2 代。 Azure 中第 2 代 VM 的支援會列出您可部署為第 2 代的 Azure VM 系列。 本文也會列出 Azure 中第 1 代和第 2 代 VM 之間的功能差異。
當您部署 VM 時,您選擇的作業系統映像會判定 VM 為第 1 代或第 2 代 VM。 Azure 中 SAP 可用的所有作業系統影像最新版本 (Red Hat Enterprise Linux、SuSE Enterprise Linux 和 Windows 或 Oracle Enterprise Linux) 可在第 1 代與第 2 代中使用。 務必根據映像描述來仔細選取映像,以部署正確的 VM 世代。 同樣地,您可將自訂作業系統映像建立為第 1 代或第 2 代,而且它們會影響 VM 部署時的 VM 世代。
注意
我們建議您在 Azure 中的所有 SAP 部署中使用第 2 代 VM,而不論 VM 大小為何。 SAP 的所有最新 Azure VM 都支援第 2 代,或僅限於第 2 代。 有些 VM 系列目前僅支援第 2 代 VM。 即將推出的某些 VM 系列可能僅支援第 2 代。
您可以根據選取的作業系統映像,判斷 VM 是第 1 代還是只有第 2 代。 您無法將現有的 VM 從某一代變更為另一代。
在 Azure 中無法將已部署的 VM 從第 1 代變更為第 2 代。 若要變更 VM 世代,您必須部署新的 VM,這是您想要的世代,並在新一代 VM 上重新安裝您的軟體。 這項變更只會影響 VM 的基底 VHD 映像,而不會影響資料磁碟或連結的網路檔案系統 (NFS) 或伺服器訊息區塊 (SMB) 共用。 原本指派給第 1 代 VM 的資料磁碟、NFS 共用或 SMB 共用可以連結至新的第 2 代 VM。
某些 VM 系列 (像是 Mv2 系列) 僅支援第 2 代。 未來新 VM 系列的需求可能相同。 在該案例中,無法調整現有的第 1 代 VM 大小,以搭配新的 VM 系列使用。 除了 Azure 平台的第 2 代需求之外,您的 SAP 元件可能有與 VM 世代相關的需求。 若要了解您選擇的 VM 系列的任何第 2 代需求,請參閱 SAP Note 1928533。
Azure VM 的效能限制
作為公用雲端,Azure 依賴在整個客戶群中以安全的方式共用基礎結構。 若要啟用縮放和容量,系統會為每個資源和服務定義效能限制。 在 Azure 基礎結構的計算端,務必考量針對每個 VM 大小所定義的限制。
對於磁碟和網路輸送量、可連結的磁碟數目、其是否具有自己的輸送量和 IOPS 限制的本機暫存儲存體、記憶體大小,以及可用的 vCPU 數目,每個 VM 都有不同的配額。
注意
當您決定 Azure 上 SAP 解決方案的 VM 大小時,您必須考量每個 VM 大小的效能限制。 文件中所述的配額代表理論上可達到的最大值。 每個磁碟的 IOPS 效能限制可能透過較小的輸入/輸出 (I/O) 值來達成 (例如 8 KB),但可能無法透過較大的 I/O 值來達成 (例如 1 MB)。
和 VM 一樣,SAP 工作負載的每個儲存體類型和所有其他 Azure 服務都有相同的效能限制。
當您規劃並選擇要在 SAP 部署中使用的 VM 時,請考慮下列因素:
從記憶體和 CPU 需求開始。 將 CPU 電源的 SAPS 需求分成 DBMS 組件和 SAP 應用程式組件。 若為現有系統,通常可根據現有的 SAP 標準應用程式基準來判斷或評估與所用硬體相關的 SAPS。 對於新部署的 SAP 系統,完成調整大小練習,以判斷系統的 SAPS 需求。
針對現有的系統,應該測量 DBMS 伺服器上的 I/O 輸送量和 IOPS。 若為新的系統,新系統的調整大小練習也應該讓您大致理解 DBMS 端的 I/O 需求。 如果您不確定,最終還是需要進行概念證明。
將 DBMS 伺服器的 SAPS 需求,與不同的 Azure VM 類型可提供的 SAPS 進行比較。 如需有關不同 Azure VM 類型的 SAPS 資訊,請參閱 SAP 附註 1928533。 重點應該先放在 DBMS VM,因為資料庫層是大多數部署中不會向外延展的 SAP NetWeaver 系統層級。 相反地,SAP 應用程式層則可以向外延展。個別 DBMS 指南說明建議的儲存體組態。
摘要說明您的發現:
- 您預期要使用的 Azure VM 數目。
- 每個 SAP 層的個別 VM 系列和 VM SKU:DBMS、(A)SCS 和應用程式伺服器。
- I/O 輸送量量值或計算的儲存體容量需求。
HANA 大型執行個體服務
Azure 提供計算功能,以在名為 Azure 上的 SAP HANA 大型執行個體的專用供應項目上執行擴大或擴增的大型 HANA 資料庫。 此供應項目會擴充 Azure 中可用的 VM。
注意
HANA 大型執行個體服務為終止模式,不再接受新客戶。 仍可為現有 HANA 大型執行個體客戶提供單位。
SAP on Azure 的儲存體
Azure VM 會使用各種儲存體選項來達到持續性。 簡單來說,VM 可分成持續性和暫時性或非持續性儲存體類型。
您可從適用於 SAP 工作負載和特定 SAP 元件的多個儲存體選項中選擇。 如需詳細資訊,請參閱適用於 SAP 工作負載的 Azure 儲存體。 本文涵蓋每個 SAP 組件的儲存體架構:作業系統、應用程式二進位檔、組態檔、資料庫資料、記錄檔和追蹤檔,以及與其他應用程式的檔案介面 (無論是在磁碟上儲存還是在檔案共用上存取)。
VM 上的暫存磁碟
大部分適用於 SAP 的 Azure VM 都會提供非受控磁碟的暫存磁碟。 只針對消耗性資料使用暫存磁碟。 暫存磁碟上的資料可能會在未預期維護事件或 VM 重新部署期間遺失。 暫存磁碟的效能特性使其非常適用於作業系統的交換/頁面檔案。
不得將任何應用程式或非消耗性作業系統資料儲存在暫存磁碟上。 在 Windows 環境中,暫存磁碟機通常會以磁碟機 D 的形式存取。在 Linux 系統中,掛接點通常是 /dev/sdb device、/mnt 或 /mnt/resource。
某些 VM 不提供暫存磁碟機。 如果您打算針對 SAP 使用這些 VM 大小,您可能需要增加作業系統磁碟的大小。 如需詳細資訊,請參閱 SAP Note 1928533。 對於具有暫存磁碟的 VM,請取得 Azure 中虛擬機器的大小中每個 VM 系列暫存磁碟大小和 IOPS 和輸送量限制的相關資訊。
您無法在具有暫存磁碟的 VM 系列與沒有暫存磁碟的 VM 系列之間直接調整大小。 目前,這兩類 VM 系列之間的調整大小會失敗。 解決方法是使用作業系統磁碟快照集,重建在新大小中沒有暫存磁碟的 VM。 保留所有其他資料磁碟和網路介面。 了解如何將具有本機暫存磁碟的 VM 大小調整為沒有本機暫存磁碟的 VM 大小。
SAP 的網路共用和磁碟區
SAP 系統通常需要一或多個網路檔案共用。 檔案共用通常是下列其中一個選項:
- SAP 傳輸目錄 (/usr/sap/trans 或 TRANSDIR).。
- SAP 磁碟區或共用 sapmnt 或 saploc 磁碟區以部署多部應用程式伺服器。
- SAP (A)SCS、SAP ERS 或資料庫的高可用性架構磁碟區 (/hana/shared)。
- 執行第三方應用程式的檔案介面,以進行檔案匯入和匯出。
在這些案例中,建議您使用 Azure 服務,例如 Azure 檔案儲存體或 Azure NetApp Files。 如果在您選擇的區域中無法使用這些服務,或解決方案架構無法使用這些服務,替代方法是從自我管理、VM 型應用程式或第三方服務提供 NFS 或 SMB 檔案共用。 如果您在 Azure 中針對 SAP 系統中的儲存層使用第三方服務,請參閱 SAP Note 2015553 有關 SAP 支援的限制。
由於網路共用的本質通常很重要,而且因為它們通常是設計 (針對高可用性) 或程序 (針對檔案介面) 中的單一失敗點,因此建議您依賴每項 Azure 原生服務來取得自己的可用性、SLA 和復原能力。 在規劃階段中,務必考量下列因素:
- NFS 或 SMB 共用設計,包括每個 SAP 系統識別碼 (SID)、每個環境和每個區域使用哪些共用。
- 子網路大小調整,包括私人端點的 IP 需求,或 Azure NetApp Files 等服務的專用子網路。
- 透擴網路路由傳送至 SAP 系統和連線的應用程式。
- 針對 Azure 檔案儲存體使用公用或私人端點。
如需需求以及如何在高可用性案例中使用 NFS 或 SMB 共用的相關資訊,請參閱高可用性。
注意
如果您對網路共用使用 Azure 檔案儲存體,建議您使用私人端點。 萬一發生區域性失敗時,您的 NFS 用戶端會自動重新導向至狀況良好的區域。 您不需要在 VM 上重新掛接 NFS 或 SMB 共用。
SAP 環境的安全性
若要保護 Azure 上的 SAP 工作負載,您需要規劃多個安全性層面:
- 網路區隔和每個子網路和網路介面的安全性。
- SAP 環境內每一層的加密。
- 終端使用者和系統管理存取和單一登入服務的身分識別解決方案。
- 威脅和作業監視。
這一章的主題並非所有可用服務、選項和替代方案的詳盡清單。 它確實列出幾個應針對 Azure 中所有 SAP 部署考量的最佳做法。 視您的企業或工作負載需求而定,還有其他層面要涵蓋。 如需安全性設計的詳細資訊,請參閱下列資源以取得一般 Azure 指引:
使用安全性群組保護虛擬網路
在 Azure 中規劃 SAP 環境應該包含某種程度的網路區隔,且虛擬網路和子網路只能專用於 SAP 工作負載。 網路和其他 Azure 架構指南會說明子網路定義的最佳做法。 建議您在 NSG 內搭配 ASG 使用 NSG,以允許輸入和輸出連線。 當您設計 ASG 時,VM 上的每個 NIC 都可與多個 ASG 相關聯,因此您可以建立不同的群組。 例如,為 DBMS VM 建立 ASG,其中包含整個環境的所有資料庫伺服器。 針對單一 SAP SID 的所有 VM (應用程式和 DBMS) 建立另一個 ASG。 如此一來,您可以針對整體資料庫 ASG 定義一個 NSG 規則,並針對 SID 特定 ASG 定義另一個更加特定的規則。
NSG 不會使用您為 NSG 定義的規則來限制效能。 若要監視流量,您可選擇性地啟用 NSG 流量記錄,並使用您選擇的資訊事件管理 (SIEM) 或入侵檢測系統 (IDS) 評估的記錄來監視可疑的網路活動和採取行動。
提示
只在子網路層級啟用 NSG。 雖然可在子網路層級和 NIC 層級啟用 NSG,但在分析網路流量限制時,在這兩個層級啟用通常為疑難排解情況的阻礙。 只有在特殊情況和必要時,才在 NIC 層級使用 NSG。
服務的私人端點
根據預設,許多 Azure PaaS 服務會透過公用端點存取。 雖然通訊端點位於 Azure 後端網路上,但端點會公開至公用網際網路。 私人端點是您自己的私人虛擬網路內的網路介面。 透過 Azure Private Link,私人端點會將服務投射到您的虛擬網路。 然後,選取的 PaaS 服務會透過您網路內的 IP 私下存取。 視組態而定,服務可能會設定為僅透過私人端點進行通訊。
使用私人端點可提升對資料外洩的防護,而且通常會簡化內部部署和對等互連網路的存取。 在許多情況下,會簡化用以開啟防火牆連接埠的網路路由和程序,而公用端點通常需要這些防火牆連接埠。 資源已位於您的網路內,因為它們是由私人端點存取。
若要了解哪些 Azure 服務提供使用私人端點的選項,請參閱 Private Link 可用的服務。 對於具有 Azure 檔案儲存體的 NFS 或 SMB,建議您一律對 SAP 工作負載使用私人端點。 若要了解使用服務所產生的費用,請參閱私人端點定價。 某些 Azure 服務可能會選擇性地包含服務的成本。 這項資訊包含在服務的定價資訊中。
加密
視您的公司原則而定,您的 SAP 工作負載可能需要 Azure 中預設選項以外的加密。
基礎結構資源的加密
根據預設,Azure 中的受控磁碟和 Blob 儲存體會使用平台代控金鑰 (PMK) 加密。 此外,Azure 中的 SAP 工作負載也對受控磁碟和 Blob 儲存體支援自備金鑰 (BYOK) 加密。 對於受控磁碟加密,您可以根據公司的安全性需求,從不同的選項中選擇。 Azure 加密選項包括:
- 儲存端加密 (SSE) PMK (SSE-PMK)
- SSE 客戶自控金鑰 (SSE-CMK)
- 雙重待用加密
- 啟用主機型加密
如需詳細資訊,包括 Azure 磁碟加密的描述,請參閱 Azure 加密選項的比較。
注意
目前,由於潛在的效能限制,請勿在 M 系列 VM 系列中的 VM 上使用主機型加密。 對受控磁碟使用 SSE-CMK 加密不受此限制影響。
對於 Linux 系統上的 SAP 部署,請勿使用 Azure 磁碟加密。 Azure 磁碟加密需要使用來自 Azure Key Vault 的 CMK,在 SAP VM 內執行加密。 針對 Linux,Azure 磁碟加密不支援用於 SAP 工作負載的作業系統映像。 Azure 磁碟加密可用於具有 SAP 工作負載的 Windows 系統上,但不會將 Azure 磁碟加密與資料庫原生加密結合。 我們建議您使用資料庫原生加密,而不是 Azure 磁碟加密。 如需詳細資訊,請參閱一節。
類似於受控磁碟加密,Azure 檔案儲存體待用加密 (SMB 和 NFS) 可搭配 PMK 或 CMK 使用。
針對 SMB 網路共用,請仔細檢閱 Azure 檔案儲存體和具有 SMB 版本的作業系統相依性,因為組態會影響傳輸中加密的支援。
重要
如果您使用由客戶管理的加密,制定周密計劃來儲存和保護加密金鑰的重要性怎麼說也不為過。 若沒有加密金鑰,就無法存取磁碟等加密的資源,而且可能導致資料遺失。 請仔細考量保護金鑰,且只讓具特殊權限的使用者或服務存取金鑰。
SAP 元件的加密
SAP 層級上的加密可分成兩個階層:
- DBMS 加密
- 傳輸加密
針對 DBMS 加密,SAP NetWeaver 或 SAP S/4HANA 部署所支援的每個資料庫都支援原生加密。 透明資料庫加密完全獨立於 Azure 中備妥的任何基礎結構加密。 您可以同時使用 SSE 和資料庫加密。 當您使用加密時,加密金鑰的位置、儲存體和妥善保管極為重要。 任何加密金鑰遺失都會導致資料遺失,因為您將無法啟動或復原資料庫。
某些資料庫可能沒有資料庫加密方法,或可能不需要啟用專用設定。 對於其他資料庫,啟用資料庫加密時,可能會隱含加密 DBMS 備份。 請參閱下列 SAP 文件,了解如何啟用和使用透明資料庫加密:
- SAP HANA 資料和記錄磁碟區加密
- SQL Server:SAP Note 1380493
- Oracle:SAP Note 974876
- IBM Db2:SAP Note 1555903
- SAP ASE:SAP Note 1972360
請連絡 SAP 或 DBMS 廠商,以取得如何啟用、使用或疑難排解軟體加密的支援。
重要
制定周密計劃來儲存和保護加密金鑰的重要性怎麼說也不為過。 若沒有加密金鑰,可能無法存取資料庫或 SAP 軟體,而且您可能會遺失資料。 請仔細考量如何保護金鑰。 僅允許特殊權限使用者或服務存取金鑰。
輸或 通訊加密可套用至 SAP 引擎與 DBMS 之間的 SQL Server 連線。 同樣地,您可以加密來自 SAP 展示層 (SAPGui 安全網路連線或 SNC) 的連線或對 Web 前端的 HTTPS 連線。 請參閱應用程式廠商的文件,以啟用和管理傳輸中加密。
威脅監視和警示
若要部署及使用威脅監視和警示解決方案,首先請使用組織的架構。 Azure 服務提供威脅防護和安全性檢視,您可將其納入整體 SAP 部署計劃。 適用於雲端的 Microsoft Defender 可解決威脅防護需求。 適用於雲端的 Defender 通常屬於整個 Azure 部署的整體治理模型,而不只適用於 SAP 元件。
如需安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案的詳細資訊,請參閱適用於 SAP 整合的 Microsoft Sentinel 解決方案。
SAP VM 內的安全性軟體
適用於 Linux 的 SAP Note 2808515 和適用於 Windows 的 SAP Note 106267 說明當您在 SAP 伺服器上使用病毒掃描器或安全性軟體時的需求和最佳做法。 建議您在 Azure 中部署 SAP 元件時遵循 SAP 建議。
高可用性
Azure 中的 SAP 高可用性有兩個元件:
Azure 基礎結構高可用性:Azure 計算 (VM)、網路和儲存體服務的高可用性,以及其如何提升 SAP 應用程式可用性。
SAP 應用程式高可用性:如何使用服務修復,將其與 Azure 基礎結構高可用性結合。 在 SAP 軟體元件中使用高可用性的範例:
- SAP (A)SCS 和 SAP ERS 執行個體
- 資料庫伺服器
如需 Azure 中 SAP 高可用性的詳細資訊,請參閱下列文章:
- 支援的案例:SAP DBMS 層的高可用性保護
- 支援的案例:SAP Central Services 的高可用性
- 支援的案例:SAP Central Services 案例支援的儲存體
- 支援的案例:多重 SID SAP Central Services 容錯移轉叢集
- SAP NetWeaver 的 Azure 虛擬機器高可用性
- SAP NetWeaver 的高可用性架構和案例
- 使用 Azure 基礎結構 VM 重新啟動來達到 SAP 系統的更高可用性 (不需叢集)
- 使用 Azure 可用性區域進行 SAP 工作負載設定
- 在 SAP 高可用性案例中使用 Azure Standard Load Balancer 之虛擬機器的公用端點連線能力
Linux 上的 Pacemaker 和 Windows Server 容錯轉移叢集是 Azure 上 Microsoft 直接支援的 SAP 工作負載的唯一高可用性架構。 Microsoft 不支援任何其他高可用性架構,而且需要廠商的設計、實作詳細資料和作業支援。 如需詳細資訊,請參閱 Azure 中 SAP 支援的案例。
災害復原
SAP 應用程式通常是企業中最具業務關鍵性的程序之一。 根據其重要性和在意外中斷後再次運作所需的時間,應仔細規劃商務持續性和災害復原 (BCDR) 案例。
若要了解如何解決這項需求,請參閱 SAP 工作負載的災害復原概觀和基礎結構指導方針。
Backup
作為 BCDR 策略的一部分,SAP 工作負載的備份必須是任何計劃部署不可或缺的一部分。 備份解決方案必須涵蓋 SAP 解決方案堆疊的所有階層:VM、作業系統、SAP 應用程式層、DBMS 層,以及任何共用儲存體解決方案。 備份 SAP 工作負載所使用的 Azure 服務,以及其他重要資源 (例如加密和存取金鑰),也必須是備份和 BCDR 設計的一部分。
Azure 備份提供適用於備份的 PaaS 解決方案:
- 透過適用於 VM 的 Azure 備份,VM 組態、作業系統和 SAP 應用程式層 (受控磁碟上的資料大小調整)。 請檢閱支援矩陣,以確認您的架構可使用此解決方案。
- SQL Server 和 SAP HANA 資料庫資料和記錄備份。 其中包含資料庫複寫技術的支援,例如 HANA 系統複寫或 SQL Always On,以及配對區域的跨區域支援。
- 透過 Azure 檔案儲存體進行檔案共用備份。 確認支援 NFS 或 SMB 和其他設定詳細資料。
或者,如果您部署 Azure NetApp Files,則可在磁碟區層級取得備份選項,包括 SAP HANA 和 Oracle DBMS 與排定備份整合。
Azure 備份解決方案提供虛刪除選項,以防止惡意或意外刪除,以及防止資料遺失。 虛刪除也適用於您使用 Azure 檔案儲存體部署的檔案共用。
備份選項適用於您自行建立和管理的解決方案,或者您使用第三方軟體時。 有個選項是使用服務搭配 Azure 儲存體,包括對 Blob 資料使用不可變儲存體。 此自我管理選項目前需要作為某些資料庫的 DBMS 備份選項,例如 SAP ASE 或 IBM Db2。
使用 Azure 最佳做法中的建議,保護及驗證勒索軟體攻擊。
提示
請確定備份策略包含保護部署自動化、Azure 資源的加密金鑰,以及透明資料庫加密 (若已使用)。
跨區域備份
針對任何跨區域備份需求,請判斷解決方案所提供的復原時間目標 (RTO) 和復原點目標 (RPO),以及它是否符合 BCDR 設計和需求。
將 SAP 移轉至 Azure
無法描述各種 SAP 產品、版本相依性,以及可用的原生作業系統和 DBMS 技術的所有移轉方法和選項。 您組織的專案小組和服務提供者端的代表應考量數種技術,讓 SAP 順利移轉至 Azure。
在移轉期間測試效能。 SAP 移轉規劃的重要部分是技術效能測試。 移轉小組必須有足夠的時間和可用性,讓關鍵人員執行已移轉 SAP 系統的應用程式和技術測試,包括已連線的介面和應用程式。 若要成功進行 SAP 移轉,務必比較測試環境中重要商務程序的移轉前和移轉後執行階段和精確度。 在移轉生產環境之前,請使用資訊來最佳化程序。
使用 Azure 服務進行 SAP 移轉。 某些以 VM 為基礎的工作負載會使用 Azure Migrate 或 Azure Site Recovery 等服務或第三方工具來移轉,而不需變更至 Azure。 勤奮地確認服務支援作業系統版本和其執行的 SAP 工作負載。
通常,由於服務無法保證資料庫一致性,因此刻意不支援任何資料庫工作負載。 如果移轉服務支援 DBMS 類型,資料庫變動率或流失率通常太高。 大部分忙碌的 SAP 系統都不符合移轉工具允許的變動率。 直到生產移轉,才能看到或探索問題。 在許多情況下,有些 Azure 服務不適合用於移轉 SAP 系統。 Azure Site Recovery 和 Azure Migrate 沒有大規模 SAP 移轉的驗證。 依賴 DBMS 複寫或 SAP 移轉工具是經過證實的 SAP 移轉方法。
相較於內部部署移轉,在 Azure 中部署 (而不是基本 VM 移轉) 更理想且更容易完成。 自動化部署架構 (例如 Azure Center for SAP 解決方案和 Azure 部署自動化架構) 可讓您快速執行自動化工作。 若要使用 HANA 系統複寫、DBMS 備份和還原等 DBMS 原生複寫技術或 SAP 移轉工具,將 SAP 環境移轉至新部署的基礎結構,使用 SAP 系統已建立的技術知識。
基礎結構擴大。 在 SAP 移轉期間,擁有更多基礎結構容量可協助您更快速地進行部署。 專案小組應該考慮擴大 VM 大小,以提供更多 CPU 和記憶體。 該小組也應該考慮擴大 VM 彙總儲存體和網路輸送量。 同樣地,在 VM 層級,請考慮個別磁碟等儲存體元素,以使用進階 SSD v1 的隨選高載和效能層級來提升輸送量。 如果您使用高於設定值的進階 SSD v2,請增加 IOPS 和輸送量值。 放大 NFS 和 SMB 檔案共用以提高效能限制。 請記住,Azure 管理磁碟的大小無法縮減,而且大小、效能層級和輸送量 KPI 的縮減可能會有各種降溫時刻。
最佳化網路和資料複製。 將 SAP 系統移轉至 Azure 一律涉及移動大量資料。 資料可能是資料庫和檔案備份或複寫、應用程式對應用程式的資料傳輸或 SAP 移轉匯出。 根據您使用的移轉程序,您必須選擇正確的網路路徑來移動資料。 對於許多資料移動作業,使用網際網路而非私人網路是將資料安全地複製到 Azure 儲存體的最快路徑。
使用 ExpressRoute 或 VPN 可能會造成瓶頸:
- 移轉資料使用太多頻寬,並干擾使用者存取在 Azure 中執行的工作負載。
- 內部部署的網路瓶頸 (例如防火牆或輸送量限制) 通常只會在移轉期間發現。
不論使用的網路連線為何,資料移動的單一資料流網路效能通常很低。 若要透過多個 TCP 資料流提高資料傳輸速率,請使用可支援多個資料流的工具。 套用 SAP 文件和本主題上許多部落格文章中所述的最佳化技術。
提示
在規劃階段中,務必考慮將用於大型資料傳輸至 Azure 的任何專用移轉網路。 範例包括備份或資料庫複寫,或使用公用端點將資料傳輸到 Azure 儲存體。 應可預期並減輕移轉對使用者和應用程式的網路路徑的影響。 在網路規劃過程中,請考慮移轉的所有階段,以及移轉期間 Azure 中部分生產性工作負載的成本。
SAP 的支援和作業
在 Azure 中部署 SAP 之前和期間,務必考量一些其他領域。
適用於 SAP 的 Azure VM 延伸模組
Azure 監視延伸模組、增強式監視,以及適用於 SAP 的 Azure 延伸模組全都是指您需要部署的 VM 延伸模組,以將 Azure 基礎結構相關的一些基本資料提供給 SAP 主機代理程式。 SAP Notes 可能將此延伸模組稱為監視延伸模組或增強型監視。 在 Azure 中,其稱為適用於 SAP 的 Azure 延伸模組。 基於支援目的,延伸模組必須安裝在執行 SAP 工作負載的所有 Azure VM 上。 若要深入了解,請參閱適用於 SAP 的 Azure 延伸模組。
SAP 支援的 SAProuter
在 Azure 中操作 SAP 環境時,需要與 SAP 連線以便取得支援。 一般而言,如果連線是透過網際網路的加密網路通道或透過私人 VPN 連線至 SAP,則連線的形式為 SAProuter 連線。 如需 Azure 中 SAProuter 的最佳做法和範例實作,請參閱 SAP on Azure 的輸入和輸出網際網路連線中的架構案例。