Installare SAP NetWeaver a disponibilità elevata con File di Azure SMB

  • Articolo

Microsoft e SAP ora supportano completamente File di Azure condivisioni file SMB (Server Message Block) Premium. SAP Software Provisioning Manager (SWPM) 1.0 SP32 e SWPM 2.0 SP09 (e versioni successive) supportano File di Azure archiviazione SMB Premium.

Sono previsti requisiti speciali per il dimensionamento File di Azure condivisioni SMB Premium. Questo articolo contiene raccomandazioni specifiche su come distribuire i carichi di lavoro, scegliere una dimensione di archiviazione adeguata e soddisfare i requisiti minimi di installazione per File di Azure SMB Premium.

Le soluzioni SAP a disponibilità elevata richiedono una condivisione file a disponibilità elevata per l'hosting di directory sapmnt, trasporto e interfacce . File di Azure SMB Premium è una semplice soluzione PaaS (Platform as a Service) di Azure per file system condivisi per ambienti SAP in ambienti Windows. È possibile usare File di Azure SMB Premium con set di disponibilità e zone di disponibilità. È anche possibile usare File di Azure SMB Premium per scenari di ripristino di emergenza (DR) in un'altra area.

Nota

Il clustering di istanze di SAP ASCS/SCS tramite una condivisione file è supportato per i sistemi SAP con SAP Kernel 7.22 (e versioni successive). Per informazioni dettagliate, vedere SAP Note 2698948.

Dimensionamento e distribuzione di File di Azure SMB Premium per i sistemi SAP

Valutare i punti seguenti quando si pianifica la distribuzione di File di Azure SMB Premium:

  • Il nome della condivisione file sapmnt può essere creato una volta per ogni account di archiviazione. È possibile creare ID di archiviazione aggiuntivi (SID) come directory nella stessa condivisione /sapmnt, ad esempio /sapmnt/<SID1> e /sapmnt/<SID2>.
  • Scegliere le dimensioni, le operazioni di I/O al secondo e la velocità effettiva appropriate. Una dimensione consigliata per la condivisione è di 256 GB per SID. La dimensione massima per una condivisione è di 5.120 GB.
  • File di Azure SMB Premium potrebbe non funzionare correttamente per condivisioni sapmnt di grandi dimensioni con più di 1 milione di file per account di archiviazione.  I clienti che hanno milioni di processi batch che creano milioni di file di log del processo devono riorganizzarli regolarmente, come descritto nella nota SAP 16083. Se necessario, è possibile spostare o archiviare i log dei processi precedenti in un'altra condivisione file SMB Premium File di Azure. Se si prevede che sapmnt sia molto grande, prendere in considerazione altre opzioni, ad esempio Azure NetApp Files.
  • È consigliabile usare un endpoint di rete privata.
  • Evitare di inserire troppi SID in un singolo account di archiviazione e nella relativa condivisione file.
  • Come indicazioni generali, non raggruppare più di quattro SID non di produzione.
  • Non inserire l'intero panorama di sviluppo, produzione e controllo qualità (QAS) in un account di archiviazione o in una condivisione file. L'errore della condivisione comporta tempi di inattività dell'intero panorama SAP.
  • È consigliabile inserire le directory sapmnt e transport in account di archiviazione diversi, ad eccezione dei sistemi più piccoli. Durante l'installazione del server applicazioni primario SAP, SAPinst richiederà il nome host di trasporto . Immettere il nome di dominio completo di un account di archiviazione diverso come storage_account.file.core.windows.net>.<
  • Non inserire il file system usato per le interfacce nello stesso account di archiviazione di /sapmnt/<SID>.
  • È necessario aggiungere gli utenti e i gruppi SAP alla condivisione sapmnt . Impostare l'autorizzazione di collaboratore con privilegi elevati di condivisione SMB di Archiviazione file nel portale di Azure.

La distribuzione di trasporto, interfaccia e sapmnt tra account di archiviazione separati migliora la velocità effettiva e la resilienza. Semplifica anche l'analisi delle prestazioni. Se si inseriscono molti SID e altri file system in un singolo account di archiviazione File di Azure e le prestazioni dell'account di archiviazione sono scarse perché si stanno raggiungendo i limiti di velocità effettiva, è difficile identificare il SID o l'applicazione che causa il problema.

Pianificazione

Importante

L'installazione di sistemi SAP a disponibilità elevata in File di Azure SMB Premium con l'integrazione di Active Directory richiede la collaborazione tra team. Per ottenere le attività, è consigliabile collaborare con i team seguenti:

  • Team di Azure: configurare e configurare gli account di archiviazione, l'esecuzione di script e la sincronizzazione di Active Directory.
  • Team di Active Directory: creare account utente e gruppi.
  • Team di base: eseguire SWPM e impostare gli elenchi di controllo di accesso (ACL), se necessario.

Di seguito sono riportati i prerequisiti per l'installazione dei sistemi SAP NetWeaver a disponibilità elevata in File di Azure SMB Premium con l'integrazione di Active Directory:

  • Aggiungere i server SAP a un dominio di Active Directory.
  • Replicare il dominio di Active Directory che contiene i server SAP nell'ID Microsoft Entra usando Microsoft Entra Connessione.
  • Assicurarsi che almeno un controller di dominio di Active Directory si trova nel panorama di Azure, per evitare di attraversare Azure ExpressRoute per contattare i controller di dominio locali.
  • Assicurarsi che il team di supporto tecnico di Azure riveda la documentazione per File di Azure SMB con l'integrazione di Active Directory. Il video mostra opzioni di configurazione aggiuntive, che sono state modificate (DNS) e ignorate (DFS-N) per motivi di semplificazione. Queste sono tuttavia opzioni di configurazione valide.
  • Assicurarsi che l'utente che esegue lo script di PowerShell File di Azure abbia l'autorizzazione per creare oggetti in Active Directory.
  • Usare SWPM versione 1.0 SP32 e SWPM 2.0 SP09 o successiva per l'installazione. La patch SAPinst deve essere 749.0.91 o successiva.
  • Installare una versione aggiornata di PowerShell nell'istanza di Windows Server in cui viene eseguito lo script.

Sequenza di installazione

Creare utenti e gruppi

L'amministratore di Active Directory deve creare, in anticipo, tre utenti di dominio con diritti di Amministrazione istrator locali e un gruppo globale nell'istanza locale di Windows Server Active Directory.

SAPCONT_ADMIN@SAPCONTOSO.localdispone di diritti di domain Amministrazione istrator e viene usato per eseguire SAPinst, <sid>adm e S piattaforma di strumenti analitici ervice<SID> come utenti del sistema SAP e SAP_<S piattaforma di strumenti analitici ID>_GlobalAmministrazione Gruppo. La Guida all'installazione di SAP contiene i dettagli specifici necessari per questi account.

Nota

Gli account utente SAP non devono essere Domain Amministrazione istrator. In genere è consigliabile non usare <sid>adm per eseguire SAPinst.

Controllare Synchronization Service Manager

L'amministratore di Active Directory o l'amministratore di Azure deve controllare Synchronization Service Manager in Microsoft Entra Connessione. Per impostazione predefinita, la replica in Microsoft Entra ID richiede circa 30 minuti.

Creare un account di archiviazione, un endpoint privato e una condivisione file

L'amministratore di Azure deve completare le attività seguenti:

  1. Nella scheda Informazioni di base creare un account di archiviazione con archiviazione con ridondanza della zona Premium o archiviazione con ridondanza locale. I clienti con distribuzione a livello di zona devono scegliere L'archiviazione con ridondanza della zona. In questo caso, l'amministratore deve scegliere tra la configurazione di un account Standard o Premium .

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Importante

    Per l'uso in produzione, è consigliabile scegliere un account Premium . Per l'uso non di produzione, un account Standard deve essere sufficiente.

  2. Nella scheda Avanzate le impostazioni predefinite devono essere OK.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. Nella scheda Rete l'amministratore decide di usare un endpoint privato.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Selezionare Aggiungi endpoint privato per l'account di archiviazione e quindi immettere le informazioni per la creazione di un endpoint privato.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. Se necessario, aggiungere un record DNS A in DNS Windows per <storage_account_name>.file.core.windows.net. Potrebbe essere necessario trovarsi in una nuova zona DNS. Questo argomento viene illustrato con l'amministratore DNS. La nuova zona non deve essere aggiornata all'esterno di un'organizzazione.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Creare la condivisione file sapmnt con una dimensione appropriata. La dimensione suggerita è 256 GB, che offre 650 operazioni di I/O al secondo, 75 MB/sec in uscita e 50 MB/sec in ingresso.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Scaricare il contenuto di GitHub File di Azure ed eseguire lo script.

    Questo script crea un account computer o un account del servizio in Active Directory. Di seguito vengono indicati i requisiti per questa opzione di installazione:

    • L'utente che esegue lo script deve disporre dell'autorizzazione per creare oggetti nel dominio di Active Directory che contiene i server SAP. In genere, un'organizzazione usa un account domain Amministrazione istrator, SAPCONT_ADMIN@SAPCONTOSO.localad esempio .
    • Prima che l'utente esegua lo script, verificare che questo account utente di dominio Active Directory sia sincronizzato con Microsoft Entra ID. Ad esempio, aprire il portale di Azure e passare agli utenti di Microsoft Entra, verificare che l'utente SAPCONT_ADMIN@SAPCONTOSO.local esista e verificare l'account utente Microsoft Entra.
    • Concedere il ruolo Di controllo degli accessi in base al ruolo collaboratore a questo account utente Microsoft Entra per il gruppo di risorse che contiene l'account di archiviazione che contiene la condivisione file. In questo esempio all'utente SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com viene concesso il ruolo Collaboratore al rispettivo gruppo di risorse.
    • L'utente deve eseguire lo script durante l'accesso a un'istanza di Windows Server usando un account utente di dominio Active Directory con l'autorizzazione specificata in precedenza.

    In questo scenario di esempio, l'amministratore di Active Directory accede all'istanza di Windows Server come SAPCONT_ADMIN@SAPCONTOSO.local. Quando l'amministratore usa il comando Connect-AzAccountdi PowerShell , l'amministratore si connette come utente SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com. Idealmente, l'amministratore di Active Directory e l'amministratore di Azure devono collaborare a questa attività.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Importante

    Quando un utente esegue il comando Connect-AzAccountscript di PowerShell, è consigliabile immettere l'account utente di Microsoft Entra corrispondente e mappato all'account utente di dominio Active Directory usato per accedere a un'istanza di Windows Server.

    Dopo l'esecuzione dello script, passare a Archiviazione Condivisioni file> e verificare che venga visualizzato Active Directory: Configurato.

  6. Assegnare gli utenti <SAP sid>adm e S piattaforma di strumenti analitici ervice<SID> e il gruppo SAP_<S piattaforma di strumenti analitici ID>_GlobalAmministrazione, alla condivisione file SMB premium File di Azure. Selezionare il ruolo Archiviazione Collaboratore con privilegi elevati di condivisione file SMB nella portale di Azure.

  7. Controllare l'ACL nella condivisione file sapmnt dopo l'installazione. Aggiungere quindi l'account DOMAIN\CLUSTER_NAME$, l'account DOMAIN\<sid>adm, l'account DOMAIN\S piattaforma di strumenti analitici ervice<SID> e SAP_<SID>_GlobalAmministrazione gruppo. Questi account e gruppi devono avere il controllo completo della directory sapmnt .

    Importante

    Completare questo passaggio prima dell'installazione di SAPinst. Sarà difficile o impossibile modificare gli elenchi di controllo di accesso dopo che SAPinst ha creato directory e file nella condivisione file.

    Gli screenshot seguenti illustrano come aggiungere account computer.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    È possibile trovare l'account DOMAIN\CLUSTER_NAME$ selezionando Computer in Tipi di oggetto.

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. Se necessario, spostare l'account computer creato per File di Azure in un contenitore di Active Directory che non ha scadenza dell'account. Il nome dell'account computer è il nome breve dell'account di archiviazione.

    Importante

    Per inizializzare l'ACL di Windows per la condivisione SMB, montare la condivisione una volta in una lettera di unità.

    La chiave di archiviazione è la password e l'utente è il nome> della condivisione Azure\<SMB.

    Windows screenshot of the one-time mount of the SMB share.

Completare le attività di base SAP

Un amministratore di base SAP deve completare queste attività:

  1. Installare il cluster Windows nei nodi ASCS/ERS e aggiungere il cloud di controllo.
  2. La prima installazione del nodo del cluster richiede il nome dell'account di archiviazione SMB File di Azure. Immettere il nome di dominio completo <storage_account_name>.file.core.windows.net. Se SAPinst non accetta più di 13 caratteri, la versione swpm è troppo vecchia.
  3. Modificare il profilo SAP dell'istanza di ASCS/SCS.
  4. Aggiornare la porta probe per il ruolo SID SAP in Windows Server Failover Cluster (WSFC).Update the probe port for the SAP <SID> role in Windows Server Failover Cluster (WSFC).
  5. Continuare con l'installazione swpm per il secondo nodo ASCS/ERS. SWPM richiede solo il percorso della directory del profilo. Immettere il percorso UNC completo della directory del profilo.
  6. Immettere il percorso del profilo UNC per il database e per l'installazione del server applicazioni primario (PAS) e del server applicazioni aggiuntivo (AAS).
  7. L'installazione di PAS richiede il nome host del trasporto . Specificare il nome di dominio completo di un nome di account di archiviazione separato per la directory di trasporto .
  8. Verificare gli elenchi di controllo di accesso nella directory SID e di trasporto .

Configurazione del ripristino di emergenza

File di Azure SMB Premium supporta scenari di ripristino di emergenza e scenari di replica tra aree. Tutti i dati in File di Azure directory SMB Premium possono essere sincronizzati continuamente con l'account di archiviazione di un'area di ripristino di emergenza. Per altre informazioni, vedere la procedura per la sincronizzazione dei file in Trasferire dati con AzCopy e l'archiviazione file.

Dopo un evento di ripristino di emergenza e il failover dell'istanza ASCS nell'area di ripristino di emergenza, modificare il parametro del SAPGLOBALHOST profilo in modo che punti a File di Azure SMB nell'area di ripristino di emergenza. Eseguire gli stessi passaggi di preparazione nell'account di archiviazione di ripristino di emergenza per aggiungere l'account di archiviazione ad Active Directory e assegnare ruoli controllo degli accessi in base al ruolo per utenti e gruppi SAP.

Risoluzione dei problemi

Gli script di PowerShell scaricati in precedenza contengono uno script di debug per eseguire controlli di base per la convalida della configurazione.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Ecco uno screenshot di PowerShell dell'output dello script di debug.

Screenshot of the PowerShell script to validate configuration.

Lo screenshot seguente mostra le informazioni tecniche per convalidare un join di dominio riuscito.

Screenshot of the PowerShell script to retrieve technical info.

Configurazioni facoltative

I diagrammi seguenti illustrano più istanze SAP nelle macchine virtuali di Azure che eseguono Windows Server Failover Cluster per ridurre il numero totale di macchine virtuali.

Questa configurazione può essere server applicazioni SAP locali in un cluster SAP ASCS/SCS o un ruolo del cluster SAP ASCS/SCS nei nodi Always On di Microsoft SQL Server.

Importante

L'installazione di un server applicazioni SAP locale in un nodo Always On di SQL Server non è supportata.

Sia SAP ASCS/SCS che il database di Microsoft SQL Server sono singoli punti di errore (SPOF). L'uso di File di Azure SMB consente di proteggere questi file SPOFs in un ambiente Windows.

Anche se l'utilizzo delle risorse di SAP ASCS/SCS è piuttosto ridotto, è consigliabile ridurre la configurazione della memoria di 2 GB per SQL Server o il server applicazioni SAP.

Server applicazioni SAP nei nodi WSFC usando File di Azure SMB

Il diagramma seguente illustra i server applicazioni SAP installati localmente.

Diagram of a high-availability setup with additional application servers.

Nota

Il diagramma mostra l'uso di dischi locali aggiuntivi. Questa configurazione è facoltativa per i clienti che non installano il software dell'applicazione nell'unità del sistema operativo (unità C).

SAP ASCS/SCS nei nodi AlwaysOn di SQL Server usando File di Azure SMB

Il diagramma seguente illustra File di Azure SMB con l'installazione locale di SQL Server.

Importante

L'uso di File di Azure SMB per qualsiasi volume di SQL Server non è supportato.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Nota

Il diagramma mostra l'uso di dischi locali aggiuntivi. Questa configurazione è facoltativa per i clienti che non installano il software dell'applicazione nell'unità del sistema operativo (unità C).