Ejecución de SAP NetWeaver en Windows en Azure

En esta arquitectura de referencia se muestra un conjunto de procedimientos demostrados para ejecutar SAP NetWeaver en un entorno Windows, en Azure, con alta disponibilidad. La base de datos es AnyDB, el término de SAP para todos los sistemas de administración de bases de datos (DBMS) compatibles que no sean SAP HANA.

En el primer diagrama se muestra SAP NetWeaver en un entorno de Windows en un escenario de conjunto de disponibilidad. La arquitectura usa Azure NetApp Files para la capa de archivos compartidos y un grupo con ubicación por proximidad para mejorar el rendimiento:

Descargue un archivo de Visio que muestra esta arquitectura.

En el segundo diagrama se muestra SAP NetWeaver en un entorno de Windows. Las zonas de disponibilidad se usan para mejorar la resistencia:

Descargue un archivo de Visio que muestra esta arquitectura.

Architecture

En esta arquitectura de referencia se describe un sistema de producción. Se implementa con tamaños de máquina virtual (VM) específicos que se pueden cambiar para ajustarse a las necesidades de la organización. Se puede reducir a una única VM. El diseño de red se ha simplificado considerablemente para mostrar los elementos principales de la arquitectura. No está pensado para describir una red empresarial completa.

Estos componentes son obligatorios:

Redes virtuales. El servicio Azure Virtual Network conecta los recursos de Azure entre sí con seguridad mejorada. En esta arquitectura, la red virtual se conecta a un entorno local a través de una puerta de enlace de red privada virtual (VPN) implementada en el concentrador de una topología en estrella tipo hub-and-spoke. El radio (spoke) es la red virtual que se usa tanto para las aplicaciones de SAP como para las capas de bases de datos.

Emparejamiento de red virtual. En esta arquitectura se usa una topología de red en estrella tipo hub-and-spoke con varias redes virtuales que están emparejadas. Esta topología ofrece la segmentación y el aislamiento de red para los servicios implementados en Azure. El emparejamiento permite la conectividad transparente entre redes virtuales emparejadas a través de la red troncal de Microsoft. No se produce ninguna disminución del rendimiento si se implementa dentro de una sola región. La red virtual se divide en subredes independientes para cada capa: aplicación (SAP NetWeaver), base de datos, servicios compartidos (como Jumpbox y Active Directory).

Máquinas virtuales. Esta arquitectura usa máquinas virtuales para la capa de aplicación y la capa de base de datos, agrupadas como se indica a continuación:

• SAP NetWeaver. La capa de aplicación usa máquinas virtuales de Windows y ejecuta SAP Central Services y servidores de aplicaciones de SAP. Las VM que ejecutan Central Services están configuradas como un clúster de conmutación por error de Windows Server para alta disponibilidad. Son compatibles con Servidor de archivos de escalabilidad horizontal de Windows y Espacios de almacenamiento directo o discos compartidos de Azure.

• AnyDB. La capa de base de datos ejecuta AnyDB como base de datos, como Microsoft SQL Server, Oracle o IBM Db2.

• Jumpbox (también conocido como host bastión). Los administradores usan esta máquina virtual con seguridad mejorada para conectarse a las otras máquinas virtuales. Normalmente forma parte de los servicios compartidos, como los controladores de dominio y los servicios de copia de seguridad. Si el protocolo Secure Shell (SSH) y el Protocolo de escritorio remoto (RDP) son los únicos servicios que se usan para la administración del servidor, un host de Azure Bastion es una alternativa. Pero si se usan otras herramientas de administración, como SQL Server Management Studio o SAP Front End, use un Jumpbox tradicional autoimplementado

• Controladores de dominio de Windows Server Active Directory. Los controladores de dominio se usan para la administración de identidades todas las máquinas virtuales y usuarios del dominio.

Equilibradores de carga. Los equilibradores de carga se usan para distribuir el tráfico a las máquinas virtuales en la subred de la capa de aplicaciones. Para una alta disponibilidad, use SAP Web Dispatcher integrado, Azure Load Balancer o aplicaciones de red. Su elección depende del tipo de tráfico (como HTTP o SAP GUI) o de los servicios de red necesarios, como la terminación de Capa de sockets seguros (SSL).

Conjuntos de disponibilidad. Las VM para todos los grupos y clústeres (Web Dispatcher, servidores de aplicaciones de SAP, Central Services y bases de datos) se agrupan en conjuntos de disponibilidad independientes. Se aprovisionan al menos dos máquinas virtuales por rol. Los conjuntos de disponibilidad aumentan la disponibilidad de las aplicaciones y las VM. Lo hacen mediante la administración de errores del sistema host o eventos de mantenimiento al distribuir las instancias de rol en varios hosts. Una alternativa consiste en usar Availability Zones para mejorar la disponibilidad de las cargas de trabajo, como se describe más adelante en este artículo.

Puerta de enlace con redundancia de zona. Se pueden implementar puertas de enlace de Azure ExpressRoute o VPN entre zonas para protegerse frente a errores de zona. Consulte Puertas de enlace de red virtual con redundancia de zona para comprender las diferencias entre una implementación zonal y una implementación con redundancia de zona.

Grupo con ubicación por proximidad. Este grupo lógico coloca una restricción en las VM implementadas en un conjunto de disponibilidad o en un conjunto de escalado de máquinas virtuales. Un grupo con ubicación por proximidad favorece la coubicación, lo que significa que las máquinas virtuales están en el mismo centro de recursos para minimizar la latencia de la aplicación.

Grupos de seguridad de red. Para restringir el tráfico restringir el tráfico de entrada, de salida e interno de las subredes en la red virtual, cree grupos de seguridad de red.

Grupos de seguridad de aplicaciones. Para definir directivas de seguridad de red pormenorizadas en función de las cargas de trabajo que se centran en aplicaciones, use grupos de seguridad de aplicaciones en lugar de direcciones IP explícitas. Permiten agrupar VM por nombre y le ayudan a proteger las aplicaciones mediante el filtrado del tráfico desde segmentos de confianza de la red.

Puerta de enlace. Una puerta de enlace conecta redes distintas, y extiende la red local a la red virtual de Azure. Se recomienda usar ExpressRoute para crear conexiones privadas que no vayan a través de la red pública de Internet, pero también puede usar una conexión de sitio a sitio. Para reducir la latencia o aumentar el rendimiento, le recomendamos que use Global Reach de ExpressRoute y FastPath de ExpressRoute, como se describe más adelante en este artículo.

Azure Storage. Azure Storage proporciona persistencia de datos para una máquina virtual en forma de disco duro virtual (VHD). Se recomienda usar los discos administrados de Azure.

Recomendaciones

En esta arquitectura se describe una pequeña implementación en el nivel de producción. La implementación variará en función de los requisitos empresariales, por lo que debe tener en cuenta estas recomendaciones como punto de partida.

Máquinas virtuales

En las granjas y clústeres de servidores de aplicaciones, ajuste el número de máquinas virtuales según sus requisitos. En la guía de planeación e implementación de Azure Virtual Machines se incluyen detalles sobre cómo ejecutar SAP NetWeaver en máquinas virtuales.

Para obtener más información sobre la compatibilidad de SAP con los tipos de máquina virtual y las métricas de rendimiento (SAPS) de Azure, vea la nota de SAP 1928533. (Para acceder a las notas de SAP, debe tener una cuenta de SAP Service Marketplace).

SAP Web Dispatcher (SWD)

El componente Web Dispatcher se usa como equilibrador de carga para el tráfico SAP que circula entre los servidores de aplicaciones de SAP. Para lograr la alta disponibilidad para el componente Web Dispatcher, se usa Azure Load Balancer para implementar el clúster de conmutación por error de componentes SWD o la configuración paralela SWD. Vea Alta disponibilidad de SAP Web Dispatcher para obtener una descripción detallada de la solución.

Grupo de servidores de aplicaciones

La transacción SMLG de SAP se usa normalmente para administrar los grupos de inicio de sesión de los servidores de aplicaciones de ABAP y para equilibrar la carga de los usuarios de inicio de sesión. Otras transacciones, como SM61 para grupos de servidores de procesos por lotes, y RZ12 para grupos RFC, también equilibran la carga de usuarios de inicio de sesión. Estas transacciones usan la funcionalidad de equilibrio de carga en el servidor de mensajes de SAP Central Services para distribuir las sesiones o cargas de trabajo entrantes entre el grupo de servidores de aplicaciones de SAP para SAP GUI y el tráfico de RFC.

Clúster de SAP Central Services

Esta arquitectura de referencia ejecuta Central Services en máquinas virtuales en la capa de aplicación. Central Services es un posible único punto de error (SPOF) cuando se implementa en una única VM. Para implementar una solución de alta disponibilidad, use un clúster de disco compartido o de recursos compartidos de archivos.

En el caso de los clústeres de recursos compartido de archivos, hay varias opciones. Se recomienda usar recursos compartidos de Azure Files como recursos compartidos SMB o NFS nativos de la nube totalmente administrados. Una alternativa a Azure Files es Azure NetApp files, que ofrece recursos compartidos NFS y SMB de alto rendimiento.

También puede implementar el recurso compartido de archivos de alta disponibilidad en las instancias de Central Services mediante WSFC con el Servidor de archivos de escalabilidad horizontal (SOFS) y la característica Espacios de almacenamiento directo de Windows Server 2016 y versiones posteriores. Esta solución también admite clústeres de Windows mediante un recurso compartido de archivos servido por Servidor de archivos de escalabilidad horizontal como volumen compartido de clúster (CSV).

Si prefiere usar discos compartidos, se recomiendan discos compartidos de Azure para configurar un clúster de conmutación por error de Windows Server como clúster de SAP Central Services.

También existen productos de terceros, como SIOS DataKeeper Cluster Edition de SIOS Technology Corp., que replica el contenido de discos independientes conectados a los nodos de clúster de ASCS y, después, presenta los discos como CSV al software del clúster.

Microsoft admite varias instancias de ASCS con diferentes identificadores de sistema (SID) implementados en un clúster de Windows en varios recursos compartidos de archivos que se proporcionan desde el mismo clúster de Servidor de archivos de escalabilidad horizontal. Esta configuración puede ayudarle a reducir los costos de infraestructura.

En el caso de la creación de particiones de red en clúster, el software de clúster usa votos para decidir qué segmento de la red y sus servicios asociados actuarán como cerebro del clúster recién fragmentado. Windows ofrece una serie de modelos de cuórum. Esta solución usa testigo en la nube de Azure porque es más fácil y ofrece más disponibilidad que un testigo de nodo de proceso. El testigo de recurso compartido de archivos de Azure es otra alternativa para proporcionar un voto de cuórum de clúster.

En una implementación de Azure, los servidores de aplicaciones se conectan a Central Services de alta disponibilidad mediante los nombres de host virtual de los servicios ASCS o ERS. Estos nombres de host se asignan a la configuración IP de front-end del clúster del equilibrador de carga. Azure Load Balancer admite varias direcciones IP de front-end, por lo que las direcciones IP virtuales (VIP) de ASCS y ERS se pueden enlazar a un equilibrador de carga.

Conjuntos de disponibilidad

Los conjuntos de disponibilidad distribuyen los servidores en varios grupos de actualización e infraestructuras físicas para mejorar la disponibilidad del servicio. Para cumplir con los contratos de nivel de servicio (SLA), coloque las máquinas virtuales que cumplen el mismo rol en un conjunto de disponibilidad. Esto ayuda a protegerse frente a tiempos de inactividad planeados y no planeados impuestos por el mantenimiento de la infraestructura de Azure o debido a errores de hardware. Para obtener un SLA superior, tiene que tener dos máquinas virtuales o más por conjunto de disponibilidad.

Todas las máquinas virtuales de un conjunto deben realizar el misma rol. No mezcle servidores de distintos roles en el mismo conjunto de disponibilidad. Por ejemplo, no coloque un nodo de ASCS en el mismo conjunto de disponibilidad que los servidores de aplicaciones.

Puede implementar conjuntos de disponibilidad de Azure en Azure Availability Zones cuando use un grupo con ubicación por proximidad.

Redes

Esta arquitectura usa una topología en estrella tipo hub-and-spoke. La red virtual del centro (hub) sirve como punto central de conectividad con una red local. Los radios (spokes) son redes virtuales que se emparejan con el centro y que aíslan las cargas de trabajo de SAP. El tráfico fluye entre el centro de datos local y el concentrador a través de una conexión de puerta de enlace.

Tarjetas de interfaz de red (NIC)

Las tarjetas de interfaz de red permiten todas las comunicaciones entre las máquinas virtuales en una red virtual. En las implementaciones de SAP locales tradicionales, se implementan varias tarjetas de interfaz de red por máquina para aislar el tráfico administrativo del empresarial.

En Azure, la red virtual es una red definida por el software que envía todo el tráfico a través del mismo tejido de red. Por lo tanto, no es necesario usar varias NIC por motivos de rendimiento. Pero si su organización necesita separar el tráfico, puede implementar varias NIC por VM y conectar cada NIC a una subred diferente. Luego puede usar los grupos de seguridad de red para aplicar las distintas directivas de control de acceso.

Las NIC de Azure admiten varias direcciones IP. Esta compatibilidad se ajusta al procedimiento recomendado de SAP de usar nombres de host virtuales para las instalaciones. Para obtener un esquema completo, consulte la nota de SAP 962955. (Para acceder a las notas de SAP, debe tener una cuenta de SAP Service Marketplace).

Subredes y grupos de seguridad de red

Esta arquitectura divide el espacio de direcciones de la red virtual en subredes. Puede asociar cada subred con un grupo de seguridad de red en el que se definen las directivas de acceso para la subred. Coloque los servidores de aplicaciones en una subred independiente. Esto le permite protegerlos más fácilmente mediante la administración de las directivas de seguridad de la subred, en lugar de los servidores individuales.

Cuando un grupo de seguridad de red se asocia a una subred, se aplica a todos los servidores de la subred y ofrece un control más exhaustivo de los servidores. Establézcalos con Azure Portal, PowerShell o la CLI de Azure.

Global Reach de ExpressRoute

Si el entorno de red incluye dos conexiones ExpressRoute o más, Global Reach de ExpressRoute puede ayudar a reducir los saltos de red y la latencia. Esta tecnología es una configuración de emparejamiento de rutas de BGP entre dos conexiones ExpressRoute o más para unir dos dominios de enrutamiento de ExpressRoute. Global Reach reduce la latencia cuando el tráfico de red atraviesa más de una conexión ExpressRoute. Actualmente solo está disponible para el emparejamiento privado en circuitos ExpressRoute.

En este momento, no hay ninguna lista de control de acceso (ACL) de red ni otros atributos que se puedan cambiar en Global Reach. De este modo, todas las rutas aprendidas por un circuito ExpressRoute determinado (del entorno local y Azure) se anuncian a través del emparejamiento del circuito al otro circuito ExpressRoute. Se recomienda establecer el filtrado de tráfico de red en el entorno local para restringir el acceso a los recursos.

FastPath de ExpressRoute

También conocido como Microsoft Edge Exchange (MSEE) v2, FastPath implementa MSEE en el punto de entrada de la red de Azure. Reduce los saltos de red para la mayoría de los paquetes de datos.

Para todas las conexiones ExpressRoute nuevas a Azure, FastPath es la configuración predeterminada. Para los circuitos ExpressRoute existentes, póngase en contacto con el Soporte técnico de Azure para activar FastPath.

FastPath no admite el emparejamiento de red virtual. Si otras redes virtuales están emparejadas con la que está conectada a ExpressRoute, el tráfico de la red local a las otras redes virtuales radiales se seguirá enviado a la puerta de enlace de red virtual. La solución es conectar todas las redes virtuales directamente al circuito de ExpressRoute.

Equilibradores de carga

SAP Web Dispatcher controla el equilibrio de carga del tráfico HTTP(S) a un grupo de servidores de aplicaciones SAP. Este equilibrador de carga de software brinda servicios de capa de aplicación (denominados de capa 7 en el modelo de red ISO) que puede realizar la terminación SSL y otras funciones de descarga.

Azure Load Balancer es un servicio de capa de transmisión de red (capa 4), que equilibra el tráfico mediante un hash de cinco tuplas de los flujos de datos. (El hash se basa en la dirección IP de origen, el puerto de origen, la dirección IP de destino, el puerto de destino y el tipo de protocolo). En las implementaciones de SAP en Azure, Load Balancer se usa en las configuraciones de clúster para dirigir el tráfico a la instancia de servicio principal o al nodo correcto en caso de error.

Se recomienda que use Standard Load Balancer de Azure para todos los escenarios de SAP. Si las máquinas virtuales del grupo de back-end necesitan conectividad pública de salida, o si se usan en una implementación de zona de Azure, los equilibradores de carga estándar necesitan configuraciones adicionales después de que estén protegidos, de manera predeterminada. No permitirán la conectividad saliente a menos que la configure de manera explícita.

Para el tráfico desde clientes de SAP GUI que se conectan a un servidor SAP a través del protocolo DIAG o de instancias de Remote Function Call (RFC), el servidor de mensajes de Central Services equilibra la carga a través de los grupos de inicio de sesión del servidor de aplicaciones de SAP. No necesita otro equilibrador de carga.

Azure Storage

Algunas organizaciones usan el almacenamiento estándar para sus servidores de aplicaciones. No se admiten los discos no administrados estándar. Consulte la nota de SAP 1928533. (Se requiere una cuenta de SAP Service Marketplace). Se recomienda usar discos administrados prémium de Azure en todos los casos. Tenga en cuenta que una actualización reciente de la nota de SAP 2015553 excluye el uso de almacenamiento HDD estándar y SSD estándar para algunos casos de uso específicos.

Los servidores de aplicaciones no hospedan datos empresariales. Por lo tanto, también puede usar los discos prémium P4 y P6 más pequeños para ayudar a minimizar el costo. Esto también le permite beneficiarse del contrato de nivel de servicio de VM de instancia única si tiene una instalación central de la pila de SAP.

En escenarios de alta disponibilidad, los discos compartidos de Azure están disponibles en discos administrados de Azure SSD prémium y SSD Ultra. Puede usar discos compartidos de Azure con Windows Server, SUSE Linux Enterprise Server 15 SP1 y versiones posteriores, y SUSE Linux Enterprise Server para SAP.

Cloud Witness también usa Azure Storage para mantener el cuórum con un dispositivo de una región remota de Azure, alejada de la región primaria en la que reside el clúster.

En el almacén de datos de copia de seguridad, se recomienda usar los niveles de acceso esporádico y de archivo de Azure. Estos niveles de almacenamiento son una manera rentable de almacenar datos de larga duración a los que se accede con poca frecuencia.

Los discos Ultra reducen considerablemente la latencia de disco y benefician a las aplicaciones donde el rendimiento es crítico, como los servidores de base de datos de SAP. Compare las opciones de almacenamiento en bloque de Azure.

Si lo que quiere es un almacén de datos compartido de alto rendimiento y alta disponibilidad, use Azure NetApp Files. Esta tecnología es especialmente útil para la capa de base de datos cuando se usa Oracle, y también cuando se hospedan datos de aplicaciones.

Consideraciones de rendimiento

Los servidores de aplicaciones de SAP se comunican constantemente con los servidores de bases de datos. En el caso de las aplicaciones donde el rendimiento es crítico que se ejecutan en plataformas de bases de datos, habilite el Acelerador de escritura para el volumen de registro. Esto puede mejorar la latencia de escritura de registros. Acelerador de escritura está disponible para las VM de la serie M. Para optimizar las comunicaciones entre servidores, use Redes aceleradas. Redes aceleradas solo está disponible para las series de VM admitidas, como D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 y Ms/Mms. Para obtener más información, vea Maximización del rendimiento de las máquinas virtuales con redes aceleradas.

Para lograr un rendimiento del ancho de banda de disco y un IOPS altos, las prácticas habituales de optimización del rendimiento del volumen de almacenamiento se aplican al diseño de Azure Storage. Por ejemplo, puede combinar varios discos para crear un volumen de disco con secciones para mejorar el rendimiento de E/S. La habilitación de la caché de lectura en el contenido de almacenamiento que cambia con poca frecuencia mejora la velocidad de recuperación de datos.

Ahora hay discos Ultra disponibles para las aplicaciones con alta demanda de E/S. Cuando estén disponibles, se recomiendan por sobre el almacenamiento prémium del Acelerador de escritura. Puede aumentar o disminuir individualmente las métricas de rendimiento, como IOPS y MBps, sin necesidad de reiniciar.

En el caso de SAP en Azure, en Implementación y planeamiento de Azure Virtual Machines para SAP NetWeaver se ofrecen consejos excelentes sobre la optimización del almacenamiento de Azure para cargas de trabajo de SAP en SQL Server.

No se recomienda colocar ninguna aplicación virtual de red (NVA) entre las capas de aplicación y de base de datos para cualquier pila de aplicaciones de SAP. Este procedimiento introduce un tiempo significativo de procesamiento de los paquetes de datos, lo que genera un rendimiento inaceptable de la aplicación.

Grupos de selección de ubicación de proximidad

Algunas aplicaciones de SAP requieren una comunicación frecuente con la base de datos. La proximidad física entre las capas de aplicación y de base de datos influye en la latencia de red, lo que puede afectar negativamente al rendimiento de las aplicaciones.

Para optimizar la latencia de red, puede usar grupos con ubicación por proximidad, que establecen una restricción lógica en las máquinas virtuales implementadas en conjuntos de disponibilidad. Los grupos con ubicación por proximidad favorecen la coubicación y el rendimiento sobre la escalabilidad, la disponibilidad o el costo. Pueden mejorar considerablemente la experiencia del usuario en la mayoría de las aplicaciones de SAP. Los scripts están disponibles en GitHub.

Zonas de disponibilidad

Availability Zones le permite implementar máquinas virtuales entre zonas; es decir, ubicaciones separadas físicamente dentro de una región de Azure específica. Su finalidad es mejorar la disponibilidad del servicio, pero tenga en cuenta el rendimiento cuando implemente recursos con zonas.

Los administradores necesitan un perfil de latencia de red claro entre todas las zonas de una región de destino antes de poder decidir la ubicación de los recursos con una latencia mínima entre zonas. Para crear este perfil, implemente máquinas virtuales pequeñas en cada zona para realizar pruebas. Entre las herramientas recomendadas para estas pruebas se incluyen PsPing e Iperf. Una vez completadas las pruebas, quite las máquinas virtuales que usó para ellas.

Consideraciones sobre escalabilidad

Para la capa de aplicación de SAP, Azure ofrece una amplia variedad de tamaños de máquina virtual tanto para el escalado vertical como para el horizontal. Para obtener una lista completa, vea la nota de SAP 1928533: SAP Applications on Azure: Supported Products and Azure VM Types (Aplicaciones de SAP en Azure: productos y tipos de VM de Azure compatibles). (Para acceder a las notas de SAP, debe tener una cuenta de SAP Service Marketplace).

Puede escalar vertical u horizontalmente, o reducir verticalmente los servidores de aplicaciones SAP y los clústeres de Central Services si agrega más instancias. La base de datos AnyDB se puede escalar y reducir verticalmente, pero no horizontalmente. El contenedor de bases de datos SAP para AnyDB no admite el particionamiento.

Consideraciones sobre disponibilidad

La redundancia de recursos es el tema general en las soluciones de infraestructura de alta disponibilidad. Para las empresas que tienen un SLA menos estricto, las máquinas virtuales de Azure de instancia única con discos prémium, ofrecen un SLA de tiempo de actividad. Cuando implementa recursos redundantes en un conjunto de disponibilidad o entre instancias de Availability Zones, se eleva la disponibilidad del servicio.

En esta instalación distribuida de la aplicación SAP, la instalación base se replica para lograr una alta disponibilidad. Para cada capa de la arquitectura, el diseño de la alta disponibilidad varía.

Web Dispatcher en el nivel de servidores de aplicaciones

El componente Web Dispatcher se usa como equilibrador de carga para el tráfico SAP que circula entre los servidores de aplicaciones de SAP. Para lograr una alta disponibilidad de SAP Web Dispatcher, Azure Load Balancer implementa el clúster de conmutación por error o la configuración de Web Dispatcher en paralelo.

Para las comunicaciones orientadas a Internet, se recomienda una solución independiente en la red perimetral (también conocida como DMZ) para abordar los problemas de seguridad.

Web Dispatcher insertado en ASCS es una opción especial. Debe tener en cuenta el ajuste de tamaño adecuado debido a la carga de trabajo adicional en ASCS.

Central Services en el nivel de servidores de aplicaciones

La alta disponibilidad de Central Services se implementa con el clúster de conmutación por error de Windows Server (WSFC). Cuando el almacenamiento de clúster para el clúster de conmutación por error se implementa en Azure, puede configurarlo de dos maneras: como volumen compartido en clústeres o como recurso compartido de archivos.

Se recomienda usar Azure Files como recursos compartidos SMB o NFS nativos de la nube totalmente administrados. Una alternativa a Azure Files es Azure NetApp Files, que ofrece recursos compartidos NFS y SMB de nivel empresarial de alto rendimiento.

WSFC admite el uso de recursos compartidos de archivos proporcionados por el Servidor de archivos de escalabilidad horizontal como almacenamiento de clúster. Servidor de archivos de escalabilidad horizontal ofrece recursos compartidos de archivos resistentes que se puede usar como volumen compartido de clústeres (CSV) para el clúster de Windows. Puede compartir un clúster de Servidor de archivos de escalabilidad horizontal entre varias instancias de SAP Central Services.

En el momento de redactar este documento, Servidor de archivos de escalabilidad horizontal solo se usa para el diseño de alta disponibilidad dentro de una zona de Azure. (No se admite la implementación entre zonas). Para la recuperación ante desastres (DR), Azure Site Recovery admite la replicación de todo el clúster de Servidor de archivos de escalabilidad horizontal en una región remota.

Hay dos maneras de configurar un clúster con discos compartidos en Azure. Primero, se recomienda usar discos compartidos de Azure para configurar un clúster de conmutación por error de Windows Server como clúster de SAP Central Services.

Como alternativa, puede usar SIOS DataKeeper para:

• Replicar el contenido de discos independientes conectados a los nodos de clúster.
• Abstraer las unidades como CSV para el administrador de clústeres.

Para obtener detalles acerca de la implementación, consulte Clustering SAP ASCS on Azure (Agrupación de SAP ASCS en clústeres en Azure).

Con la introducción de Standard Load Balancer de Azure, ahora puede simplemente habilitar el puerto de alta disponibilidad. Esto le permite evitar configurar reglas de equilibrio de carga para muchos puertos de SAP. Además, al configurar equilibradores de carga en general, ya sea en el entorno local o en Azure, habilite la característica Direct Server Return (también conocida como IP flotante o DSR). Esto permite que las respuestas del servidor omitan el equilibrador de carga. Esta conexión directa evita que el equilibrador de carga se convierta en un cuello de botella en la ruta de transmisión de datos. En el caso de los clústeres de SAP ASCS y de bases de datos, se recomienda habilitar DSR.

Servicios de aplicación en el nivel de servidores de aplicaciones

La alta disponibilidad para los servidores de aplicaciones de SAP se logra mediante el equilibrio de carga del tráfico dentro de un grupo de servidores de aplicaciones.

Nivel de base de datos

Para esta arquitectura de referencia, se supone que la base de datos de origen se ejecuta en AnyDB. Es decir, un DBMS como SQL Server, SAP ASE, IBM Db2 u Oracle. La característica de replicación nativa del nivel de base de datos proporciona conmutación automática por error manual o automática entre los nodos replicados.

Para obtener detalles de la implementación de los sistemas de base de datos específicos, consulte Implementación de DBMS de Azure Virtual Machines para SAP NetWeaver.

Máquinas virtuales implementadas entre Availability Zones

Availability Zones es una construcción lógica diseñada para mejorar la disponibilidad de la carga de trabajo y proteger los servicios de aplicación y las máquinas virtuales frente a interrupciones del centro de datos. Las máquinas virtuales de una sola zona se tratan como si estuvieran en un único dominio de error o de actualización. Cuando selecciona la implementación en zonas, las máquinas virtuales de la misma zona se distribuyen en los dominios de error y de actualización en función de la mejor opción.

En las regiones de Azure que admiten esta característica, hay al menos tres zonas disponibles. Pero no se garantiza la distancia máxima entre los centros de datos de estas zonas. Para implementar un sistema SAP multinivel entre zonas, tiene que conocer la latencia de red dentro de una zona y en las zonas de destino. También tiene que conocer la sensibilidad de las aplicaciones implementadas frente a la latencia de red.

Tome en cuenta estas consideraciones cuando decida implementar recursos en Availability Zones:

• Latencia entre las máquinas virtuales en una zona.

• Latencia entre las máquinas virtuales de las zonas seleccionadas.

• Disponibilidad de los mismos servicios de Azure (tipos de máquinas virtuales) en las zonas seleccionadas.

Ejemplo de implementación activa/inactiva

En esta implementación de ejemplo, el estado activo/pasivo se refiere al del servicio de aplicación dentro de las zonas. En la capa de aplicación, los cuatro servidores de aplicaciones activos del sistema SAP se encuentran en la zona 1. Otro conjunto de cuatro servidores de aplicaciones pasivos se integran en la zona 2, pero están apagados. Se activarán solo cuando sea necesario.

Los clústeres de dos nodos para Central Services y los servicios de base de datos se extienden entre dos zonas. Si se produce un error en la zona 1, Central Services y los servicios de bases de datos se ejecutarán en la zona 2. Los servidores de aplicaciones pasivos de la zona 2 se activan. Con todos los componentes de este sistema SAP colocados ahora en la misma zona, se minimiza la latencia de red.

Ejemplo de implementación activa/activa

En una implementación activa/activa, se crean dos conjuntos de servidores de aplicaciones en dos zonas. Dentro de cada zona, dos servidores de aplicaciones de cada conjunto de servidores están inactivos (apagados). Como consecuencia, hay servidores de aplicaciones activos en ambas zonas durante el funcionamiento normal.

Central Services y los servicios de bases de datos se ejecutan en la zona 1. Los servidores de aplicaciones de la zona 2 pueden tener una latencia de red más prolongada al conectarse a Central Services y a los servicios de bases de datos, debido a la distancia física entre las zonas.

Si la zona 1 se queda sin conexión, Central Services y los servicios de bases de datos conmutarán por error a la zona 2. Puede conectar los servidores de aplicaciones inactivos para proporcionar capacidad total para el procesamiento de las aplicaciones.

Consideraciones acerca de la recuperación ante desastres

En cada nivel de la pila de aplicaciones de SAP se usa una estrategia de recuperación ante desastres diferente.

Nivel de servidores de aplicaciones

Los servidores de aplicaciones de SAP no contienen datos empresariales. En Azure, una estrategia sencilla de recuperación ante desastres es crear servidores de aplicaciones SAP en la región secundaria y luego apagarlos. Si hay algún cambio de configuración o actualización del kernel en el servidor de aplicaciones principal, tiene que aplicar los mismos cambios a las máquinas virtuales de la región secundaria. Por ejemplo, copie los archivos ejecutables del kernel de SAP en las máquinas virtuales de recuperación ante desastres.

Para la replicación automática de los servidores de aplicaciones en una región secundaria, se recomienda Azure Site Recovery. También puede usar Azure Site Recovery a fin de configurar la recuperación ante desastres para una implementación de la aplicación multinivel NetWeaver de SAP.

Central Services

Este componente de la pila de aplicaciones SAP no conserva los datos empresariales. Para la protección de recuperación ante desastres, replique el contenido de /sapmnt en una máquina virtual en espera en la región de recuperación ante desastres, o bien use Azure Site Recovery para replicar el clúster de Central Services y el del Servidor de archivos de escalabilidad horizontal. También puede usar Site Recovery para replicar el clúster de Central Services mediante discos de SIOS DataKeeper.

Puede crear una máquina virtual en la región de recuperación ante desastres para replicar el rol y el contenido de Central Services. El único contenido del nodo de Central Services principal que se sincroniza es el recurso compartido /sapmnt. Si cambia la configuración o se actualiza el kernel en los servidores principales de Central Services, tiene que repetir los cambios en la máquina virtual de la región de recuperación ante desastres. Para obtener más información sobre la creación, copia y el proceso de conmutación por error de prueba de este método de replicación, descargue SAP NetWeaver: Creación de una solución de recuperación ante desastres basada en Hyper-V y Microsoft Azure. Consulte "4.3. Capa de SAP SPOF (ASCS)."

Al implementar la alta disponibilidad para Central Services mediante un Servidor de archivos de escalabilidad horizontal o SIOS, Site Recovery admite la replicación y recuperación tanto del clúster de Central Services como del clúster del Servidor de archivos de escalabilidad horizontal/Espacios de almacenamiento directo. Como alternativa, replique y recupere el clúster de Central Services mediante discos de SIOS DataKeeper.

Nivel de base de datos

Para la recuperación ante desastres, es mejor usar la tecnología de replicación integrada de una base de datos. Por ejemplo, para SQL Server, se recomienda usar la característica Grupos de disponibilidad Always On para establecer una réplica en una región remota y replicar las transacciones de forma asincrónica mediante la conmutación por error manual. La replicación asincrónica que el rendimiento de las cargas de trabajo interactivas del sitio principal resulte afectado. Cuando usa una conmutación por error, puede evaluar luego el impacto de la recuperación ante desastres y decidir si se justifica el funcionamiento desde el sitio de recuperación ante desastres.

Si usa Azure NetApp Files para el almacenamiento de bases de datos, es posible que pueda usar la replicación entre regiones para replicar los datos en una región secundaria. Esta característica se encuentra actualmente en versión preliminar, por lo que debe evaluar si cumple los requisitos para las cargas de trabajo de producción.

Recuperación ante desastres de servicios compartidos

Muchos servicios de TI, como instancias de Jumpbox administrativas, servicios de directorio basados en la nube, copias de seguridad y servicios de supervisión, se comparten entre todos los recursos en la nube implementados. Replique los servicios compartidos en la región de recuperación ante desastres mediante cualquier medio que proporcionen los servicios.

Recuperación ante desastres automatizada con Azure Site Recovery

Para usar Azure Site Recovery para generar de forma automática un sitio de producción totalmente replicado de la configuración original, tiene que ejecutar scripts de implementación personalizados. Por ejemplo, Site Recovery primero implementa las máquinas virtuales en conjuntos de disponibilidad. Luego ejecuta los scripts personalizados para asociar el equilibrador de carga existente (pregenerado), que ya tiene el grupo de back-end definido, a la NIC de las máquinas virtuales de conmutación por error. Un ejemplo del script de runbooks de automatización de Site Recovery personalizado está disponible en GitHub.

Consideraciones de administración y operaciones

Copia de seguridad

Las bases de datos son cargas de trabajo críticas que requieren un objetivo de punto de recuperación (RPO) bajo y retención a largo plazo.

• En el caso de SAP en SQL Server, un enfoque consiste en usar Azure Backup para hacer copias de seguridad de las bases de datos de SQL Server que se ejecutan en máquinas virtuales. Otra opción consiste en usar instantáneas de Azure Files para hacer una copia de seguridad de archivos de base de datos de SQL Server.

• Para SAP en Oracle o Windows, vea la sección "Copia de seguridad y restauración" de Implementación de DBMS de máquinas virtuales de Azure para SAP.

• En el caso de otras bases de datos, consulte las recomendaciones de copia de seguridad del proveedor de bases de datos. Si la base de datos admite el Servicio de instantáneas de volumen (VSS) de Windows, las copias de seguridad coherentes con la aplicación se hacen con instantáneas de VSS.

Administración de identidades

Use un sistema de administración de identidades centralizado para controlar el acceso a los recursos en todos los niveles:

• Proporcione acceso a los recursos de Azure mediante el control de acceso basado en roles de Azure (Azure RBAC).

• Conceda acceso a las máquinas virtuales de Azure mediante el protocolo ligero de acceso a directorios (LDAP), Azure Active Directory, Kerberos u otro sistema.

Admita el acceso dentro de las propias aplicaciones mediante los servicios que ofrece SAP. O bien, use OAuth 2.0 y Azure Active Directory.

Supervisión

Azure Monitor proporciona herramientas sofisticadas para recopilar y analizar la telemetría. Estas herramientas le ayudan a maximizar el rendimiento y la disponibilidad de los recursos y aplicaciones en el entorno local y en la nube. (Azure Monitor ahora incluye Log Analytics y Application Insights). Puede usar Azure Monitor para supervisar las anomalías de la infraestructura y de las aplicaciones, alertar a los administradores y automatizar las reacciones a las condiciones predefinidas.

Para proporcionar una supervisión basada en SAP de los recursos y un rendimiento del servicio de la infraestructura de SAP, use la extensión Azure SAP Enhanced Monitoring. Esta extensión introduce las estadísticas de supervisión de Azure en la aplicación de SAP para la supervisión de sistema operativo y las funciones de DBA Cockpit. Se necesita SAP Enhanced Monitoring para ejecutar SAP en Azure. Para obtener más información, consulte la nota de SAP 2191498 "SAP on Linux with Azure: Enhanced Monitoring" (SAP en Linux con Azure: supervisión mejorada). (Para acceder a las notas de SAP, debe tener una cuenta de SAP Service Marketplace).

Azure Monitor para soluciones de SAP es la dirección futura de una solución completa de supervisión nativa de Azure para SAP NetWeaver. Esta solución se encuentra actualmente en versión preliminar y solo está disponible en un conjunto limitado de regiones. Debe evaluar cuidadosamente si satisface sus requisitos.

Azure Monitor para soluciones de SAP brinda un conjunto inicial completo de métricas y telemetría para la supervisión. Las definiciones de las métricas se almacenan como consultas SQL en JSON. Puede cambiarlas para satisfacer sus requisitos. Puede obtener el conjunto inicial de métricas en GitHub.

Consideraciones sobre la seguridad

SAP cuenta con su propio motor de administración de usuarios (UME) para controlar el acceso y la autorización basados en roles en la aplicación y las bases de datos de SAP. Para obtener una guía detallada sobre la seguridad de las aplicaciones, consulte la Guía de seguridad de SAP NetWeaver.

Para una mayor seguridad de la red, considere la posibilidad de usar una red perimetral que use una aplicación virtual de red (NVA) para crear un firewall delante de la subred para Web Dispatcher.

Puede implementar una NVA para filtrar el tráfico entre redes virtuales, pero no la coloque entre la aplicación SAP y la base de datos. Además, compruebe las reglas de enrutamiento configuradas en la subred y evite dirigir el tráfico a una NVA de instancia única. En caso contrario, puede provocar tiempo de inactividad de mantenimiento y errores de red o de nodo en clústeres.

Para la seguridad de la infraestructura, los datos se cifran tanto en tránsito como en reposo. En la sección "Recomendaciones de seguridad" de Implementación y planeamiento de Azure Virtual Machines para SAP NetWeaver se aborda la seguridad de red. En este artículo guía también se especifican los puertos de red que tiene que abrir en los firewalls para permitir la comunicación de la aplicación.

Puede usar Azure Disk Encryption para cifrar discos de máquinas virtuales Windows. Utiliza la característica BitLocker de Windows para proporcionar el cifrado del volumen de los discos de datos y del sistema operativo. La solución también funciona con Azure Key Vault para ayudarle a controlar y administrar las claves y los secretos del cifrado de discos en la suscripción de Key Vault. Los datos de los discos de máquinas virtuales se cifran en reposo en Azure Storage.

Para el cifrado de datos en reposo, Cifrado de datos transparente (TDE) de SQL Server cifra los archivos de datos de SQL Server, Azure SQL Database y Azure SQL Data Warehouse. Para obtener más información, vea Implementación de DBMS en Azure Virtual Machines de SQL Server para SAP NetWeaver.

Como siempre, asegúrese de administrar las actualizaciones y revisiones de seguridad para proteger los recursos de información. Le recomendamos emplear un enfoque de automatización integral para esta tarea.

Consideraciones sobre el costo

Puede usar la calculadora de precios de Azure para calcular los costos.

Para más información, consulte la sección acerca de los costos del artículo sobre elmarco de buena arquitectura de Microsoft Azure.

Si la carga de trabajo requiere más memoria y menos CPU, considere la posibilidad de usar uno de los tamaños de máquina virtual vCPU restringida para reducir los costos de las licencias de software que son por vCPU.

Máquinas virtuales

En esta arquitectura se usan máquinas virtuales para la capa de aplicación y la capa de base de datos. En la capa de SAP NetWeaver se usan máquinas virtuales Windows para ejecutar servicios y aplicaciones de SAP. La capa de base de datos ejecuta AnyDB como base de datos, como SQL Server, Oracle o IBM Db2. Las máquinas virtuales también se usan como jumpbox para la administración.

En general, hay varias opciones de pago para las máquinas virtuales:

• Para las cargas de trabajo que no tienen un tiempo de finalización ni un consumo de recursos predecibles, considere la posibilidad de usar la opción de pago por uso.

• Considere la posibilidad de usar Azure Reservations si puede acordar el uso de una máquina virtual durante un período de uno o tres años. Las reservas de VM pueden reducir los costos hasta un 72 % en comparación con los precios de pago por uso.

Use Azure Spot Virtual Machines para ejecutar cargas de trabajo que se puedan interrumpir y no requieran la finalización dentro de un período de tiempo predeterminado ni un contrato de nivel de servicio. Azure implementa máquinas virtuales de acceso puntual cuando hay capacidad disponible, y las expulsa cuando necesita recuperar la capacidad. Los costos asociados a las máquinas virtuales de acceso puntual son menores. Considere la posibilidad de usar VM de acceso puntual para estas cargas de trabajo:

• Escenarios informáticos de alto rendimiento, trabajos de procesamiento por lotes o aplicaciones de representación visual.
• Entornos de prueba, incluidas las cargas de trabajo de integración continua y entrega continua.
• Aplicaciones sin estado a gran escala.

Si necesita más control sobre los eventos de mantenimiento o el aislamiento de hardware, ya sea por rendimiento o cumplimiento, considere la posibilidad de implementar las máquinas virtuales en hosts dedicados.

Máquinas virtuales y conjuntos de disponibilidad

En todos los grupos y clústeres (Web Dispatcher, servidores de aplicaciones de SAP, Central Services y base de datos), las máquinas virtuales se agrupan en conjuntos de disponibilidad independientes. Los conjuntos de disponibilidad no representan ningún costo. Solo paga por cada instancia de máquina virtual que cree.

Si va a implementar una carga de trabajo en Availability Zones, no se requieren conjuntos de disponibilidad.

Azure Load Balancer

En este escenario, Azure Load Balancer se usa para distribuir el tráfico a las máquinas virtuales en la subred de la capa de aplicación.

Se le cobrará solo el número de reglas de equilibrio de carga y de salida configuradas. Las reglas NAT de entrada son gratuitas. Cuando no hay configurada ninguna regla, la instancia de Standard Load Balancer no se cobra por hora.

ExpressRoute

En esta arquitectura, ExpressRoute es el servicio de redes que se usa para crear conexiones privadas entre una red local y redes virtuales de Azure.

Toda la transferencia de datos entrantes es gratuita. Toda la transferencia de datos de salida se cobra en función de una tasa predeterminada. Para obtener más información, consulte Precios de Azure ExpressRoute.

Comunidades

Las comunidades pueden responder preguntas y ayudarle a configurar una implementación correcta. Tenga en cuenta estos recursos:

• Blog Ejecución de aplicaciones SAP en la plataforma de Microsoft

• Soporte técnico de la comunidad de Azure

• SAP Community

• Stack Overflow para SAP

Recursos relacionados

Consulte los artículos siguientes para obtener más información y ejemplos de cargas de trabajo de SAP en las que se usan algunas de las mismas tecnologías:

• Implementación y planeamiento de Azure Virtual Machines para SAP NetWeaver

• Uso de Azure para hospedar y ejecutar escenarios de carga de trabajo de SAP

• Ejecución de cargas de trabajo SAP de producción mediante una instancia de Oracle Database en Azure

• Entornos de desarrollo y pruebas para cargas de trabajo SAP en Azure