Upravit

Spuštění SAP HANA pro virtuální počítače s Linuxem v architektuře s vertikálním navyšováním kapacity v Azure

Azure
Azure Virtual Machines

Tato referenční architektura ukazuje sadu osvědčených postupů pro spouštění SAP HANA v prostředí s vysokou dostupností a vertikálním navýšením kapacity, které podporuje zotavení po havárii v Azure. Tato implementace se zaměřuje pouze na vrstvu databáze.

Architektura

Tato referenční architektura popisuje běžný produkční systém. Můžete zvolit velikosti virtuálních počítačů tak, aby vyhovovaly potřebám vaší organizace. Tato konfigurace se dá také snížit na jeden virtuální počítač v závislosti na obchodních požadavcích.

Následující diagram znázorňuje referenční architekturu pro SAP HANA v Azure:

Diagram znázorňující místní architekturu nasazení

Stáhněte si soubor Visia, který obsahuje diagramy v tomto článku.

Poznámka:

K nasazení této referenční architektury potřebujete odpovídající licencování produktů SAP a dalších technologií jiných společností než Microsoft.

Workflow

Tato referenční architektura popisuje typickou databázi SAP HANA spuštěnou v Azure v nasazení s vysokou dostupností, aby se maximalizovala dostupnost systému. Architekturu a její komponenty je možné přizpůsobit na základě obchodních požadavků (RTO, RPO, očekávání doby provozu, role systému) a potenciálně se snížit na jeden virtuální počítač. Rozložení sítě je zjednodušené tak, aby demonstrovaly architektonické objekty takového prostředí SAP a nepopisovaly úplnou podnikovou síť.

Sítě

Virtuální sítě. Služba Azure Virtual Network propojuje prostředky Azure s rozšířeným zabezpečením. V této architektuře se virtuální síť připojuje k místnímu prostředí přes bránu ExpressRoute nasazenou v centru hvězdicové topologie. Databáze SAP HANA je obsažená ve virtuální síti s vlastním paprskem. Paprskové virtuální sítě obsahují jednu podsíť pro databázové virtuální počítače.

Pokud jsou aplikace připojující se k SAP HANA spuštěné na virtuálních počítačích, měly by se virtuální počítače aplikace nacházet ve stejné virtuální síti, ale v rámci vyhrazené podsítě aplikace. Případně pokud připojení SAP HANA není primární databází, můžou se virtuální počítače aplikace nacházet v jiných virtuálních sítích. Oddělení do podsítí podle úloh umožňuje snadnější povolení skupin zabezpečení sítě (NSG) k nastavení pravidel zabezpečení použitelných jenom na virtuální počítače SAP HANA.

Zónově redundantní brána. Brána propojuje jedinečné sítě a rozšiřuje vaši místní síť do virtuální sítě Azure. Doporučujeme použít ExpressRoute k vytvoření privátních připojení, která neprocházejí přes veřejný internet. Můžete také použít připojení typu site-to-site . Brány Azure ExpressRoute nebo VPN je možné nasadit napříč zónami, které chrání před selháními zón. Informace o rozdílech mezi zónovým nasazením a zónově redundantním nasazením najdete v branách zónově redundantní virtuální sítě. Ip adresy, které se používají, musí být standardní skladovou jednotkou pro nasazení zón bran.

Skupiny zabezpečení sítě (NSG). Pokud chcete omezit příchozí a odchozí síťový provoz virtuální sítě, vytvořte skupiny zabezpečení sítě, které jsou zase přiřazené ke konkrétním podsítím. Podsítě db a aplikací jsou zabezpečené pomocí skupin zabezpečení sítě specifických pro úlohy.

Skupiny zabezpečení aplikací (ASG). Pokud chcete definovat jemně odstupňované zásady zabezpečení sítě v rámci skupin zabezpečení sítě na základě úloh, které jsou zaměřené na aplikace, použijte skupiny zabezpečení aplikací místo explicitních IP adres. Umožňují seskupovat síťová rozhraní virtuálních počítačů podle názvu a pomáhají zabezpečit aplikace filtrováním provozu z důvěryhodných segmentů vaší sítě.

Síťové karty Karty síťového rozhraní umožňují veškerou komunikaci mezi virtuálními počítači ve virtuální síti. Tradiční místní nasazení SAP implementují více síťových karet na počítač, aby se oddělil provoz správy od obchodního provozu.

V Azure není nutné kvůli výkonu používat více síťových rozhraní. Několik síťových adaptérů sdílí stejný limit propustnosti sítě virtuálního počítače. Pokud ale vaše organizace potřebuje oddělit provoz, můžete na virtuální počítač nasadit několik síťových karet a připojit každou síťovou kartu k jiné podsíti. Skupiny zabezpečení sítě pak můžete použít k vynucení různých zásad řízení přístupu v každé podsíti.

Síťové karty Azure podporují více IP adres. Tato podpora odpovídá doporučenému postupu SAP při používání názvů virtuálních hostitelů pro instalace. Kompletní osnovu najdete v 962955 poznámky SAP. (Pro přístup k poznámkám SAP potřebujete účet SAP Service Marketplace.)

Poznámka:

Jak je uvedeno v SAP Note 2731110, neumisťujte žádné síťové virtuální zařízení (NVA) mezi aplikací a databázové vrstvy pro všechny zásobníky aplikací SAP. Tím se zavádí významná doba zpracování datových paketů a nepřijatelně zpomaluje výkon aplikace.

Virtuální počítače

Tato architektura používá virtuální počítače. Azure nabízí škálování na jeden uzel až na 23,5 Tebibajtů (TiB) paměti na virtuálních počítačích. Seznam virtuálních počítačů certifikovaných a podporovaných hardwarových adresářů SAP HANA, které jsou certifikované pro databázi SAP HANA. Podrobnosti o podpoře typů virtuálních počítačů a metrik propustnosti (SAPS) najdete v tématu SAP Note 1928533 – aplikace SAP v Microsoft Azure: Podporované produkty a typy virtuálních počítačů Azure. (Pro přístup k tomuto a dalším poznámkám SAP se vyžaduje účet SAP Service Marketplace.)

Microsoft a SAP společně certifikují řadu velikostí virtuálních počítačů pro úlohy SAP HANA. Například menší nasazení můžou běžet na virtuálním počítači Edsv4 nebo Edsv5 s 160 GiB nebo více paměti RAM. Pokud chcete podporovat největší velikosti paměti SAP HANA na virtuálních počítačích, stejně jako 23 TiB, můžete použít virtuální počítače řady Mv2. Typy virtuálních počítačů M208 dosahuje přibližně 260 000 SAPS a typů virtuálních počítačů M832ixs dosahuje přibližně 795 900 SAPS.

Virtuální počítače generace 2 (Gen2). Při nasazování virtuálních počítačů můžete použít virtuální počítače generace 1 nebo 2. generace. Virtuální počítače generace 2 podporují klíčové funkce, které nejsou dostupné pro virtuální počítače 1. generace. U SAP HANA je to obzvláště důležité, protože některé rodiny virtuálních počítačů, jako jsou Mv2 a Mdsv2, se podporují jenom jako virtuální počítače Gen2. Podobně může certifikace SAP v Azure u některých novějších virtuálních počítačů vyžadovat, aby pro plnou podporu byla pouze Gen2, i když azure obě tyto virtuální počítače umožňuje. Podrobnosti najdete v 1928533 SAP Note – aplikace SAP v Microsoft Azure: Podporované produkty a typy virtuálních počítačů Azure.

Vzhledem k tomu, že všechny ostatní virtuální počítače podporující SAP HANA umožňují výběr pouze Gen2 nebo Gen1+2 selektivně, doporučujeme nasadit všechny virtuální počítače SAP pouze jako Gen2. To platí také pro virtuální počítače s nízkými požadavky na paměť. I nejmenší virtuální počítač SAP HANA s 160 GiB může běžet jako virtuální počítač Gen2 a při uvolnění se dá změnit velikost na největší virtuální počítač dostupný ve vaší oblasti a předplatném.

Skupiny umístění bezkontaktní komunikace (PPG). K optimalizaci latence sítě můžete použít skupiny umístění bezkontaktní komunikace, které upřednostňují umístění, což znamená, že virtuální počítače jsou ve stejném datacentru, aby se minimalizovala latence mezi SAP HANA a připojením virtuálních počítačů aplikací. Pro samotnou architekturu SAP HANA nejsou potřeba žádné skupiny PPG, představují pouze možnost přidělení SAP HANA s virtuálními počítači aplikační vrstvy. Kvůli potenciálním omezením s PPG by mělo být přidání databáze AvSet do PPG systému SAP provedeno řídce a pouze v případě, že je vyžadována latence mezi aplikací SAP a databázovým provozem. Další informace o scénářích použití ppg najdete v propojené dokumentaci. Vzhledem k tomu, že PPG omezuje úlohy na jedno datové centrum, PPG nemůže přesahovat více zón dostupnosti.

Komponenty

Důležité informace

Tato část popisuje klíčové aspekty spouštění SAP HANA v Azure.

Škálovatelnost

Tato architektura spouští SAP HANA na virtuálních počítačích, které můžou vertikálně navýšit kapacitu až na 23 TiB v jedné instanci.

Pokud vaše úloha překročí maximální velikost virtuálního počítače, doporučujeme použít konfigurace HANA s více uzly. U aplikací pro online zpracování transakcí (OLTP) může být celková kapacita paměti horizontálního navýšení kapacity až 4 x 23 TiB. U aplikací OLAP (Online Analytical Processing) může být kapacita paměti horizontálního navýšení kapacity až 16 x 7,6 TiB. Sap HANA můžete například nasadit v konfiguraci se škálováním na více systémů s pohotovostním režimem na virtuálních počítačích , na kterých běží Red Hat Enterprise Linux nebo SUSE Linux Enterprise Server, pomocí služby Azure NetApp Files pro sdílené svazky úložiště.

Úložiště

Tato architektura používá spravované disky Azure pro úložiště na virtuálních počítačích nebo Azure NetApp Files. Pokyny pro nasazení úložiště se spravovanými disky jsou podrobně popsané v dokumentu konfigurace úložiště virtuálních počítačů SAP HANA Azure. Alternativně ke spravovaným diskům je možné svazky NFS služby Azure NetApp Files použít jako řešení úložiště pro SAP HANA.

Pokud chcete dosáhnout vysokého počtu vstupně-výstupních operací za sekundu (IOPS) a propustnosti diskového úložiště, platí běžné postupy optimalizace výkonu svazků úložiště také v rozložení úložiště Azure. Například kombinování více disků společně s LVM za účelem vytvoření prokládání diskového svazku zlepšuje výkon vstupně-výstupních operací. Ukládání do mezipaměti disků Azure také hraje významnou roli při dosažení požadovaného výkonu vstupně-výstupních operací.

Pro disky protokolu SAP HANA, které běží na disku SSD úrovně Azure Premium v1, použijte jednu z následujících technologií v umístěních, která obsahují /hana/log pro produkční prostředí:

Tyto technologie jsou potřeba k konzistentnímu splnění požadované latence úložiště menší než 1 ms.

Azure Premium SSD v2 je navržený pro úlohy kritické pro výkon, jako je SAP. Akcelerátor zápisu se nevyžaduje, pokud /hana/protokol běží na SSD úrovně Premium v2. Informace o výhodách a aktuálních omezeních tohoto řešení úložiště najdete v tématu Nasazení SSD úrovně Premium v2.

Podrobnosti o 1943937 požadavch

  • Návrh úložiště s nákladovým vědomím pro neprodukční systémy Pro prostředí SAP HANA, která nevyžadují maximální výkon úložiště ve všech situacích, můžete použít architekturu úložiště optimalizovanou pro náklady. Tato volba optimalizace úložiště se může vztahovat na málo používané produkční systémy nebo některá neprodukční prostředí SAP HANA. Možnost úložiště optimalizovaná pro náklady používá kombinaci disků SSD úrovně Standard místo disků SSD úrovně Premium nebo Ultra, které se používají pro produkční prostředí. Kombinuje také systémy souborů /hana/data a /hana/log do jedné sady disků. Pokyny a osvědčené postupy jsou k dispozici pro většinu velikostí virtuálních počítačů. Pokud používáte Azure NetApp Files pro SAP HANA, můžete ke stejnému cíli použít svazky se sníženou velikostí.

  • Změna velikosti úložiště při vertikálním navýšení kapacity Když změníte velikost virtuálního počítače z důvodu změně obchodních požadavků nebo kvůli rostoucí velikosti databáze, může se konfigurace úložiště změnit. podpora Azure s online rozšíření disku bez přerušení provozu. Při nastavení prokládání disku, jak se používá pro SAP HANA, by se operace změny velikosti měla provádět stejně pro všechny disky ve skupině svazků. Přidání dalších disků do skupiny svazků může potenciálně odbalit prokládaná data. Pokud do konfigurace úložiště přidáváte další disky, je mnohem vhodnější vytvořit nový svazek úložiště na nových discích. Dále zkopírujte obsah během výpadku a upravte přípojné body. Nakonec zahoďte starou skupinu svazků a základní disky.

  • Skupina svazků aplikace Azure NetApp Files Pro nasazení se soubory SAP HANA obsaženými ve svazcích NFS služby Azure NetApp Files umožňují skupiny svazků aplikací nasazovat všechny svazky podle osvědčených postupů. Tento proces také zajišťuje optimální výkon pro vaši databázi SAP HANA. Podrobnosti o postupu v tomto procesu jsou k dispozici . Vyžaduje ruční zásah. Počkejte nějakou dobu na vytvoření.

Vysoká dostupnost

Předchozí architektura znázorňuje nasazení s vysokou dostupností, přičemž SAP HANA je obsažená na dvou nebo více virtuálních počítačích. Používají se následující komponenty.

Nástroje pro vyrovnávání zatížení.Azure Load Balancer se používá k distribuci provozu do virtuálních počítačů SAP HANA. Když zahrnete Azure Load Balancer do zónového nasazení SAP, nezapomeňte vybrat nástroj pro vyrovnávání zatížení skladové položky Standard. Nástroj pro vyrovnávání úrovně Basic nepodporuje zónovou redundanci. V této architektuře funguje Load Balancer jako virtuální IP adresa pro SAP HANA. Síťový provoz se odesílá do aktivního virtuálního počítače, na kterém běží primární instance databáze. K dispozici je architektura s podporou aktivní/čtení SAP HANA (SLES/RHEL), kde se k směrování síťového provozu do sekundární instance SAP HANA na jiném virtuálním počítači používá druhá virtuální IP adresa adresovaná v nástroji pro vyrovnávání zatížení.

Load Balancer úrovně Standard poskytuje ve výchozím nastavení vrstvu zabezpečení. Virtuální počítače, které jsou za Load Balancerem úrovně Standard, nemají odchozí připojení k internetu. Pokud chcete povolit odchozí internet v těchto virtuálních počítačích, musíte aktualizovat konfiguraci Load Balanceru úrovně Standard. Kromě toho můžete také použít Azure NAT Gateway k získání odchozího připojení.

U databázových clusterů SAP HANA musíte povolit direct server return (DSR), označované také jako plovoucí IP adresa. Tato funkce umožňuje serveru reagovat na IP adresu front-endu nástroje pro vyrovnávání zatížení. Díky tomuto přímému připojení se nástroj pro vyrovnávání zatížení stává kritickým bodem v cestě přenosu dat.

Možnosti nasazení Nasazení úloh SAP v Azure může být regionální nebo zónové v závislosti na požadavcích na dostupnost a odolnost aplikací SAP. Azure nabízí různé možnosti nasazení, jako jsou škálovací sady virtuálních počítačů s flexibilní orchestrací (FD=1), zóny dostupnosti a skupiny dostupnosti, aby se zlepšila dostupnost prostředků. Pokud chcete získat komplexní přehled o dostupných možnostech nasazení a jejich použitelnosti v různých oblastech Azure (včetně zón, v rámci jedné zóny nebo v oblasti bez zón), podívejte se na architekturu a scénáře s vysokou dostupností pro SAP NetWeaver.

SAP HANA. Pro zajištění vysoké dostupnosti běží SAP HANA na dvou nebo více virtuálních počítačích s Linuxem. Sap HANA System Replication (HSR) slouží k replikaci dat mezi primárními a sekundárními systémy SAP HANA (replika). HsR se také používá pro zotavení po havárii mezi oblastmi nebo mezi zónami. V závislosti na latenci komunikace mezi virtuálními počítači je možné použít synchronní replikaci v rámci oblasti. HsR mezi oblastmi pro zotavení po havárii bude ve většině případů spuštěna asynchronním způsobem.

V případě clusteru Pacemaker s Linuxem je potřeba rozhodnout, jaký mechanismus pro ohraničení clusteru se má použít. Ohraničení clusteru je proces izolace neúspěšného virtuálního počítače z clusteru a jeho restartování. V případě RedHat Enterprise Linuxu (RHEL) je jediným podporovaným mechanismem pro fencing pro Pacemaker v Azure agenta plotu Azure. Pro SUSE Linux Enterprise Server (SLES) můžete použít agenta plotu Azure nebo ZAŘÍZENÍ STONITH Block Device (SBD). Porovnejte časy převzetí služeb při selhání pro každé řešení a pokud existuje rozdíl, zvolte řešení na základě vašich obchodních požadavků na cíl doby obnovení (RTO).

Agent azure plotu. Tato metoda dělení spoléhá na rozhraní API Azure ARM s dotazováním rozhraní ARM API Pacemakeru o stavu obou virtuálních počítačů SAP HANA v clusteru. Pokud jeden virtuální počítač selže, například nereaguje operační systém nebo dojde k chybě virtuálního počítače, správce clusteru znovu použije rozhraní API ARM k restartování virtuálního počítače a v případě potřeby selže databáze SAP HANA na druhý aktivní uzel. Pro tento účel se k autorizaci vůči rozhraní API ARM používá instanční objekt (SPN) s vlastní rolí k dotazování a restartování virtuálních počítačů. Není potřeba žádná jiná infrastruktura, virtuální počítače SBD ve výkresech architektury se nenasazují v případě, že se používá agent plotu Azure.

SBD. Blokové zařízení STONITH (SBD) používá disk, ke kterému přistupuje správce clusteru jako blokové zařízení (nezpracované bez systému souborů). Tento disk nebo disky, pokud je více, funguje jako hlas. Každý ze dvou uzlů clusteru se systémem SAP HANA přistupuje k diskům SDB a pravidelně čte a zapisuje do nich malé části informací o stavu. Každý uzel clusteru tedy zná stav druhého, aniž by závisel pouze na sítích mezi virtuálními počítači.

Pokud možno tři malé virtuální počítače se nasadí buď ve skupině dostupnosti, nebo v nastavení zóny dostupnosti. Každý virtuální počítač exportující malé části disku jako blokové zařízení, ke kterému přistupuje dva uzly clusteru SAP HANA. Tři virtuální počítače SBD zajišťují, aby v případě plánovaného nebo neplánovaného výpadku pro virtuální počítač SBD byly k dispozici dostatečné členy hlasování.

Alternativně k používání virtuálních počítačů SBD je možné místo toho použít sdílený disk Azure. Uzly clusteru SAP HANA pak přistupují k jednomu sdílenému disku. Sdílený disk může být místně (LRS) nebo zónově redundantní (ZRS), pokud je ve vaší oblasti Azure k dispozici ZRS.

Zotavení po havárii

Následující architektura ukazuje produkční prostředí HANA v Azure, které poskytuje zotavení po havárii. Architektura zahrnuje zóny dostupnosti.

Diagram znázorňující architekturu s zotavením po havárii

Podrobnosti o strategiích zotavení po havárii a implementaci najdete v tématu Přehled zotavení po havárii a pokyny pro infrastrukturu pro úlohy SAP a pokyny pro zotavení po havárii pro aplikaci SAP.

Poznámka:

Pokud dojde k regionální havárii, která způsobí velké převzetí služeb při selhání pro mnoho zákazníků Azure v jedné oblasti, není zaručená kapacita prostředků cílové oblasti. Stejně jako všechny služby Azure přidává Azure Site Recovery funkce a možnosti. Nejnovější informace o replikaci z Azure do Azure najdete v matici podpory.

Kromě místní implementace vysoké dostupnosti se dvěma uzly podporuje HSR replikaci vícevrstvé a multitargetové replikace. HSR proto podporuje replikaci mezi zónami a mezi oblastmi. Replikace multitarget je k dispozici pro SAP HANA 2.0 SPS 03 a novější.

Nezapomeňte ověřit kapacitu prostředků cílové oblasti.

Azure NetApp Files. Jako možnost je možné použít Azure NetApp Files k zajištění škálovatelného a vysoce výkonného řešení úložiště pro data a soubory protokolů SAP HANA. Azure NetApp Files podporuje snímky pro rychlé zálohování, obnovení a místní replikaci. Pro replikaci obsahu mezi oblastmi je možné použít replikaci mezi oblastmi služby Azure NetApp Files k replikaci dat snímků mezi dvěma oblastmi. K dispozici jsou podrobnosti o replikaci mezi oblastmi a dokument white paper popisující všechny aspekty zotavení po havárii pomocí služby Azure NetApp Files.

Backup

Data SAP HANA je možné zálohovat mnoha způsoby. Po migraci do Azure můžete dál používat všechna existující řešení pro zálohování partnerů, která už máte. Azure nabízí dva nativní přístupy: zálohování na úrovni souborů SAP HANA a Azure Backup pro SAP HANA přes rozhraní Backint.

Pro zálohování na úrovni souborů SAP HANA můžete použít nástroj podle výběru, například hdbsql nebo SAP HANA Studio, a uložit záložní soubory na místní diskový svazek. Běžným přípojným bodem pro tento záložní svazek je /hana/backup. Zásady zálohování definují dobu uchovávání dat na svazku. Jakmile se záloha provede, měla by naplánovaná úloha zkopírovat záložní soubory do úložiště objektů blob v Azure, aby bylo bezpečné. Místní záložní soubory se uchovávají pro urychlené obnovení.

Azure Backup nabízí jednoduché podnikové řešení pro úlohy běžící na virtuálních počítačích. Azure Backup pro SAP HANA poskytuje úplnou integraci s katalogem záloh SAP HANA a zaručuje obnovení konzistentní s databází, úplnými nebo obnoveními k určitému bodu v čase. Azure Backup má certifikaci BackInt od SAP. Viz také nejčastější dotazy ke službě Azure Backup a matice podpory.

Azure NetApp Files přináší podporu pro zálohy založené na snímcích. Integrace se SAP HANA pro snímky konzistentní vzhledem k aplikacím je prostřednictvím nástroje Aplikace Azure Consistent Snapshot (AzAcSnap). Vytvořené snímky se dají použít k obnovení na nový svazek pro obnovení systému nebo kopírování databáze SAP HANA. Vytvořené snímky je možné použít k zotavení po havárii, kde funguje jako bod obnovení s protokoly SAP HANA uloženými na jiném svazku NFS.

Sledování

K monitorování úloh v Azure vám Azure Monitor umožňuje komplexně shromažďovat, analyzovat a reagovat na telemetrii z cloudových a místních prostředí.

V případě aplikací SAP, které běží na SAP HANA a dalších hlavních databázových řešeních, najdete v tématu Azure Monitor pro řešení SAP, kde se dozvíte, jak vám azure Monitor pro SAP může pomoct se správou dostupnosti a výkonu služeb SAP.

Zabezpečení

Řada bezpečnostních opatření slouží k ochraně důvěrnosti, integrity a dostupnosti prostředí SAP. Pro zabezpečení přístupu uživatelů má například SAP vlastní modul pro správu uživatelů (UME), který řídí přístup a autorizaci na základě role v rámci aplikace a databází SAP. Další informace najdete v tématu Zabezpečení SAP HANA – přehled.

U neaktivních uložených dat poskytují různé funkce šifrování zabezpečení následujícím způsobem:

  • Spolu s nativní šifrovací technologií SAP HANA zvažte použití šifrovacího řešení od partnera, který podporuje klíče spravované zákazníkem.

  • K šifrování disků virtuálních počítačů můžete použít funkce popsané v přehledu šifrování disků.

  • Databázové servery SAP: Pomocí transparentní šifrování dat, které nabízí poskytovatel DBMS (například nativní šifrovací technologie SAP HANA), pomáhá zabezpečit vaše data a soubory protokolů a zajistit také šifrování záloh.

  • Data ve fyzickém úložišti Azure (šifrování na straně serveru) se automaticky šifrují v klidovém stavu pomocí spravovaného klíče Azure. Můžete také zvolit klíč spravovaný zákazníkem (CMK) místo spravovaného klíče Azure.

  • Informace o podpoře služby Azure Disk Encryption na konkrétních distribucích, verzích a imagích Linuxu najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem.

Poznámka:

Nekombinujte nativní šifrovací technologii SAP HANA se službou Azure Disk Encryption nebo šifrováním na základě hostitele na stejném svazku úložiště. Spouštěcí disky operačního systému pro virtuální počítače s Linuxem také nepodporují službu Azure Disk Encryption. Místo toho, když používáte nativní šifrování SAP HANA, zkombinujte ho s šifrováním na straně serveru, což je automaticky povoleno. Mějte na paměti, že využití klíčů spravovaných zákazníkem může mít vliv na propustnost úložiště.

Pro zabezpečení sítě použijte skupiny zabezpečení sítě (NSG) a Azure Firewall nebo síťové virtuální zařízení následujícím způsobem:

  • Skupiny zabezpečení sítě slouží k ochraně a řízení provozu mezi podsítěmi a aplikačními a databázovými vrstvami. Použít pouze skupiny zabezpečení sítě na podsítě. Skupiny zabezpečení sítě použité u síťových adaptérů i podsítě velmi často vedou k problémům při řešení potíží a měly by se v případě potřeby používat jen zřídka.

  • Pomocí služby Azure Firewall nebo síťového virtuálního zařízení Azure můžete kontrolovat a řídit směrování provozu z centrální virtuální sítě do paprskové virtuální sítě, kde jsou vaše aplikace SAP, a také řídit odchozí připojení k internetu.

Pro uživatele a autorizaci implementujte řízení přístupu na základě role (RBAC) a zámky prostředků následujícím způsobem:

  • Při přiřazování oprávnění na úrovni IaaS na úrovni IaaS, které hostují vaše řešení SAP v Azure, využijte RBAC k přiřazování oprávnění na úrovni IaaS. Základním účelem řízení přístupu na základě role je oddělení a kontrola povinností pro vaše uživatele nebo skupinu. RBAC je navržený tak, aby udělil jenom množství přístupu k prostředkům potřebným k tomu, aby uživatelé mohli provádět své úlohy.

  • Zámky prostředků vám pomůžou zabránit náhodným nebo škodlivým změnám. Zámky prostředků pomáhají správcům zabránit v odstranění nebo úpravě důležitých prostředků Azure, ve kterých se nachází vaše řešení SAP.

Další doporučení zabezpečení najdete v těchto článcích o Microsoftu a SAP .

Komunity

Komunity dokážou zodpovědět dotazy a pomáhají zajistit úspěšné nasazení. Zvažte následující komunity:

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Další informace o technologiích komponent:

Prozkoumejte související architektury: