SAP S/4HANA für virtuelle Linux-Computer in AzureSAP S/4HANA for Linux virtual machines on Azure

Anhand dieser Referenzarchitektur werden einige bewährte Methoden für die Ausführung von S/4HANA und Suite für HANA in einer Hochverfügbarkeitsumgebung veranschaulicht, die die Notfallwiederherstellung in Azure unterstützt.This reference architecture shows a set of proven practices for running S/4HANA and Suite on HANA in a high availability environment that supports disaster recovery on Azure. Die Fiori-Informationen gelten nur für S/4HANA-Anwendungen.The Fiori information applies only to S/4HANA applications.

Referenzarchitektur für SAP S/4HANA für virtuelle Linux-Computer in Azure

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

Hinweis

Zum Bereitstellen dieser Referenzarchitektur ist eine geeignete Lizenzierung von SAP-Produkten und anderen nicht von Microsoft stammenden Technologiekomponenten erforderlich.Deploying this reference architecture requires appropriate licensing of SAP products and other non-Microsoft technologies.

AufbauArchitecture

Diese Referenzarchitektur beschreibt ein gängiges Produktionssystem.This reference architecture describes a common production system. Die Architektur wird mit VM-Größen bereitgestellt, die an die Anforderungen Ihres Unternehmens angepasst werden können.This architecture is deployed with virtual machine sizes that can be changed to accommodate your organization's needs. Um Ihren Geschäftsanforderungen gerecht zu werden, kann diese Konfiguration bis hin zu einem einzigen virtuellen Computer reduziert werden.To suit your business needs, this configuration can be reduced to a single virtual machine.

Das Netzwerklayout wurde stark vereinfacht, um die Architekturprinzipale zu demonstrieren, und es dient nicht dazu, ein gesamtes Unternehmensnetzwerk zu beschreiben.The network layout is greatly simplified to demonstrate architectural principals and is not intended to describe a full enterprise network.

Hierfür sind die folgenden Komponenten erforderlich:The following components are required.

Azure Virtual Network.Azure Virtual Network. Der Dienst Azure Virtual Network (VNET) verbindet Azure-Ressourcen sicher miteinander.The Azure Virtual Network (VNet) service securely connects Azure resources to each other. In dieser Architektur wird ein VNET über ein Gateway mit einer lokalen Umgebung verbunden, und dieses Gateway wird im Hub einer Hub-Spoke-Topologie bereitgestellt.In this architecture, a VNet connects to an on-premises environment through a gateway deployed in the hub of a hub-spoke topology. Die „Speiche“ (Spoke) ist das VNET, das für die SAP-Anwendungen und die Datenbankschichten verwendet wird.The spoke is the VNet used for the SAP applications and the database tiers.

Peering virtueller Netzwerke:Virtual network peering. Bei dieser Architektur werden mehrere virtuelle Netzwerke genutzt, die per Peering verbunden sind.This architecture uses multiple virtual networks that are peered together. Diese Topologie ermöglicht die Netzwerksegmentierung und -isolation für Dienste, die unter Azure bereitgestellt werden.This topology offers network segmentation and isolation for services deployed on Azure. Beim Peering werden Netzwerke transparent über das Microsoft-Backbone-Netzwerk verbunden, und es kommt nicht zu Leistungseinbußen, wenn die Bereitstellung innerhalb derselben Region erfolgt.Peering connects networks transparently through the Microsoft backbone network and does not incur a performance penalty if implemented within a single region. Für jede Schicht werden getrennte Subnetze genutzt: Anwendung (SAP NetWeaver), Datenbank und gemeinsame Dienste (z. B. Jumpbox und Active Directory).Separate subnets are used for each tier-application (SAP NetWeaver), database, and shared services (such as the jumpbox and Active Directory).

Virtuelle Computer:Virtual machines. In dieser Architektur werden virtuelle Computer mit Linux für die Logikschicht und die Datenbankschicht verwendet, die wie folgt gruppiert sind:This architecture uses virtual machines running Linux for the application tier and database tier, grouped as follows:

  • Anwendungsschicht:Application tier. Umfasst den Fiori Front-End-Serverpool, den SAP Web Dispatcher-Pool, den Anwendungsserverpool und den SAP Central Services-Cluster.Includes the Fiori Front-end Server pool, SAP Web Dispatcher pool, application server pool, and SAP Central Services cluster. Zur Erzielung von Hochverfügbarkeit für Central Services in Azure bei Ausführung auf virtuellen Linux-Computern ist ein hoch verfügbarer Netzwerkdateifreigabe-Dienst erforderlich, z. B. Azure NetApp Files, NFS-Clusterserver (Network File Shares) oder SIOS DataKeeper.For high availability of Central Services on Azure running in Linux virtual machines, a highly available network file share service is required, such as Azure NetApp Files, clustered Network File Shares (NFS) servers, or SIOS DataKeeper. Zum Einrichten einer hoch verfügbaren Dateifreigabe für den Central Services-Cluster unter Red Hat Enterprise Linux, kann GlusterFS auf virtuellen Azure-Computern konfiguriert werden, auf denen Red Hat Enterprise Linux ausgeführt wird.To set up a highly available file share for the Central Services cluster on Red Hat Enterprise Linux, GlusterFS can be configured on Azure virtual machines running Red Hat Enterprise Linux.

  • SAP HANA:SAP HANA. Auf der Datenbankschicht werden mindestens zwei virtuelle Linux-Computer in einem Cluster verwendet, um Hochverfügbarkeit für eine Bereitstellung mit zentraler Hochskalierung zu erzielen.The database tier uses two or more Linux virtual machines in a cluster to achieve high availability in a scale-up deployment. HANA-Systemreplikation (HSR) wird verwendet, um Inhalte zwischen primären und sekundären HANA-Systemen zu replizieren.HANA System Replication (HSR) is used to replicate contents between primary and secondary HANA systems. Linux-Clustering wird verwendet, um Systemfehler zu erkennen und automatisches Failover zu ermöglichen.Linux clustering is used to detect system failures and facilitate automatic failover. Ein speicherbasierter oder cloudbasierter Umgrenzungsmechanismus muss verwendet werden, um sicherzustellen, dass das ausgefallene System isoliert oder heruntergefahren wird, um den Split-Brain-Zustand für Cluster zu vermeiden.A storage-based or cloud-based fencing mechanism must be used to ensure the failed system is isolated or shut down to avoid the cluster split-brain condition. Bei HANA-Bereitstellungen mit horizontaler Hochskalierung wird die Hochverfügbarkeit von Datenbanken erzielt, indem Standbyknoten konfiguriert werden, ohne dass die Linux-Clusteringkomponente benötigt wird.In HANA scale-out deployments, database high availability is achieved by configuring standby nodes without the need of the Linux clustering component.

  • Jumpbox:Jumpbox. Wird auch als „Bastionhost“ bezeichnet. Dieser sichere virtuelle Computer im Netzwerk wird verwendet, um eine Verbindung mit anderen virtuellen Computern herzustellen. Normalerweise wird er als Teil der gemeinsamen Dienste, z. B. Domänencontroller und Sicherungsdienste, bereitgestellt.Also called a bastion host, this secure virtual machine on the network is used to connect to the other virtual machines and is typically deployed as part of the shared services, such as domain controllers and backup services. Die Jumpbox wird auf einem virtuellen Computer bereitgestellt, um SAP HANA Studio, SAPGUI, Dateiübertragung und andere Funktionen zu unterstützen, die normalerweise zu Installations- und Verwaltungszwecken genutzt werden.The jumpbox is deployed on a virtual machine to support SAP HANA Studio, SAPGUI, file transfer, and other functions that are commonly used for installation and administration purposes. Probieren Sie Azure Bastion für RDP- (Remotedesktopprotokoll) oder SSH-Dienste (Secure Shell) aus.For remote desktop protocol (RDP) or secure shell (SSH) services, try Azure Bastion. Wenn nur RDP und SSH für die Verwaltung genutzt werden, ist Azure Bastion eine gute Alternative.If only RDP and SSH are used for administration, Azure Bastion is a great alternative.

Lastenausgleichsmodule:Load balancers. Lastenausgleichsmodule werden verwendet, um Datenverkehr auf virtuelle Computer im Logikschichtsubnetz zu verteilen.To distribute traffic to virtual machines in the application-tier subnet, load balancers are used. Nutzen Sie Load Balancer Standard, wenn Sie Azure-Zonen verwenden.When using Azure Zones, use the Standard Load Balancer. Verwenden Sie zum Erzielen von Hochverfügbarkeit den integrierten SAP Web Dispatcher, Azure Load Balancer oder andere Mechanismen. Dies richtet sich nach dem Datenverkehrstyp (z. B. HTTP oder SAPGUI) oder den erforderlichen Netzwerkdiensten (z. B. der SSL-Beendigung).For high availability, use the built-in SAP Web Dispatcher, Azure Load Balancer, or other mechanisms, depending on the traffic type (such as HTTP or SAPGUI) or the required network services (such as SSL termination).

Verfügbarkeitsgruppen:Availability sets. Virtuelle Computer für alle Pools und Cluster (Web Dispatcher, SAP-Anwendungsserver, Central Services und HANA) werden in getrennten Verfügbarkeitsgruppen gruppiert, und pro Rolle werden mindestens zwei virtuelle Computer bereitgestellt.Virtual machines for all pools and clusters (Web Dispatcher, SAP application servers, Central Services, and HANA) are grouped into separate availability sets, and at least two virtual machines are provisioned per role. Mit Verfügbarkeitsgruppen wird die Verfügbarkeit der Anwendungen und virtuellen Computer über die Verwaltung von Hostsystemfehlern oder Wartungsereignissen erhöht, indem Rolleninstanzen auf mehrere Hosts verteilt werden.Availability sets increase the availability of applications and virtual machines through management of hosts system faults or maintenance events by distributing role instances onto multiple hosts. Eine Alternative ist die Nutzung von Verfügbarkeitszonen zur Verbesserung der Verfügbarkeit von Workloads. Dies ist weiter unten in diesem Artikel beschrieben.An alternative is to use Availability Zones to improve workload availability as described later in this article.

Zonenredundantes Gateway:Zone-redundant gateway. Azure ExpressRoute- oder VPN-Gateways (Virtuelles Privates Netzwerk) können zonenübergreifend bereitgestellt werden, um den Schutz vor Zonenausfällen zu ermöglichen.Azure ExpressRoute or virtual private network (VPN) gateways can be deployed across zones to guard against zone failures. Bei dieser Architektur werden zonenredundante VNET-Gateways zum Erzielen von Resilienz genutzt, anstatt einer Zonenbereitstellung basierend auf derselben Verfügbarkeitszone.This architecture uses zone-redundant VNet gateways for resiliency rather than a zonal deployment based on the same Availability Zone.

Näherungsplatzierungsgruppe:Proximity placement group. Mit dieser logischen Gruppe werden VMs, die in einer Verfügbarkeitsgruppe oder einer VM-Skalierungsgruppe bereitgestellt werden, mit einer Einschränkung versehen.This logical group places a constraint on VMs deployed in an availability set or a Virtual Machine Scale Set. Für eine Näherungsplatzierungsgruppe wird meist die „Zusammenstellung“ (Co-location) genutzt. Dies bedeutet, dass virtuelle Computer in demselben Rechenzentrum angeordnet sind, um die Anwendungslatenz zu verringern.A proximity placement group favors colocation, meaning that virtual machines reside in the same datacenter to minimize application latency.

Netzwerksicherheitsgruppen:Network security groups. Um eingehenden, ausgehenden und subnetzinternen Datenverkehr im virtuellen Netzwerk einzuschränken, können Sie Netzwerksicherheitsgruppen (NSGs) erstellen.To restrict incoming, outgoing, and intra-subnet traffic in the virtual network, you can create network security groups (NSGs).

Anwendungssicherheitsgruppen:Application security groups. Verwenden Sie Anwendungssicherheitsgruppen anstelle von expliziten IP-Adressen, um detaillierte Netzwerksicherheitsrichtlinien basierend auf Workloads und ausgerichtet auf Anwendungen zu definieren.To define fine-grained network security policies based on workloads and centered on applications, use application security groups instead of explicit IP addresses. Sie können virtuelle Computer nach Name gruppieren und Anwendungen schützen, indem Sie Datenverkehr aus vertrauenswürdigen Segmenten Ihres Netzwerks filtern.You can group virtual machines by name and secure applications by filtering traffic from trusted segments of your network.

Gateway:Gateway. Mit einem Gateway werden einzelne Netzwerke verbunden, um Ihr lokales Netzwerk auf das Azure-VNET zu erweitern.A gateway connects distinct networks, extending your on-premises network to the Azure VNet. ExpressRoute ist der empfohlene Azure-Dienst für das Erstellen von privaten Verbindungen, die nicht über das öffentliche Internet verlaufen, aber es kann auch eine Site-to-Site-Verbindung verwendet werden.ExpressRoute is the recommended Azure service for creating private connections that do not go over the public internet, but a site-to-site connection can also be used. Konnektivitätsoptionen zur Reduzierung der Latenz sind ExpressRoute Global Reach und ExpressRoute FastPath. Sie werden weiter unten in diesem Artikel beschrieben.To reduce latency, ExpressRoute Global Reach and ExpressRoute FastPath are connectivity options discussed later in this article.

Azure Storage:Azure Storage. Dient zum Erzielen von Datenpersistenz für einen virtuellen Computer in Form einer virtuellen Festplatte (VHD).To provide data persistence for a virtual machine in the form of virtual hard disk (VHD). Die Verwendung eines verwalteten Azure-Datenträgers wird empfohlen.Azure Managed Disk is recommended.

EmpfehlungenRecommendations

Diese Architektur beschreibt eine kleine einsatzfähige Bereitstellung für die Produktion.This architecture describes a small, production-level deployment. Ihre Bereitstellung unterscheidet sich je nach Ihren geschäftlichen Anforderungen. Sie sollten diese Empfehlungen also lediglich als Ausgangsbasis betrachten.Your deployment will differ based on your business requirements, so consider these recommendations as a starting point.

Virtuelle ComputerVirtual machines

Passen Sie in Anwendungsserverpools und -clustern die Anzahl von virtuellen Computern anhand Ihrer Anforderungen an.In application server pools and clusters, adjust the number of virtual machines based on your requirements. Die Anleitung zur Planung und Implementierung von virtuellen Azure-Computern enthält Informationen über das Ausführen von SAP NetWeaver auf virtuellen Computern. Diese Informationen gelten auch für die SAP S/4HANA-Bereitstellung.The Azure Virtual Machines planning and implementation guide includes details about running SAP NetWeaver on virtual machines, and this information also applies to SAP S/4HANA deployment.

Ausführliche Informationen zur SAP-Unterstützung für die Typen virtueller Azure-Computer und die Durchsatzmetriken (SAPS) finden Sie in der SAP Note 1928533.For details about SAP support for Azure virtual machine types and throughput metrics (SAPS), see SAP Note 1928533. (Zum Zugreifen auf SAP-Hinweise müssen Sie über ein SAP Service Marketplace-Konto verfügen.) Im Artikel zum von SAP zertifizierten und unterstützten SAP HANA-Hardwareverzeichnis finden Sie eine Liste mit den zertifizierten virtuellen Azure-Computern für die HANA-Datenbank.(To access the SAP notes, you must have an SAP Service Marketplace account.) The SAP Certified and Supported SAP HANA Hardware Directory has a list of certified Azure virtual machines for the HANA database.

SAP Web DispatcherSAP Web Dispatcher

Die Web Dispatcher-Komponente wird als Lastenausgleichsmodul für SAP-Datenverkehr zwischen den SAP-Anwendungsservern verwendet.The Web Dispatcher component is used as a load balancer for SAP traffic among the SAP application servers. Zur Erzielung von Hochverfügbarkeit für SAP Web Dispatcher wird von Azure Load Balancer entweder der Failovercluster oder das parallele Web Dispatcher-Setup implementiert.To achieve high availability of the SAP Web Dispatcher, Azure Load Balancer implements either the failover cluster or the parallel Web Dispatcher setup.

Fiori-Front-End-Server (FES)Fiori Front-end Server (FES)

Bei dieser Architektur geht es um allgemeine Grundanforderungen, und es wird davon ausgegangen, dass das eingebettete Fiori-FES-Modell verwendet wird.This architecture addresses broad base requirements and assumes that the Embedded Fiori FES model is used. Alle Technologiekomponenten sind auf dem S/4-System selbst installiert. Dies bedeutet, dass jedes S/4-System über ein eigenes Fiori-Launchpad verfügt.All the technology components are installed on the S/4 system itself, meaning that each S/4 system has its own Fiori Launchpad. Die Einrichtung der Hochverfügbarkeit für dieses Bereitstellungsmodell entspricht dem Verfahren des S/4-Systems. Es sind keine zusätzlichen Clusteringschritte oder virtuellen Computer erforderlich.The high availability setup for this deployment model is that of the S/4 system-no additional clustering or virtual machines are required. Aus diesem Grund ist die FES-Komponente im Architekturdiagramm nicht dargestellt.That's why the architecture diagram does not show the FES component.

Im Dokument SAP Fiori: Bereitstellungsoptionen und Empfehlungen für die Systemlandschaft werden die primären Bereitstellungsoptionen (eingebettet oder Hub) beschrieben. Diese richten sich nach dem jeweiligen Szenario.The SAP Fiori Deployment Options and System Landscape Recommendations document describes the primary deployment options-either embedded or hub, depending on the scenarios. Zur Erzielung einer Vereinfachung und der gewünschten Leistung sind die Softwarereleases zwischen den Fiori-Technologiekomponenten und den S/4-Anwendungen eng miteinander gekoppelt, sodass eine Hubbereitstellung nur für wenige Anwendungsfälle geeignet ist.In achieving simplification and performance, the software releases between the Fiori technology components and the S/4 applications are tightly coupled, making a hub deployment fitting for only a few, narrow use cases.

Bei Verwendung der FES-Hubbereitstellung ist FES eine Add-On-Komponente für den klassischen SAP NetWeaver-ABAP-Stapel.If you use the FES hub deployment, the FES is an add-on component to the classic SAP NetWeaver ABAP stack. Richten Sie die Hochverfügbarkeit genauso ein, wie Sie beim Schützen eines ABAP-Anwendungsstapels mit drei Ebenen und Cluster- oder Multihostfunktion vorgehen: mit einer Standbyserver-Datenbankschicht, ASCS-Clusterschicht mit Hochverfügbarkeits-NFS für gemeinsamen Speicher und mindestens zwei Anwendungsservern.Set up high availability in the same way you protect a three-tier ABAP application stack with clustered or multi-host capability-with a standby server database layer, clustered ASCS layer with high availability NFS for shared storage, and at least two application servers. Für den Lastenausgleich des Datenverkehrs wird ein Paar mit gruppierten oder parallelen Web Dispatcher-Instanzen verwendet.Traffic is load-balanced via a pair of either clustered or parallel Web Dispatchers.

AnwendungsserverpoolApplication servers pool

Zum Verwalten von Anmeldungsgruppen für ABAP-Anwendungsserver wird häufig die SMLG-Transaktion genutzt, um den Lastenausgleich für Anmeldungsbenutzer durchzuführen (SM61 für Batchservergruppen, RZ12 für RFC-Gruppen usw.).To manage logon groups for ABAP application servers, it's common to use the SMLG transaction to load-balance logon users, SM61 for batch server groups, RZ12 for RFC groups, and so on. Bei diesen Transaktionen wird die Lastenausgleichsfunktion auf dem Nachrichtenserver von Central Services genutzt, um eingehende Sitzungen oder Workloads auf SAP-Anwendungsserverpools für SAPGUIs und RFC-Datenverkehr zu verteilen.These transactions use the load-balancing capability within the message server of the Central Services to distribute incoming sessions or workload among SAP application servers pool for SAPGUIs and RFC traffic.

SAP Central Services-ClusterSAP Central Services cluster

Central Services kann auf einem einzelnen virtuellen Computer bereitgestellt werden, wenn die Azure-SLA zur Verfügbarkeit von Einzelinstanz-VMs für Ihre Anforderungen geeignet ist.Central Services can be deployed to a single virtual machine when the Azure single-instance VM availability SLA meets your requirement. Allerdings wird der virtuelle Computer zu einem potenziellen Single Point of Failure (SPOF) für die SAP-Umgebung.However, the virtual machine becomes a potential single point of failure (SPOF) for the SAP environment. Für eine hoch verfügbare Central Services-Bereitstellung werden der Azure NetApp Files-Dienst und ein Central Services-Cluster verwendet.For a highly available Central Services deployment, the Azure NetApp Files service and a Central Services cluster are used.

Alternativ kann eine NFS-Dateifreigabe für freigegebenen Speicher eines Linux-Clusters verwendet werden.Alternately, an NFS file share can be used for the Linux cluster shared storage.

Bei einer Azure-Bereitstellung stellen die Anwendungsserver eine Verbindung mit der hoch verfügbaren Central Services-Instanz her, indem die virtuellen Hostnamen von Central Services oder der ERS-Dienste verwendet werden.On an Azure deployment, the application servers connect to the highly available Central Services through the virtual host names of the Central Services or ERS services. Diese Hostnamen werden der Cluster-Front-End-IP-Konfiguration des Lastenausgleichs zugewiesen.These host names are assigned to the cluster frontend IP configuration of the load balancer. Eine Azure Load Balancer-Instanz unterstützt mehrere Front-End-IPs, sodass die virtuellen IPs (VIPs) von Central Services und ERS an einen Lastenausgleich gebunden werden können.An Azure Load Balancer supports multiple frontend IPs, so both the Central Services and ERS virtual IPs (VIPs) can be bound to one load balancer.

Die Unterstützung der ASCS-Multi-SID-Installation in Azure ist jetzt vorhanden.Linux cluster support for ASCS multi-SIDs installation on Azure is now supported. Weniger Cluster führen zu einer Vereinfachung der SAP-Landschaft.Fewer clusters help to simplify the SAP landscape.

VerfügbarkeitsgruppenAvailability sets

Verfügbarkeitsgruppen verteilen Server auf verschiedene physische Infrastruktur und aktualisieren Gruppen, um die Verfügbarkeit des Diensts zu verbessern.Availability sets distribute servers to different physical infrastructure and update groups to improve service availability. Ordnen Sie virtuelle Computer, die dieselbe Rolle ausführen, in einer Verfügbarkeitsgruppe an, um vor Ausfallzeiten aufgrund von Wartungsvorgängen für die Azure-Infrastruktur zu schützen und Vereinbarungen zum Servicelevel (SLAs) zu erfüllen.Put virtual machines that perform the same role into an availability set to help guard against downtime caused by Azure infrastructure maintenance and to meet service-level agreements (SLAs). Für die höhere SLA sind mindestens zwei virtuelle Computer pro Verfügbarkeitsgruppe erforderlich.Two or more virtual machines per availability set are required to get the higher SLA.

Alle virtuellen Computer in einer Gruppe müssen dieselbe Rolle ausführen.All virtual machines in a set must perform the same role. Mischen Sie keine Server mit unterschiedlichen Rollen in derselben Verfügbarkeitsgruppe.Do not mix servers of different roles in the same availability set. Ordnen Sie beispielsweise keinen ASCS-Knoten gemeinsam mit den Anwendungsservern in derselben Verfügbarkeitsgruppe an.For example, don't place an ASCS node in the same availability set with application servers.

Sie können Azure-Verfügbarkeitsgruppen in Azure-Verfügbarkeitszonen anordnen, wenn Sie eine Näherungsplatzierungsgruppe verwenden.You can deploy Azure availability sets within Azure Availability Zones when you use a proximity placement group.

NetzwerkNetworking

Für diese Architektur wird eine Hub-Spoke-Topologie genutzt, bei der das Hub-VNET als zentraler Verbindungspunkt für ein lokales Netzwerk dient.This architecture uses a hub-spoke topology, where the hub VNet acts as a central point of connectivity to an on-premises network. Die „Speichen“ (Spokes) sind VNETs, die eine Peeringverbindung mit dem Hub herstellen und zur Isolation von Workloads verwendet werden können.The spokes are VNets that peer with the hub, and they can be used to isolate workloads. Der Datenverkehr wird über eine Gatewayverbindung zwischen dem lokalen Rechenzentrum und dem Hub weitergeleitet.Traffic flows between the on-premises datacenter and the hub through a gateway connection.

Netzwerkschnittstellenkarten (NICs)Network interface cards (NICs)

In herkömmlichen lokalen SAP-Bereitstellungen sind mehrere NICs pro Computer implementiert, um administrativen Datenverkehr von Geschäftsdatenverkehr zu trennen.Traditional on-premises SAP deployments implement multiple NICs per machine to segregate administrative traffic from business traffic. In Azure ist das VNET ein softwaredefiniertes Netzwerk, in dem der gesamte Datenverkehr über dasselbe Netzwerkfabric gesendet wird.On Azure, the VNet is a software-defined network that sends all traffic through the same network fabric. Daher ist die Nutzung von mehreren NICs aus Leistungssicht nicht erforderlich.Therefore, the use of multiple NICs is unnecessary for performance considerations. Wenn Ihre Organisation den Datenverkehr aber aufteilen muss, können Sie mehrere NICs pro virtuellem Computer bereitstellen, jede NIC mit einem anderen Subnetz verbinden und dann Netzwerksicherheitsgruppen (NSGs) verwenden, um verschiedene Zugriffssteuerungsrichtlinien zu erzwingen.However, if your organization needs to segregate traffic, you can deploy multiple NICs per virtual machine, connect each NIC to a different subnet, and then use NSGs to enforce different access control policies.

Für Azure-NICs wird die Verwendung mehrerer IP-Adressen unterstützt. Dies ermöglicht die von SAP empfohlene Vorgehensweise, bei der virtuelle Hostnamen für Installationen genutzt werden. Dies ist in SAP-Hinweis 962955 beschrieben.Azure NICs support multiple IPs, which supports the SAP recommended practice of using virtual host names for installations as outlined in SAP note 962955. (Zum Zugreifen auf SAP-Hinweise müssen Sie über ein SAP Service Marketplace-Konto verfügen.)(To access the SAP notes, you must have an SAP Service Marketplace account.)

Subnetze und NetzwerksicherheitsgruppenSubnets and NSGs

In dieser Architektur wird der Adressraum des VNET in Subnetze unterteilt.This architecture subdivides the VNet address space into subnets. Jedes Subnetz kann einer Netzwerksicherheitsgruppe (NSG) zugeordnet werden, in der die Zugriffsrichtlinien für das Subnetz definiert sind.Each subnet can be associated with an NSG that defines the access policies for the subnet. Platzieren Sie Anwendungsserver in einem separaten Subnetz, sodass Sie diese leichter schützen können, indem Sie die Sicherheitsrichtlinien des Subnetzes und nicht die einzelnen Server verwalten.Place application servers on a separate subnet so you can secure them more easily by managing the subnet security policies, rather than the individual servers.

Bei der Zuordnung zu einem Subnetz gilt eine NSG für alle Server des Subnetzes und ermöglicht die detaillierte Steuerung der Server.When associated with a subnet, an NSG applies to all the servers within the subnet and offers fine-grained control over the servers. Verwenden Sie für die Einrichtung das Portal, PowerShell oder die Azure CLI.Set them up using the portal, PowerShell, or Azure CLI.

ExpressRoute Global ReachExpressRoute Global Reach

Wenn Ihre Netzwerkumgebung zwei oder mehr ExpressRoute-Leitungen enthält, ist eine Option zum Reduzieren von Netzwerkhops und Verringern der Latenz die Verwendung von ExpressRoute Global Reach.If your network environment includes two or more ExpressRoute circuits, an option to reduce network hops and lower latency is to use ExpressRoute Global Reach. Dies ist eine Einrichtung eines Peerings der BGP-Route (Border Gateway Protocol) zwischen zwei oder mehr ExpressRoute-Leitungen zur Überbrückung von zwei ExpressRoute-Routingdomänen.This is a Border Gateway Protocol (BGP) route peering setup between two or more ExpressRoute circuits for bridging two ExpressRoute routing domains. Mit Global Reach wird die Latenz verringert, wenn Netzwerkdatenverkehr mehr als eine ExpressRoute-Leitung durchläuft. Dies ist derzeit nur für das private Peering in ExpressRoute-Leitungen verfügbar.Global Reach lowers latency when network traffic traverses more than one ExpressRoute circuit and is currently available only for private peering on ExpressRoute circuits.

Im Moment sind keine Netzwerk-Zugriffssteuerungslisten (ACLs) oder anderen Attribute vorhanden, die in Global Reach geändert werden können. Dies bedeutet, dass alle Routen, die von einer bestimmten ExpressRoute-Leitung (lokal oder Azure) ermittelt werden, über das Leitungspeering für die andere ExpressRoute-Leitung angekündigt werden.At this time, there are no network access control list (ACLs) or other attributes that can be changed in Global Reach, which means that all routes learned by a given ExpressRoute circuit (from on-premises and Azure) are advertised across the circuit peering to the other ExpressRoute circuit. Wir empfehlen Ihnen, die Filterung des Netzwerkdatenverkehrs lokal einzurichten, um den Zugriff auf die Ressourcen zu beschränken.It is recommended to establish network traffic filtering on-premises to restrict access to resources.

ExpressRoute FastPathExpressRoute FastPath

FastPath wird auch als Microsoft Edge Exchange (MSEE) v2 bezeichnet und dient zum Implementieren von MSEE am Einstiegspunkt des Azure-Netzwerks.Also known as Microsoft Edge Exchange (MSEE) v2, FastPath implements MSEE at the entry point of the Azure network. Hiermit wird die Anzahl von Netzwerkhops für die meisten Datenpakete reduziert.It reduces network hops for most data packets. Mit FastPath wird die Netzwerklatenz verringert und die Anwendungsleistung verbessert, und es ist die Standardeinstellung für neue ExpressRoute-Verbindungen mit Azure.FastPath lowers network latency, improves application performance, and is the default for new ExpressRoute connections to Azure.

Aktivieren Sie FastPath für vorhandene ExpressRoute-Leitungen über den Azure-Support.For existing ExpressRoute circuits, activate FastPath with Azure support.

FastPath unterstützt kein VNET-Peering.FastPath does not support VNet peering. Wenn Sie für andere VNETs ein Peering mit dem VNET eingerichtet haben, das mit ExpressRoute verbunden ist, wird der für die anderen Spoke-VNETs bestimmte Netzwerkdatenverkehr aus Ihrem lokalen Netzwerk weiterhin an das VNET-Gateway gesendet.If you have other VNets peered with the one that is connected to ExpressRoute, the network traffic from your on-premises network to the other spoke VNets will continue to be sent to the VNet gateway. Die Problemumgehung besteht darin, alle VNETs direkt mit der ExpressRoute-Leitung zu verbinden.The workaround is to connect all the VNets to the ExpressRoute circuit directly.

Load BalancerLoad balancers

SAP Web Dispatcher verwaltet den Lastenausgleich von HTTP(S)-Datenverkehr in einem Pool mit SAP-Anwendungsservern.The SAP Web Dispatcher handles load balancing of HTTP(S) traffic to a pool of SAP application servers. Dieser Softwarelastenausgleich verfügt über Anwendungsschichtdienste (Schicht 7 im ISO-Netzwerkmodell), mit denen die SSL-Beendigung (Secure Sockets Layer) und andere Abladungsfunktionen durchgeführt werden können.This software load balancer offers application layer services (referred to as layer 7 in the ISO networking model) capable of Secure Sockets Layer (SSL) termination and other offloading functions.

Azure Load Balancer ist ein Dienst auf der Netzwerkübertragungsschicht (Schicht 4), mit dem Datenverkehr mit einem 5-Tupel-Hash aus den Datenströmen ausgeglichen wird (basierend auf Quell-IP, Quellport, Ziel-IP, Zielport und Protokolltyp).Azure Load Balancer is a network transmission layer service (layer 4), which balances traffic by a 5-tuples hash from the data streams (based on source IP, source port, destination IP, destination port, and protocol type). Dieser Dienst wird in Clustersetups genutzt, um Datenverkehr an die primäre Dienstinstanz oder bei einem Fehler an den fehlerfreien Knoten zu leiten.It's used in cluster setups to direct traffic to the primary service instance or the healthy node in case of a fault. Wir empfehlen Ihnen, Azure Load Balancer Standard für alle SAP-Szenarien zu verwenden.We recommend using Azure Standard Load Balancer for all SAP scenarios.

Für Datenverkehr von SAP GUI-Clients, die sich über das DIAG-Protokoll oder RFC (Remote Function Calls) mit einem SAP-Server verbinden, verteilt der Central Services-Nachrichtenserver die Last über SAP-Anwendungsserver-Anmeldungsgruppen.For traffic from SAP GUI clients connecting an SAP server via DIAG protocol or Remote Function Calls (RFC), the Central Services message server balances the load through SAP application server logon groups. Es ist kein zusätzliches Lastenausgleichsmodul erforderlich.No additional load balancer is needed.

Azure StorageAzure Storage

Einige Kunden nutzen den Standardspeicher für ihre Anwendungsserver.Some customers use standard storage for their application servers. Da verwaltete Standarddatenträger nicht unterstützt werden, wie in SAP-Hinweis 1928533 beschrieben ist, empfehlen wir für alle Fälle die Verwendung von Premium Azure Managed Disks.Because standard managed disks are not supported, as stated in SAP note 1928533, we recommend using Premium Azure Managed Disks in all cases. Beachten Sie, dass durch ein vor Kurzem durchgeführtes Update von SAP-Hinweis 2015553 die Verwendung von HDD Standard-Speicher und SSD Standard-Speicher für einige spezielle Anwendungsfälle nicht mehr möglich ist.Note that a recent update to SAP note 2015553 excludes the use of Standard HDD Storage and Standard SSD Storage for a few specific use cases.

Da Anwendungsserver keine geschäftlichen Daten hosten, können Sie auch die kleineren P4- und P6-Premium-Datenträger verwenden, um die Kosten zu reduzieren und bei einer zentralen Installation des SAP-Stapels von der SLA für Einzelinstanz-VMs profitieren.Because application servers do not host any business data, you can also use the smaller P4 and P6 Premium disks to help minimize cost and benefit from the single instance VM SLA in case of a central SAP stack installation.

Azure Storage wird auch vom Cloudzeugen verwendet, um das Quorum mit einem Gerät in einer Azure-Remoteregion außerhalb der primären Region zu verwalten, in der sich der Cluster befindet.Azure Storage is also used by Cloud Witness to maintain quorum with a device in a remote Azure region, away from the primary region where the cluster resides.

Für den Sicherungsdatenspeicher empfiehlt es sich, die Azure-Zugriffsebenen „Kalt und „Archiv“ zu verwenden.For the backup data store, we recommend using Azure cool and archive access tiers. Diese Speicherebenen sind kostengünstige Möglichkeiten, langlebige Daten zu speichern, auf die eher selten zugegriffen wird.These storage tiers are cost-effective ways to store long-lived data that is infrequently accessed.

Mit SSD Ultra-Datenträgern wird die Datenträgerlatenz deutlich reduziert, und für Anwendungen mit hohen Leistungsanforderungen und die SAP-Datenbankserver ergeben sich Vorteile.Ultra SSDs greatly reduce disk latency and benefit performance-critical applications and the SAP database servers.

Überlegungen zur LeistungPerformance considerations

SAP-Anwendungsserver kommunizieren ständig mit den Datenbankservern.SAP application servers carry on constant communications with the database servers. Für Anwendungen mit hohen Leistungsanforderungen, die auf einer beliebigen Datenbankplattform ausgeführt werden, einschließlich SAP HANA, sollten Sie die Schreibbeschleunigung für das Protokollvolume aktivieren, um die Latenz der Protokollschreibvorgänge zu verbessern.For performance-critical applications running on any database platforms, including SAP HANA, enable Write Accelerator (WA) for the log volume to improve log write latency. Die Schreibbeschleunigung ist für VMs der M-Serie verfügbar.WA is available for M-series VMs.

Um die serverübergreifende Kommunikation zu optimieren, verwenden Sie den beschleunigten Netzwerkbetrieb.To optimize inter-server communications, use Accelerated Networking. Diese Option ist nur für unterstützte virtuelle Computer verfügbar, z. B. D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 und Ms/Mms.This option is available only for supported virtual machines, including D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2, and Ms/Mms.

Ausführliche Informationen zu den Leistungsanforderungen von SAP HANA finden Sie unter SAP-Hinweis 1943937: Tool für die Überprüfung der Hardwarekonfiguration (für den Zugriff ist ein Konto für SAP Service Marketplace erforderlich).For details about SAP HANA performance requirements, see SAP note 1943937 - Hardware Configuration Check Tool (SAP Service Marketplace account required for access).

Zur Erreichung eines hohen Durchsatzes in Bezug auf IOPS und die Datenträger-Bandbreite gelten für das Azure-Speicherlayout die gängigen Vorgehensweisen zur Leistungsoptimierung für Speichervolumes.To achieve high IOPS and disk bandwidth throughput, the common practices in storage volume performance optimization apply to Azure storage layout. Wenn beispielsweise mehrere Datenträger kombiniert werden, um ein Stripeset-Datenträgervolume zu erstellen, verbessert sich die E/A-Leistung.For example, combining multiple disks together to create a striped disk volume improves IO performance. Eine Aktivierung des Lesecaches für Speicherinhalte, die sich in unregelmäßigen Abständen ändern, bewirkt eine höhere Geschwindigkeit beim Datenabruf.Enabling the read cache on storage content that changes infrequently enhances the speed of data retrieval. Sehen Sie sich auch die Empfehlungen zu Speicherkonfigurationen für unterschiedliche VM-Größen bei der Ausführung von SAP HANA an.See also recommendations about storage configurations for various virtual machine sizes when running SAP HANA.

Ultra-Datenträger stellen eine neue Generation von Speicher dar, um hohe IOPS-Anforderungen und die Anforderungen an die Übertragungsbandbreite von Anwendungen, z. B. SAP HANA, zu erfüllen.Ultra disk is a new generation of storage to meet intensive IOPS and the transfer bandwidth demands of applications such as SAP HANA. Sie können die Leistung von Ultra-Datenträgern dynamisch ändern und Metriken wie IOPS und MB/s separat konfigurieren, ohne Ihren virtuellen Computer neu zu starten.You can dynamically change the performance of ultra disks and independently configure metrics like IOPS and MB/s without rebooting your virtual machine. Falls SSD Ultra-Datenträger verfügbar sind, wird die Verwendung dieser Datenträger anstelle von WA empfohlen.When available, Ultra SSD is recommended in place of WA.

Einige SAP-Anwendungen müssen häufig mit der Datenbank kommunizieren.Some SAP applications require frequent communication with the database. Die Netzwerklatenz zwischen der Anwendung und den Datenbankschichten kann sich aufgrund der Nähe negativ auf die Anwendungsleistung auswirken.Network latency between the application and database layers, due to proximity distance, can adversely impact application performance. Bei Azure-Näherungsplatzierungsgruppen wird eine Platzierungseinschränkung für virtuelle Computer festgelegt, die in Verfügbarkeitsgruppen bereitgestellt werden.Azure proximity placement groups set a placement constraint for virtual machines deployed in availability sets. Im logischen Konstrukt einer Gruppe haben die „Zusammenstellung“ (Co-location) und die Leistung Vorrang vor Skalierbarkeit, Verfügbarkeit und Kosten.Within the logical construct of a group, colocation and performance are favored over scalability, availability, and cost. Mit Näherungsplatzierungsgruppen kann die Benutzerfreundlichkeit für die meisten SAP-Anwendungen deutlich verbessert werden, und Skripts und Hilfsprogramme sind auf GitHub verfügbar.Proximity placement groups can greatly improve the user experience for most SAP applications, and scripts and utilities are available on GitHub.

Wir raten von der Platzierung von virtuellen Netzwerkgeräten (Network Virtual Appliances, NVAs) zwischen der Anwendung und den Datenbankschichten für SAP-Anwendungsstapel ab. Der Grund ist, dass es bei dieser Vorgehensweise zu einer erheblich längeren Verarbeitungsdauer für Pakete und zu einer inakzeptabel langsamen Anwendungsleistung kommt.We advise against the placement of any network virtual appliance (NVA) in between the application and the database layers for any SAP application stack, because this practice introduces significant data packets processing time and unacceptably slows application performance.

Wir empfehlen Ihnen auch, beim Bereitstellen von Ressourcen mit Verfügbarkeitszonen die Leistung zu berücksichtigen, um die Dienstverfügbarkeit zu verbessern. Dies ist weiter unten in diesem Artikel beschrieben.We also recommend you consider performance when deploying resources with Availability Zones, which can enhance service availability as described later in this article. Erwägen Sie, zwischen allen Zonen einer Zielregion ein eindeutiges Netzwerklatenzprofil zu erstellen.Consider creating a clear network latency profile between all zones of a target region. Dies erleichtert Ihnen die Entscheidung über die Platzierung von Ressourcen mit dem Ziel, die Latenz zwischen den Zonen möglichst gering zu halten.This helps you decide on the resource placement for minimum latency between zones. Führen Sie zum Erstellen dieses Profils einen Test durch, indem Sie in jeder Zone kleinere virtuelle Computer bereitstellen.To create this profile, run a test by deploying small virtual machines in each zone. Empfohlene Tools für den Test sind beispielsweise PsPing und Iperf.Recommended tools for the test include PsPing and Iperf. Entfernen Sie diese virtuellen Computer wieder, nachdem Sie die Tests durchgeführt haben.After testing, remove these virtual machines. Das Tool zum Testen der Netzwerklatenz von öffentlichen Domänen ist als Hilfe für Sie ebenfalls verfügbar.The public domain network latency test tool is also available for your convenience.

Überlegungen zur SkalierbarkeitScalability considerations

Auf der SAP-Anwendungsschicht sind in Azure viele verschiedene VM-Größen für zentrales Hochskalieren und horizontales Hochskalieren verfügbar. Eine umfassende Liste finden Sie im SAP-Hinweis 1928533: „SAP Applications on Azure: Supported Products and Azure VM Types“ (SAP-Hinweis 1928533 – SAP-Anwendungen in Azure: Unterstützte Produkte und Azure-VM-Typen).At the SAP application layer, Azure offers a wide range of virtual machine sizes for scaling up and scaling out. For an inclusive list, see SAP Note 1928533 - SAP Applications on Azure: Supported Products and Azure VM types (SAP Service Marketplace account required for access). Da im Laufe der Zeit weitere VM-Typen zertifiziert werden, können Sie mit derselben Cloudbereitstellung hoch- oder herunterskalieren.As we continue to certify more virtual machines types, you can scale up or down in the same cloud deployment.

Auf der Datenbankschicht werden mit dieser Architektur SAP HANA S/4-Anwendungen auf virtuellen Azure-Computern ausgeführt, die schnell auf bis zu 6 Terabyte (TB) hochskaliert werden können.At the database layer, this architecture runs SAP HANA S/4 applications on Azure virtual machines that can scale up to 6 terabytes (TB) in one instance. Wenn Ihre Workload die maximale VM-Größe überschreitet, können Sie die von Microsoft angebotenen großen Azure-Instanzen für SAP HANA nutzen. Bei dieser Option liegt die Grenze bei weit über 12 TB RAM.If your workload exceeds the maximum virtual machine size, Microsoft offers Azure Large Instances for SAP HANA, an option that far exceeds the 12 TB RAM cap. Bei Revision 4 sind diese physischen Server zusammen in einem Microsoft Azure-Rechenzentrum angeordnet und ermöglichen zum Zeitpunkt der Erstellung dieses Dokuments bis zu 24 TB Speicherkapazität für eine einzelne Instanz.Rev. 4 of these physical servers are located in a Microsoft Azure datacenter and, as of this writing, provide up to 24 TB of memory capacity for a single instance. Es ist auch eine Konfiguration mit mehreren Knoten möglich. Sie verfügt über eine Gesamtspeicherkapazität von bis zu 24 TB für OLTP-Anwendungen (Onlinetransaktionsverarbeitung) und 60 TB für OLAP-Anwendungen (Analytische Onlineverarbeitung).A multi-node configuration is also possible with a total memory capacity of up to 24 TB for online transaction processing (OLTP) applications and 60 TB for online analytical processing (OLAP) applications.

Überlegungen zur VerfügbarkeitAvailability considerations

Ressourcenredundanz ist das allgemeine Thema bei hochverfügbaren Infrastrukturlösungen.Resource redundancy is the general theme in highly available infrastructure solutions. Für Unternehmen mit weniger strengen SLAs ist für virtuelle Azure-Einzelinstanzcomputer mit Premium-Datenträgern eine Betriebszeit-SLA verfügbar.For enterprises that have a less stringent SLA, single-instance Azure virtual machines with premium disks offer an uptime SLA. Wenn redundante Ressourcen in einer Verfügbarkeitsgruppe oder übergreifend in Verfügbarkeitszonen bereitgestellt werden, erhöht sich die Dienstverfügbarkeit.When redundant resources are deployed in an availability set or across Availability Zones, the service availability is elevated.

Bei dieser verteilten Installation der SAP-Anwendung wird die Basisinstallation repliziert, um Hochverfügbarkeit zu erzielen.In this distributed installation of the SAP application, the base installation is replicated to achieve high availability. Der Entwurf für die Hochverfügbarkeit variiert für jede Ebene der Architektur.For each layer of the architecture, the high availability design varies.

Web Dispatcher auf AnwendungsserverschichtWeb Dispatcher in the application servers tier

Hochverfügbarkeit wird über redundante Web Dispatcher-Instanzen erzielt.High availability is achieved with redundant Web Dispatcher instances. Informationen hierzu finden Sie in der SAP-Dokumentation unter SAP Web Dispatcher.See the SAP Web Dispatcher in the SAP documentation.

Central Services auf AnwendungsserverschichtCentral Services in the application servers tier

Für Hochverfügbarkeit von Central Services auf virtuellen Azure Linux-Computern wird die entsprechende Hochverfügbarkeitserweiterung für die ausgewählte Linux-Distribution verwendet, und die gemeinsam genutzten Dateisysteme werden in hoch verfügbarem NFS-Speicher angeordnet, indem SUSE DRDB oder Red Hat GlusterFS genutzt wird.For high availability of Central Services on Azure Linux virtual machines, the appropriate high availability extension for the selected Linux distribution is used, and the shared file systems are placed on highly available NFS storage, using SUSE DRDB or Red Hat GlusterFS. Azure NetApp Files kann auch verwendet werden, um ein hoch verfügbares NFS bereitzustellen, damit kein NFS-Cluster benötigt wird. Darüber hinaus können hiermit die SAP HANA-Daten- und -Protokolldateien gehostet werden, um die Verwendung des Bereitstellungsmodells HANA mit horizontaler Skalierung mit Standbyknoten zu ermöglichen.Azure NetApp Files can also be used to provide a highly available NFS, eliminating the need for a NFS cluster, and it can host the SAP HANA data and log files, which enables the HANA scale-out deployment model with standby nodes.

Für Azure NetApp Files wird auch die Hochverfügbarkeit von ASCS auf SUSE Linux Enterprise Servers (SLES) unterstützt.Azure NetApp Files also supports high availability of ASCS on SUSE Linux Enterprise Servers (SLES). Ausführliche Informationen zu ASCS mit RHEL-Hochverfügbarkeit (Red Hat Enterprise Linux) finden Sie unter SIOS DataKeeper.For ASCS on Red Hat Enterprise Linux (RHEL) HA, see the SIOS DataKeeper information for details. Der verbesserte Azure Fence-Agent ist sowohl für SUSE als auch für Red Hat verfügbar und ermöglicht ein deutlich schnelleres Failover von Diensten als die vorherige Version des Agents.The improved Azure Fence Agent is available for both SUSE and Red Hat and provides significantly faster service failover compared to the previous version of the agent.

Dank der Einführung der Standard-SKU für Azure Load Balancer können Sie jetzt einfach den Hochverfügbarkeitsport aktivieren und vermeiden, dass Lastenausgleichsregeln für viele SAP-Ports konfiguriert werden müssen.With the introduction of the Standard Azure Load Balancer SKU, you can now simply enable the high availability port and avoid the need to configure load balancing rules for many SAP ports. Indem Sie Lastenausgleichsmodule allgemein einrichten (lokal oder in Azure), können Sie durch die Aktivierung des Features „Direct Server Return“ (auch als Floating IP oder DSR bezeichnet) erreichen, dass der Lastenausgleich bei Serverantworten auf Clientanfragen umgangen wird.Also, in setting up load balancers in general, whether it's on-premises or on Azure, enabling the Direct Server Return (also known as Floating IP or DSR) feature allows for server responses to client inquiries to bypass the load balancer. Diese direkte Verbindung verhindert, dass der Lastenausgleich zum Engpass auf dem Datenübertragungspfad wird.This direct connection keeps the load balancer from becoming the bottleneck in the path of data transmission. Für die SAP ASCS- und HANA DB-Cluster empfehlen wir, DSR zu aktivieren.For the SAP ASCS and HANA DB clusters, we recommend enabling DSR. Wenn für virtuelle Computer im Back-End-Pool die öffentliche Konnektivität in ausgehender Richtung erforderlich ist, müssen zusätzliche Konfigurationsschritte ausgeführt werden.If virtual machines in the backend pool require public outbound connectivity, additional configuration is required.

Für Datenverkehr von SAP GUI-Clients, die sich über das DIAG-Protokoll oder RFC mit einem SAP-Server verbinden, verteilt der Central Services-Nachrichtenserver die Last über SAP-Anwendungsserver-Anmeldungsgruppen.For traffic from SAP GUI clients connecting to an SAP server via DIAG protocol or RFC, the Central Services message server balances the load through SAP application server logon groups. Es ist kein zusätzliches Lastenausgleichsmodul erforderlich.No additional load balancer is needed.

Anwendungsserver auf der AnwendungsserverschichtApplication servers in the application servers tier

Hochverfügbarkeit wird erzielt, indem für Datenverkehr in einem Pool mit Anwendungsservern ein Lastenausgleich durchgeführt wird.High availability is achieved by load balancing traffic within a pool of application servers.

DatenbankschichtDatabase tier

Diese Referenzarchitektur beschreibt ein hochverfügbares SAP HANA-Datenbanksystem, das aus zwei virtuellen Azure-Computern besteht.This reference architecture depicts a highly available SAP HANA database system consisting of two Azure virtual machines. Die native Systemreplikationsfunktion der Datenbankschicht bietet entweder manuelles oder automatisches Failover zwischen replizierten Knoten:The database tier's native system replication feature provides either manual or automatic failover between replicated nodes:

  • Stellen Sie für das manuelle Failover mehrere HANA-Instanzen bereit, und verwenden Sie die HANA-Systemreplikation (HSR).For manual failover, deploy more than one HANA instance and use HANA System Replication (HSR).

  • Verwenden Sie für automatisches Failover sowohl HSR als auch Linux HAE (High Availability Extension. Hochverfügbarkeitserweiterung) für Ihre Linux-Distribution.For automatic failover, use both HSR and Linux High Availability Extension (HAE) for your Linux distribution. Linux HAE stellt die Clusterdienste für die HANA-Ressourcen bereit, die Fehlerereignisse erkennen und das Failover von fehlerhaften Diensten auf den fehlerfreien Knoten organisieren.Linux HAE provides the cluster services to the HANA resources, detecting failure events and orchestrating the failover of errant services to the healthy node.

  • Ähnlich wie bei der Anwendungsserverschicht werden als HANA-Hochverfügbarkeitslösung für SLES normalerweise Pacemaker und SIOS LifeKeeper für RHEL bereitgestellt.Much like the application servers layer, the commonly deployed HANA high availability solution for SLES is Pacemaker and SIOS LifeKeeper for RHEL.

Bereitstellen von virtuellen Computern in VerfügbarkeitszonenDeploy virtual machines across Availability Zones

Mit Verfügbarkeitszonen kann die Dienstverfügbarkeit verbessert werden.Availability Zones can help enhance service availability. Zonen sind physisch getrennte Orte innerhalb einer bestimmten Azure-Region.Zones refer to physically separated locations within a specific Azure region. Sie werden genutzt, um die Verfügbarkeit von Workloads zu verbessern und Anwendungsdienste und virtuelle Computer vor Rechenzentrumsausfällen zu schützen.They improve workload availability and protect application services and virtual machines against datacenter outages. Virtuelle Computer in einer Zone werden so behandelt, als ob sie sich in einer einzelnen Update- oder Fehlerdomäne befinden würden.Virtual machines in a single zone are treated as if they were in a single update or fault domain. Wenn die Zonenbereitstellung ausgewählt wurde, werden die virtuellen Computer in derselben Zone auf bestmögliche Weise auf Fehler- und Upgradedomänen verteilt.When zonal deployment is selected, virtual machines in the same zone are distributed to fault and upgrade domains on a best-effort basis.

In Azure-Regionen, die dieses Feature unterstützen, sind mindestens drei Zonen verfügbar.In Azure regions that support this feature, at least three zones are available. Der maximale Abstand zwischen Rechenzentren in diesen Zonen ist aber nicht garantiert.However, the maximum distance between datacenters in these zones is not guaranteed. Für die zonenübergreifende Bereitstellung eines SAP-Systems mit mehreren Ebenen müssen Sie die Netzwerklatenz innerhalb einer Zone und für die Zielzonen kennen und wissen, wie empfindlich Ihre bereitgestellten Anwendungen in Bezug auf die Netzwerklatenz sind.To deploy a multi-tier SAP system across zones, you must know the network latency within a zone and across targeted zones, and how sensitive your deployed applications are to network latency.

Es sollten verschiedene Aspekte berücksichtigt werden, wenn Sie die Entscheidung treffen, Ressourcen in Verfügbarkeitszonen bereitzustellen, z. B.:Several considerations apply when deciding to deploy resources across Availability Zones, including:

  • Latenz zwischen virtuellen Computern innerhalb einer ZoneLatency between virtual machines within one zone.

  • Latenz zwischen virtuellen Computern in ausgewählten ZonenLatency between virtual machines across chosen zones.

  • Verfügbarkeit der gleichen Azure-Dienste (VM-Typen) in den ausgewählten ZonenAvailability of the same Azure services (virtual machine types) in the chosen zones.

Hinweis

Verfügbarkeitszonen unterstützen Hochverfügbarkeit, stellen aber keine effektive Strategie für die Notfallwiederherstellung dar.Availability Zones support high availability but are not an effective disaster recovery (DR) strategy. Der Abstand zwischen den Zonen ist zu gering.The distance between zones is too close. Regionen für die Notfallwiederherstellung sollten normalerweise mindestens 160 km von der primären Region entfernt sein.Typical DR regions should be at least 100 miles away from the primary region.

Beispiel für Aktiv/Passiv-BereitstellungActive/passive deployment example

Bei dieser Beispielbereitstellung bezieht sich der Aktiv/Passiv-Status auf den Status des Anwendungsdiensts in den Zonen.In this example deployment, the active/passive status refers to the application service state within the zones. Auf der Anwendungsschicht sind alle vier aktiven Anwendungsserver des SAP-Systems in Zone 1 enthalten.In the application layer, all four active application servers of the SAP system are in zone 1. Eine weitere Gruppe mit vier passiven Anwendungsservern wird in Zone 2 erstellt, dann aber heruntergefahren. Die Server werden nur aktiviert, wenn dies erforderlich ist.Another set of four passive application servers are built in zone 2 yet shut down, only to be activated when needed.

Die Cluster mit zwei Knoten für Central Services und die Datenbank sind auf zwei Zonen verteilt.The two-node clusters for Central Services and the database are stretched across two zones. Falls Zone 1 ausfällt, werden Central Services und die Datenbankdienste in Zone 2 ausgeführt.In the event zone 1 fails, Central Services and database services will run in zone 2. Die passiven Anwendungsserver in Zone 2 werden aktiviert.The passive application servers in zone 2 get activated. Da sich alle Komponenten dieses SAP-Systems in derselben Zone befinden, wird die Netzwerklatenz verringert.With all components of this SAP system collocated in the same zone, network latency is minimized.

Beispiel für Aktiv/Aktiv-BereitstellungActive/active deployment example

Bei einer Aktiv/Aktiv-Bereitstellung werden zwei Gruppen mit Anwendungsservern in zwei Zonen erstellt.In an active/active deployment, two sets of application servers are built across two zones. In jeder Zone sind jeweils zwei Anwendungsserver der Gruppe inaktiv (heruntergefahren).Within each zone, two in each set of application servers are inactive (shut down). Es befinden sich also in beiden Zonen aktive Anwendungsserver im Normalbetrieb.As a result, there are active application servers in both zones in normal operations.

ASCS und die Datenbankdienste werden in Zone 1 ausgeführt.The ASCS and database services run in zone 1. Die Anwendungsserver in Zone 2 verfügen aufgrund der physischen Entfernung zwischen den Zonen ggf. über eine höhere Netzwerklatenz beim Herstellen der Verbindung mit ASCS und den Datenbankdiensten.The application servers in zone 2 may have longer network latency when connecting to the ASCS and database services due to the physical distance between zones.

Wenn Zone 1 in den Offlinezustand versetzt wird, wird für ASCS und die Datenbankdienste ein Failover in Zone 2 ausgeführt.If zone 1 goes offline, the ASCS and database services will fail over to zone 2. Die ruhenden Anwendungsserver können in den Onlinezustand versetzt werden, um die vollständige Kapazität für die Anwendungsverarbeitung bereitzustellen.The dormant application servers can be brought online to provide full capacity for application processing.

Überlegungen zur NotfallwiederherstellungDisaster recovery considerations

Für jede Ebene im SAP-Anwendungsstapel wird ein anderer Ansatz genutzt, um den Schutz per Notfallwiederherstellung bereitzustellen.Every tier in the SAP application stack uses a different approach to provide DR protection.

AnwendungsserverschichtApplication servers tier

SAP-Anwendungsserver enthalten keine Geschäftsdaten.SAP application servers do not contain business data. In Azure besteht eine einfache Strategie für die Notfallwiederherstellung darin, SAP-Anwendungsserver in der sekundären Region zu erstellen und die Server dann herunterzufahren.On Azure, a simple DR strategy is to create SAP application servers in the secondary region, then shut them down. Bei Konfigurationsänderungen oder Kernel-Updates auf dem primären Anwendungsserver müssen die gleichen Änderungen auf den virtuellen Computern in der sekundären Region angewendet werden.Upon any configuration changes or kernel updates on the primary application server, the same changes must be applied to the virtual machines in the secondary region. Kopieren Sie z. B. die ausführbaren Dateien des SAP-Kernels auf die-virtuellen Computer für die Notfallwiederherstellung.For example, copy the SAP kernel executables to the DR virtual machines.

Azure Site Recovery kann auch verwendet werden, um die Notfallwiederherstellung für die Bereitstellung einer SAP NetWeaver-Anwendung mit mehreren Ebenen einzurichten.Azure Site Recovery can also be used to set up DR for a multi-tier SAP NetWeaver application deployment.

Central ServicesCentral Services

Auch bei dieser Komponente des SAP-Anwendungsstapels werden keine Geschäftsdaten beibehalten.This component of the SAP application stack also does not persist business data. Sie können einen virtuellen Computer in der Region für die Notfallwiederherstellung erstellen, um die Central Services-Rolle auszuführen.You can build a virtual machine in the DR region to run the Central Services role.

Die globalen ASCS-Hostdateien, also die Freigabe „/sapmnt“, werden normalerweise über einen hoch verfügbaren NFS-Cluster oder über Azure NetApp Files bereitgestellt.The ASCS global host files, namely the /sapmnt share, are commonly served by either a highly available NFS cluster or Azure NetApp Files. Um diesen Inhalt zu schützen, kopieren Sie ihn in den Remotedateidienst (NFS oder Azure NetApp Files), mit dem die Freigabe „/sapmnt“ für das SAP-Notfallwiederherstellungssystem bereitgestellt wird.To protect this content, copy it to the remote file service (NFS or Azure NetApp Files) that provides the /sapmnt share to the DR SAP system. Verwenden Sie rsync oder ein anderes zuverlässiges Tool zum Kopieren von Dateien.Use Rsync or any reliable file copy tools.

Azure Site Recovery unterstützt die Replikation von STONITH-Geräten, die mit iSCSI-Zielen erstellt werden.Azure Site Recovery supports the replication of STONITH devices created with iSCSI targets.

Sie können Azure Site Recovery nutzen, um die beiden Betriebssystemlaufwerke der Central Services-Server in der Region für die Notfallwiederherstellung zu replizieren.To replicate the two operating system drives of the Central Services servers to the DR region, you can use Azure Site Recovery.

Eine Schritt-für-Schritt-Anleitung finden Sie unter Entwickeln einer Notfallwiederherstellungslösung für SAP mit Azure Site Recovery.For step-by-step guidance, see Building a Disaster Recovery Solution for SAP using Azure Site Recovery.

DatenbankschichtDatabase tier

Verwenden Sie HSR für HANA-unterstützte Replikation.Use HSR for HANA-supported replication. Zusätzlich zu einem lokalen Hochverfügbarkeitssetup mit zwei Knoten unterstützt HSR mehrstufige Replikation, wobei ein dritter Knoten in einer separaten Azure-Region als fremdes Element, nicht als Bestandteil des Clusters fungiert und sich beim sekundären Replikat des geclusterten HSR-Paars als dessen Replikationsziel registriert.In addition to a local, two-node high availability setup, HSR supports multi-tier replication where a third node in a separate Azure region acts as a foreign entity, not part of the cluster, and registers to the secondary replica of the clustered HSR pair as its replication target. Auf diese Weise entsteht eine Replikationsverkettung.This forms a replication daisy chain.

Das Failover zum Notfallwiederherstellungsknoten ist ein manueller Prozess.The failover to the DR node is a manual process. Seit HANA 2.0 SPS 03 ist es möglich, eine Systemreplikation mit mehreren Zielen zu konfigurieren. Hierbei werden zusätzliche Replikate unterstützt, indem der Primärknoten asynchron in der Region für die Notfallwiederherstellung repliziert wird.Since HANA 2.0 SPS 03, it is possible to configure multitarget system replication, which supports additional replicas by replicating the primary node in the DR region asynchronously. Verwenden Sie außerdem rsync oder ein anderes Tool für die Inhaltsreplikation Ihrer Wahl, falls Sie Azure NetApp Files für Central Services oder die HANA-Datenbankschicht einsetzen.In addition, if using Azure NetApp Files for either the Central Services or the HANA database layer, use rsync or the content replication tool of choice.

Notfallwiederherstellung für gemeinsame DiensteDR for shared services

Viele IT-Dienste werden von Ihren gesamten bereitgestellten Cloudressourcen gemeinsam verwendet, z. B. Jumpboxes für die Verwaltung, cloudbasierte Verzeichnisdienste, Sicherung und Überwachungsdienste.Many IT services are shared by all your deployed cloud assets, such as administrative jumpboxes, cloud-based directory services, backup, and monitoring services. Replizieren Sie Ihre gemeinsamen Dienste in der Region für die Notfallwiederherstellung, indem Sie die Mittel des jeweiligen Diensts nutzen.Replicate your shared services into the DR region using whatever means the services provide.

Automatisierte Notfallwiederherstellung mit Azure Site RecoveryAutomated DR with Azure Site Recovery

Um Azure Site Recovery für die automatische Erstellung eines vollständig replizierten Produktionsstandorts Ihrer Originalkonfiguration zu erstellen, müssen Sie benutzerdefinierte Bereitstellungsskripts ausführen.To use Azure Site Recovery to automatically build a fully replicated production site of your original configuration, you must run customized deployment scripts. Mit Site Recovery werden die VMs beispielsweise zuerst in Verfügbarkeitsgruppen bereitgestellt. Anschließend werden Ihre benutzerdefinierten Skripts ausgeführt, um das vorhandene (vordefinierte) Lastenausgleichsmodul, für das der Back-End-Pool bereits definiert wurde, an die NIC der virtuellen Failovercomputer anzufügen.For example, Site Recovery first deploys the VMs in availability sets, then runs your custom scripts to attach the existing (pre-built) load balancer, which already has the backend pool defined, to the NIC of the failover virtual machines. Ein Beispiel für das benutzerdefinierte Skript für Site Recovery-Automatisierungs-Runbooks finden Sie auf GitHub.An example of the custom Site Recovery Automation Runbooks script is available on GitHub.

Hinweis

Bei einem regionalen Katastrophenfall, der viele Kunden in einer Region betrifft und zu einem Failover-Massenereignis führt, ist die Ressourcenkapazität der Zielregion nicht garantiert.In case of a regional disaster that affects many customers in one region and causes a mass failover event, the target region's resource capacity is not guaranteed. Wie bei allen Azure-Diensten werden auch für Site Recovery ständig Features und Funktionen hinzugefügt.Like all Azure services, Site Recovery continues to add features and capabilities. Aktuelle Informationen zur Replikation von Azure zu Azure finden Sie in der Supportmatrix.See the support matrix for the latest information about Azure-to-Azure replication.

KostenbetrachtungCost considerations

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.Use the Azure pricing calculator to estimate costs.

Weitere Informationen finden Sie im Abschnitt zu Kosten im Microsoft Azure Well-Architected Framework.For more information, see the cost section in Microsoft Azure Well-Architected Framework.

Virtuelle ComputerVirtual machines

In dieser Architektur werden virtuelle Computer mit Linux für die Logikschicht und die Datenbankschicht verwendet.This architecture uses virtual machines running Linux, for the application tier and database tier. Auf der SAP NetWeaver-Schicht werden virtuelle Windows-Computer verwendet, um SAP-Dienste und -Anwendungen auszuführen.SAP NetWeaver tier uses Windows virtual machines to run SAP services and applications. Auf der Datenbankschicht wird AnyDB als Datenbank ausgeführt, z. B. Microsoft SQL Server, Oracle oder IBM DB2.The database tier runs AnyDB as the database, such as Microsoft SQL Server, Oracle, or IBM DB2. Virtuelle Computer werden auch als Jumpboxes für die Verwaltung verwendet.Virtual machines are also used as jump boxes for management.

Im Allgemeinen gibt es für virtuelle Computer mehrere Zahlungsoptionen:There are several payment options for virtual machines in general:

Für Workloads, bei denen der Zeitpunkt des Abschlusses oder der Ressourcenverbrauch nicht vorhersehbar ist, bietet sich die nutzungsbasierte Bezahlung an.For workloads with no predictable time of completion or resource consumption, consider the Pay-as-you-go option.

Verwenden Sie Azure-Reservierungen, wenn Sie die Nutzung eines virtuellen Computers über einen Zeitraum von einem Jahr oder drei Jahren verbindlich zusagen können.Consider using Azure Reservations if you can commit to using a virtual machine over a one-year or three-year term. Mit VM-Reservierungen können die Kosten im Vergleich zu den Preisen für die nutzungsbasierte Bezahlung auf bis zu 72 Prozent gesenkt werden.VM reservations can reduce costs up to 72% compared to pay-as-you-go prices.

Verwenden Sie Azure-Spot-VMs zum Ausführen von Workloads, die unterbrochen werden können und nicht innerhalb eines vordefinierten Zeitraums oder einer SLA abgeschlossen werden müssen.Use Azure Spot VMs to run workloads that can be interrupted and do not require completion within a predetermined timeframe or an SLA. Azure stellt Spot-VMs bereit, wenn Kapazität verfügbar ist, und entfernt sie, wenn die Kapazität wieder benötigt wird.Azure deploys Spot VMs if there is available capacity and evicts when it needs the capacity back. Die Kosten für virtuelle Spot-Computer sind deutlich niedriger.Costs associated with Spot virtual machines are significantly lower. Spot-VMs bieten sich für die folgenden Workloads an:Consider Spot VMs for these workloads:

  • High-Performance Computing, Batchverarbeitungsaufträge oder visuelle RenderinganwendungenHigh-performance computing scenarios, batch processing jobs, or visual rendering applications.
  • Testumgebungen, einschließlich Continuous Integration- und Continuous Delivery-WorkloadsTest environments, including continuous integration and continuous delivery workloads.
  • Umfangreiche zustandslose AnwendungenLarge-scale stateless applications.

Weitere Informationen finden Sie unter Preise von virtuellen Linux-Computern.For more information Linux Virtual Machines Pricing.

Virtuelle Computer und VerfügbarkeitsgruppenVirtual machines and availability sets

Für alle Pools und Cluster (Web Dispatcher, SAP-Anwendungsserver, Central Services und HANA) werden die virtuellen Computer in getrennten Verfügbarkeitsgruppen gruppiert.For all pools and clusters (Web Dispatcher, SAP application servers, Central Services, and HANA) the virtual machines are grouped into separate availability sets. Für die Verfügbarkeitsgruppe fallen keine Kosten an.There is no cost for the availability set. Sie zahlen nur für jede VM-Instanz, die Sie erstellen.You only pay for each VM instance that you create.

Azure Load BalancerAzure Load Balancer

In diesem Szenario werden Azure Load Balancer-Instanzen verwendet, um Datenverkehr auf virtuelle Computer im Logikschichtsubnetz zu verteilen.In this scenario, Azure Load Balancers are used to distribute traffic to virtual machines in the application-tier subnet.

Die Gebühren werden nur anhand der Anzahl von konfigurierten Lastenausgleichsregeln und Ausgangsregeln berechnet.You are charged only for the number of configured load-balancing and outbound rules. Für NAT-Regeln für eingehenden Datenverkehr fallen keine Gebühren an.Inbound NAT rules are free. Für Load Balancer Standard fallen keine Kosten auf Stundenbasis an, wenn keine Regeln konfiguriert sind.There is no hourly charge for the Standard Load Balancer when no rules are configured.

Azure ExpressRouteAzure ExpressRoute

Bei dieser Architektur ist Azure ExpressRoute der Netzwerkdienst, der zum Erstellen von privaten Verbindungen zwischen einem lokalen Netzwerk und virtuellen Azure-Netzwerken verwendet wird.In this architecture, Azure ExpressRoute is the networking service used for creating private connections between an on-premises network and Azure virtual networks.

Alle eingehenden Datenübertragungen sind kostenlos.All inbound data transfer is free. Für alle ausgehenden Datenübertragungen wird eine vorab festgelegte Rate berechnet.All outbound data transfer is charged based on a pre-determined rate. Weitere Informationen finden Sie unter Azure ExpressRoute – Preise.See Azure ExpressRoute pricing For more info.

Aspekte der Verwaltung und des BetriebsManagement and operations considerations

BackupBackup

SAP HANA kann auf viele verschiedene Arten gesichert werden.SAP HANA data can be backed up in many ways. Nach der Migration zu Azure können Sie weiterhin alle vorhandenen Sicherungslösungen nutzen, die Sie bereits verwenden.After migrating to Azure, continue to use any existing backup solutions you already have. In Azure gibt es zwei native Ansätze für Sicherungen.Azure provides two native approaches to backup. Sie können SAP HANA auf virtuellen Computern sichern und Azure Backup auf Dateiebene verwenden.You can back up SAP HANA on virtual machines, and use Azure Backup on the file level. Azure Backup verfügt jetzt über eine BackInt-Zertifizierung von SAP.Azure Backup is now BackInt certified by SAP. Informationen hierzu finden Sie auch unter Azure Backup – Häufig gestellte Fragen.See also the Azure Backup FAQ.

Hinweis

Zum Zeitpunkt der Erstellung dieses Dokuments werden Azure-Speichermomentaufnahmen nur von HANA-Einzelcontainer-Bereitstellungen unterstützt.As of this writing, only HANA single container deployments support Azure storage snapshot.

IdentitätsverwaltungIdentity management

Verwenden Sie ein zentrales Identitätsverwaltungssystem, um den Zugriff auf Ressourcen auf allen Ebenen zu steuern:Use a centralized identity management system to control access to resources at all levels:

  • Gewähren Sie Zugriff auf Azure-Ressourcen über rollenbasierte Zugriffssteuerung.Provide access to Azure resources through role-based access control(RBAC).

  • Erteilen Sie Zugriff auf virtuelle Azure-Computer per LDAP, Azure Active Directory, Kerberos oder über ein anderes System.Grant access to Azure virtual machines through LDAP, Azure Active Directory, Kerberos, or another system.

  • Ermöglichen Sie Zugriff in den Apps selbst über die Dienste, die SAP bereitstellt, oder verwenden Sie OAuth 2.0 und Azure Active Directory.Support access within the apps themselves through the services that SAP provides, or use OAuth 2.0 and Azure Active Directory.

ÜberwachungMonitoring

Verwenden Sie Azure Monitor zum Maximieren der Verfügbarkeit und Leistung Ihrer Anwendungen und Dienste. Dies ist eine umfassende Lösung für das Sammeln, Analysieren und Reagieren auf Telemetriedaten aus Ihren cloudbasierten und lokalen Umgebungen.To maximize the availability and performance of applications and services, use Azure Monitor, a comprehensive solution for collecting, analyzing, and acting on telemetry from your cloud and on-premises environments. In Azure Monitor wird angezeigt, welche Leistung Ihre Anwendungen aufweisen. Es werden proaktiv Probleme erkannt, die sich auf die Anwendungen und die davon abhängigen Ressourcen auswirken.Azure Monitor shows how applications are performing and proactively identifies issues affecting them and the resources they depend on.

Um SAP-basierte Überwachung von Ressourcen sowie der Leistung von Diensten der SAP-Infrastruktur bereitzustellen, wird die Azure-Erweiterung zur verbesserten Überwachung für SAP verwendet.To provide SAP-based monitoring of resources and service performance of the SAP infrastructure, the Azure SAP Enhanced Monitoring extension is used. Mit dieser Erweiterung werden statistische Daten zur Azure-Überwachung in die SAP-Anwendung eingespeist, damit die Betriebssystemüberwachung und DBA Cockpit-Funktionen ermöglicht werden.This extension feeds Azure monitoring statistics into the SAP application for operating system monitoring and DBA Cockpit functions. Die erweiterte Überwachung von SAP ist eine obligatorische Voraussetzung für die Ausführung von SAP in Azure.SAP enhanced monitoring is a mandatory prerequisite to run SAP on Azure. Ausführliche Informationen hierzu finden Sie im SAP-Hinweis 2191498: „SAP on Linux with Azure: Erweiterte Überwachung“.For details, see SAP Note 2191498 – "SAP on Linux with Azure: Enhanced Monitoring". (Für den Zugriff ist ein SAP Service Marketplace-Konto erforderlich.)(SAP Service Marketplace account required for access)

SicherheitshinweiseSecurity considerations

SAP verfügt über ein eigenes Modul für die Benutzerverwaltung (Users Management Engine, UME), um den rollenbasierten Zugriff und die Autorisierung in der SAP-Anwendung und den Datenbanken zu steuern.SAP has its own Users Management Engine (UME) to control role-based access and authorization within the SAP application and databases. Ausführliche Informationen finden Sie unter SAP HANA-Sicherheit – Eine Übersicht.For details, see SAP HANA Security: An Overview.

Um zusätzliche Netzwerksicherheit zu erreichen, können Sie eine Netzwerk-DMZ implementieren, für die ein virtuelles Netzwerkgerät verwendet wird, um eine Firewall vor dem Subnetz für die Web Dispatcher- und Fiori Front-End-Server-Pools zu erstellen.For additional network security, consider implementing a network DMZ, which uses a network virtual appliance to create a firewall in front of the subnet for the Web Dispatcher and Fiori Front-End Server pools.

Um die Sicherheit der Infrastruktur zu gewährleisten, sind die Daten während der Übertragung und im Ruhezustand verschlüsselt.For infrastructure security, data is encrypted in transit and at rest. Im Abschnitt „Sicherheitshinweise“ der Anleitung Azure Virtual Machines – Planung und Implementierung für SAP NetWeaver geht es um die Netzwerksicherheit, und die Informationen gelten für S/4HANA.The "Security considerations" section of the SAP NetWeaver on Azure Virtual Machines–Planning and Implementation Guide begins to address network security and applies to S/4HANA. In diesem Artikel sind auch die Netzwerkports angegeben, die Sie in den Firewalls öffnen müssen, um die Anwendungskommunikation zu ermöglichen.The guide also specifies the network ports you must open on the firewalls to allow application communication.

Um Linux-VM-Datenträger zu verschlüsseln, können Sie Azure Disk Encryption verwenden.To encrypt Linux virtual machine disks, you can use Azure Disk Encryption. Dieser Dienst verwendet das DM-Crypt-Feature von Linux, um die Volumeverschlüsselung für die Betriebssystem- und die Daten-Datenträger bereitzustellen.It uses the DM-Crypt feature of Linux to provide volume encryption for the operating system and the data disks. Die Lösung funktioniert auch für Azure Key Vault, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement steuern und verwalten können.The solution also works with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Daten auf den VM-Datenträgern werden in Ihrem Azure-Speicher im ruhenden Zustand verschlüsselt.Data on the virtual machine disks are encrypted at rest in your Azure storage.

Für die SAP HANA-Verschlüsselung von ruhenden Daten empfehlen wir die Verwendung der nativen SAP HANA-Verschlüsselungstechnologie.For SAP HANA data-at-rest encryption, we recommend using the SAP HANA native encryption technology.

Hinweis

Vermeiden Sie es, die HANA-Verschlüsselung von ruhenden Daten mit Azure Disk Encryption auf demselben Speichervolume zu verwenden.Do not use the HANA data-at-rest encryption with Azure Disk Encryption on the same storage volume. Verwenden Sie für HANA nur die HANA Datenverschlüsselung.For HANA, use only HANA data encryption. Betriebssystem-Bootdatenträger für virtuelle Linux-Computer weisen keine Unterstützung für Azure Disk Encryption auf, und Azure Site Recovery unterstützt auch noch keine an Azure Disk Encryption angefügten Datenträger unter Linux.Also, operating system boot disks for Linux virtual machines do not support Azure Disk Encryption, nor does Azure Site Recovery yet support Azure Disk Encryption-attached data disks on Linux.

CommunitysCommunities

Communitys können Fragen beantworten und Sie beim Einrichten einer erfolgreichen Bereitstellung unterstützen.Communities can answer questions and help you set up a successful deployment. Beachten Sie Folgendes:Consider the following:

Weitere Informationen und Beispiele für SAP-Workloads, für die einige dieser Technologien verwendet werden, finden Sie in den folgenden Artikeln:See the following articles for more information and for examples of SAP workloads that use some of the same technologies: