Instalación de SAP NetWeaver de alta disponibilidad con SMB de Azure Files

  • Artículo

Microsoft y SAP ahora admiten totalmente los recursos compartidos de archivos del bloque de mensajes de servidor premium (SMB) de Azure Files. SAP Software Provisioning Manager (SWPM) 1.0 SP32 y SWPM 2.0 SP09 (y versiones posteriores) admiten el almacenamiento SMB premium de Azure Files.

Hay requisitos especiales para cambiar el tamaño de los recursos compartidos SMB premium de Azure Files. Este artículo contiene recomendaciones específicas sobre cómo distribuir cargas de trabajo, elegir un tamaño de almacenamiento adecuado y cumplir los requisitos mínimos de instalación de SMB premium de Azure Files.

Las soluciones de SAP de alta disponibilidad (HA) necesitan un recurso compartido de archivos de alta disponibilidad para hospedar directorios de sapmnt, transporte e interfaz . SMB premium de Azure Files es una solución sencilla de plataforma como servicio (PaaS) de Azure para sistemas de archivos compartidos para entornos de SAP en Windows. Puede usar SMB premium de Azure Files con conjuntos de disponibilidad y zonas de disponibilidad. También puede usar SMB premium de Azure Files para escenarios de recuperación ante desastres (DR) en otra región.

Nota:

La agrupación en clústeres de instancias de ASCS/SCS de SAP con un recurso compartido de archivos es compatible con sistemas SAP con kernel de SAP 7.22 (y versiones posteriores). Para obtener más información, consulte 2698948 de la nota de SAP.

Ajuste de tamaño y distribución de SMB premium de Azure Files para sistemas SAP

Evalúe los siguientes puntos cuando planee la implementación de SMB premium de Azure Files:

  • El nombre del recurso compartido de archivos sapmnt se puede crear una vez por cuenta de almacenamiento. Es posible crear identificadores de almacenamiento adicionales (SID) como directorios en el mismo recurso compartido /sapmnt, como /sapmnt/<SID1> y /sapmnt/<SID2>.
  • Elija un tamaño, IOPS y rendimiento adecuados. Un tamaño sugerido para el recurso compartido es de 256 GB por SID. El tamaño máximo de un recurso compartido es de 5120 GB.
  • Es posible que SMB premium de Azure Files no funcione bien para recursos compartidos sapmnt muy grandes con más de 1 millón de archivos por cuenta de almacenamiento.  Los clientes que tienen millones de trabajos por lotes que crean millones de archivos de registro de trabajos deben reorganizarlos periódicamente, como se describe en la nota de SAP 16083. Si es necesario, puede mover o archivar registros de trabajos antiguos a otro recurso compartido de archivos SMB premium de Azure Files. Si espera que sapmnt sea muy grande, considere otras opciones (como Azure NetApp Files).
  • Se recomienda usar un punto de conexión de red privado.
  • Evite colocar demasiados SID en una sola cuenta de almacenamiento y su recurso compartido de archivos.
  • Como guía general, no incluya más de cuatro SID de no producción.
  • No coloque todo el panorama del sistema de desarrollo, producción y control de calidad (QAS) en una cuenta de almacenamiento o recurso compartido de archivos. El error del recurso compartido conduce a un tiempo de inactividad de todo el entorno de SAP.
  • Se recomienda colocar los directorios sapmnt y transport en diferentes cuentas de almacenamiento, excepto en sistemas más pequeños. Durante la instalación del servidor de aplicaciones principal de SAP, SAPinst solicitará el nombre de host de transporte . Escriba el FQDN de una cuenta de almacenamiento diferente como storage_account.file.core.windows.net>.<
  • No coloque el sistema de archivos usado para las interfaces en la misma cuenta de almacenamiento que /sapmnt/<SID>.
  • Debe agregar los usuarios y grupos de SAP al recurso compartido de sapmnt . Establezca el permiso De colaborador con privilegios elevados de recurso compartido de SMB de datos de archivos de almacenamiento para ellos en Azure Portal.

La distribución del transporte, la interfaz y sapmnt entre cuentas de almacenamiento independientes mejora el rendimiento y la resistencia. También simplifica el análisis de rendimiento. Si coloca muchos SID y otros sistemas de archivos en una sola cuenta de almacenamiento de Azure Files, y el rendimiento de la cuenta de almacenamiento es deficiente porque alcanza los límites de rendimiento, es difícil identificar qué SID o aplicación está causando el problema.

Planificación

Importante

La instalación de sistemas de alta disponibilidad de SAP en SMB premium de Azure Files con la integración de Active Directory requiere colaboración entre equipos. Se recomienda que los siguientes equipos trabajen juntos para lograr tareas:

  • Equipo de Azure: configure y configure cuentas de almacenamiento, ejecución de scripts y sincronización de Active Directory.
  • Equipo de Active Directory: cree cuentas de usuario y grupos.
  • Equipo base: ejecute SWPM y establezca listas de control de acceso (ACL), si es necesario.

Estos son los requisitos previos para la instalación de sistemas de alta disponibilidad de SAP NetWeaver en SMB premium de Azure Files con la integración de Active Directory:

  • Una los servidores SAP a un dominio de Active Directory.
  • Replique el dominio de Active Directory que contiene los servidores SAP en el identificador de Microsoft Entra mediante Microsoft Entra Conectar.
  • Asegúrese de que al menos un controlador de dominio de Active Directory esté en el entorno de Azure para evitar atravesar Azure ExpressRoute para ponerse en contacto con controladores de dominio locales.
  • Asegúrese de que el equipo de Soporte técnico de Azure revisa la documentación de SMB de Azure Files con la integración de Active Directory. En el vídeo se muestran opciones de configuración adicionales, que se modificaron (DNS) y se omitieron (DFS-N) por motivos de simplificación. Pero estas son opciones de configuración válidas.
  • Asegúrese de que el usuario que ejecuta el script de PowerShell de Azure Files tiene permiso para crear objetos en Active Directory.
  • Use SWPM versión 1.0 SP32 y SWPM 2.0 SP09 o posterior para la instalación. La revisión saPinst debe ser 749.0.91 o posterior.
  • Instale una versión actualizada de PowerShell en la instancia de Windows Server donde se ejecuta el script.

Secuencia de instalación

Creación de usuarios y grupos

El administrador de Active Directory debe crear, con antelación, tres usuarios de dominio con derechos locales de Administración istrator y un grupo global en la instancia local de Windows Server Active Directory.

SAPCONT_ADMIN@SAPCONTOSO.localtiene derechos de Administración istrator de dominio y se usa para ejecutar SAPinst,< sid adm> y SID> de SAPService<como usuarios del sistema SAP y el grupo SAP_<SAPSID>_GlobalAdministración. La guía de instalación de SAP contiene los detalles específicos necesarios para estas cuentas.

Nota:

Las cuentas de usuario de SAP no deben ser administradores de dominio. Por lo general, se recomienda no usar <sid adm> para ejecutar SAPinst.

Comprobación del Administrador de servicios de sincronización

El administrador de Active Directory o el administrador de Azure deben comprobar Synchronization Service Manager en Microsoft Entra Conectar. De forma predeterminada, tarda unos 30 minutos en replicarse en el identificador de Microsoft Entra.

Creación de una cuenta de almacenamiento, un punto de conexión privado y un recurso compartido de archivos

El administrador de Azure debe completar las siguientes tareas:

  1. En la pestaña Aspectos básicos , cree una cuenta de almacenamiento con almacenamiento con redundancia de zona premium (ZRS) o almacenamiento con redundancia local (LRS). Los clientes con implementación zonal deben elegir ZRS. Aquí, el administrador debe elegir entre configurar una cuenta Estándar o Premium .

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Importante

    Para su uso en producción, se recomienda elegir una cuenta Premium . Para el uso que no sea de producción, una cuenta Estándar debe ser suficiente.

  2. En la pestaña Opciones avanzadas , la configuración predeterminada debe ser Aceptar.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. En la pestaña Redes , el administrador toma la decisión de usar un punto de conexión privado.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Seleccione Agregar punto de conexión privado para la cuenta de almacenamiento y escriba la información para crear un punto de conexión privado.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. Si es necesario, agregue un registro A de DNS a DNS de Windows para <storage_account_name>.file.core.windows.net. (Es posible que tenga que estar en una nueva zona DNS). Analice este tema con el administrador dns. La nueva zona no debe actualizarse fuera de una organización.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Cree el recurso compartido de archivos sapmnt con un tamaño adecuado. El tamaño sugerido es de 256 GB, que ofrece 650 IOPS, salida de 75 MB/s y entrada de 50 MB/s.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Descargue el contenido de GitHub de Azure Files y ejecute el script.

    Este script crea una cuenta de equipo o una cuenta de servicio en Active Directory. Tiene los requisitos siguientes:

    • El usuario que ejecuta el script debe tener permiso para crear objetos en el dominio de Active Directory que contiene los servidores SAP. Normalmente, una organización usa una cuenta de dominio Administración istrator, como SAPCONT_ADMIN@SAPCONTOSO.local.
    • Antes de que el usuario ejecute el script, confirme que esta cuenta de usuario de dominio de Active Directory está sincronizada con el identificador de Microsoft Entra. Un ejemplo de esto sería abrir Azure Portal y ir a los usuarios de Microsoft Entra, comprobar que el usuario SAPCONT_ADMIN@SAPCONTOSO.local existe y comprobar la cuenta de usuario de Microsoft Entra.
    • Conceda el rol de control de acceso basado en rol (RBAC) colaborador a esta cuenta de usuario de Microsoft Entra para el grupo de recursos que contiene la cuenta de almacenamiento que contiene el recurso compartido de archivos. En este ejemplo, al usuario SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com se le concede el rol Colaborador al grupo de recursos correspondiente.
    • El usuario debe ejecutar el script mientras inició sesión en una instancia de Windows Server mediante una cuenta de usuario de dominio de Active Directory con el permiso especificado anteriormente.

    En este escenario de ejemplo, el administrador de Active Directory iniciaría sesión en la instancia de Windows Server como SAPCONT_ADMIN@SAPCONTOSO.local. Cuando el administrador usa el comando Connect-AzAccountde PowerShell , el administrador se conecta como usuario SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com. Lo ideal es que el administrador de Active Directory y el administrador de Azure trabajen juntos en esta tarea.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Importante

    Cuando un usuario ejecuta el comando Connect-AzAccountde script de PowerShell, se recomienda encarecidamente escribir la cuenta de usuario de Microsoft Entra que corresponda y se asigne a la cuenta de usuario de dominio de Active Directory que se usó para iniciar sesión en una instancia de Windows Server.

    Una vez que el script se ejecute correctamente, vaya a Recursos compartidos de archivos de almacenamiento>y compruebe que aparece Active Directory: Configurado.

  6. Asigne los usuarios <de SAP sid>adm y SAPService<SID>, y el grupo SAP_<SAPSID>_GlobalAdministración, al recurso compartido de archivos SMB premium de Azure Files. Seleccione el rol Colaborador con privilegios elevados de recursos compartidos de SMB de datos de archivos de almacenamiento en Azure Portal.

  7. Compruebe la ACL en el recurso compartido de archivos sapmnt después de la instalación. A continuación, agregue la cuenta DOMAIN\CLUSTER_NAME$, DOMAIN\<sid adm> account, DOMAIN\SAPService<SID> account y SAP_<SID>_GlobalAdministración group. Estas cuentas y grupos deben tener control total del directorio sapmnt .

    Importante

    Complete este paso antes de la instalación de SAPinst. Será difícil o imposible cambiar las ACL después de que SAPinst haya creado directorios y archivos en el recurso compartido de archivos.

    En las capturas de pantalla siguientes se muestra cómo agregar cuentas de equipo.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    Puede encontrar la cuenta DOMAIN\CLUSTER_NAME$ seleccionando Equipos en Tipos de objeto.

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. Si es necesario, mueva la cuenta de equipo creada para Azure Files a un contenedor de Active Directory que no tenga expiración de la cuenta. El nombre de la cuenta de equipo es el nombre corto de la cuenta de almacenamiento.

    Importante

    Para inicializar la ACL de Windows para el recurso compartido SMB, monte el recurso compartido una vez en una letra de unidad.

    La clave de almacenamiento es la contraseña y el usuario es el nombre> del recurso compartido de Azure\<SMB.

    Windows screenshot of the one-time mount of the SMB share.

Completar tareas de SAP Basis

Un administrador de SAP Basis debe completar estas tareas:

  1. Instale el clúster de Windows en nodos ASCS/ERS y agregue el testigo en la nube.
  2. La primera instalación del nodo de clúster solicita el nombre de la cuenta de almacenamiento de SMB de Azure Files. Escriba el FQDN <storage_account_name>.file.core.windows.net. Si SAPinst no acepta más de 13 caracteres, la versión de SWPM es demasiado antigua.
  3. Modifique el perfil SAP de la instancia de ASCS/SCS.
  4. Actualice el puerto de sondeo para el rol de SID> de SAP <en el clúster de conmutación por error de Windows Server (WSFC).
  5. Continúe con la instalación de SWPM para el segundo nodo ASCS/ERS. SWPM solo requiere la ruta de acceso del directorio de perfil. Escriba la ruta de acceso UNC completa al directorio del perfil.
  6. Escriba la ruta de acceso del perfil UNC para la base de datos y para la instalación del servidor de aplicaciones principal (PAS) y del servidor de aplicaciones adicional (AAS).
  7. La instalación de PAS solicita el nombre de host de transporte . Proporcione el FQDN de un nombre de cuenta de almacenamiento independiente para el directorio de transporte .
  8. Compruebe las ACL en el SID y el directorio de transporte .

Configuración de la recuperación ante desastres

Azure Files Premium SMB admite escenarios de recuperación ante desastres y escenarios de replicación entre regiones. Todos los datos de directorios SMB premium de Azure Files se pueden sincronizar continuamente con la cuenta de almacenamiento de una región de recuperación ante desastres. Para obtener más información, consulte el procedimiento para sincronizar archivos en Transferencia de datos con AzCopy y almacenamiento de archivos.

Después de un evento de recuperación ante desastres y la conmutación por error de la instancia de ASCS a la región de recuperación ante desastres, cambie el SAPGLOBALHOST parámetro de perfil para que apunte a SMB de Azure Files en la región de recuperación ante desastres. Realice los mismos pasos de preparación en la cuenta de almacenamiento de recuperación ante desastres para unir la cuenta de almacenamiento a Active Directory y asignar roles de RBAC para usuarios y grupos de SAP.

Solución de problemas

Los scripts de PowerShell que descargó anteriormente contienen un script de depuración para realizar comprobaciones básicas para validar la configuración.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Esta es una captura de pantalla de PowerShell de la salida del script de depuración.

Screenshot of the PowerShell script to validate configuration.

En la captura de pantalla siguiente se muestra la información técnica para validar una unión correcta a un dominio.

Screenshot of the PowerShell script to retrieve technical info.

Configuraciones opcionales

En los diagramas siguientes se muestran varias instancias de SAP en máquinas virtuales de Azure que ejecutan el clúster de conmutación por error de Windows Server para reducir el número total de máquinas virtuales.

Esta configuración puede ser servidores de aplicaciones SAP locales en un clúster de ASCS/SCS de SAP o un rol de clúster de ASCS/SCS de SAP en nodos AlwaysOn de Microsoft SQL Server.

Importante

No se admite la instalación de un servidor de aplicaciones DE SAP local en un nodo AlwaysOn de SQL Server.

Tanto ASCS/SCS de SAP como la base de datos de Microsoft SQL Server son puntos únicos de error (SPOF). El uso de SMB de Azure Files ayuda a proteger estos SPOF en un entorno de Windows.

Aunque el consumo de recursos de ASCS/SCS de SAP es bastante pequeño, se recomienda reducir la configuración de memoria en 2 GB para SQL Server o para el servidor de aplicaciones de SAP.

Servidores de aplicaciones de SAP en nodos WSFC mediante SMB de Azure Files

En el diagrama siguiente se muestran los servidores de aplicaciones de SAP instalados localmente.

Diagram of a high-availability setup with additional application servers.

Nota:

En el diagrama se muestra el uso de discos locales adicionales. Esta configuración es opcional para los clientes que no instalarán software de aplicación en la unidad del sistema operativo (unidad C).

SAP ASCS/SCS en nodos AlwaysOn de SQL Server mediante SMB de Azure Files

En el diagrama siguiente se muestra SMB de Azure Files con la configuración local de SQL Server.

Importante

No se admite el uso de SMB de Azure Files para cualquier volumen de SQL Server.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Nota:

En el diagrama se muestra el uso de discos locales adicionales. Esta configuración es opcional para los clientes que no instalarán software de aplicación en la unidad del sistema operativo (unidad C).