Edytuj

Uruchamianie platformy SAP NetWeaver w systemie Windows na platformie Azure

Azure ExpressRoute
SAP HANA on Azure Large Instances
Azure Virtual Machines
Azure Virtual Network
Azure NetApp Files

Ten przewodnik przedstawia zestaw sprawdzonych rozwiązań dotyczących uruchamiania oprogramowania SAP NetWeaver w środowisku systemu Windows na platformie Azure z wysoką dostępnością. Baza danych to AnyDB — termin SAP dla dowolnego obsługiwanego systemu zarządzania bazami danych (DBMS) oprócz platformy SAP HANA.

Architektura

Na poniższym diagramie przedstawiono oprogramowanie SAP NetWeaver w środowisku systemu Windows.

Diagram architektury przedstawiający rozwiązanie oprogramowania SAP NetWeaver w systemie Windows. Baza danych to AnyDB na maszynach wirtualnych platformy Azure z zestawami dostępności.

Pobierz plik programu Visio z tą architekturą.

Uwaga

Aby wdrożyć tę architekturę, potrzebujesz odpowiedniego licencjonowania produktów SAP i innych technologii innych niż microsoft.

W tym przewodniku opisano system produkcyjny. System jest wdrażany z określonymi rozmiarami maszyn wirtualnych, które można zmienić, aby dostosować je do potrzeb organizacji. System można zmniejszyć do pojedynczej maszyny wirtualnej. W tym przewodniku układ sieciowy jest znacznie uproszczony w celu zademonstrowania zasad architektury. Nie jest ona przeznaczona do opisania pełnej sieci przedsiębiorstwa.

Przepływ pracy

Sieci wirtualne. Usługa Azure Virtual Network łączy ze sobą zasoby platformy Azure z zwiększonymi zabezpieczeniami. W tej architekturze sieć wirtualna łączy się z siecią lokalną za pośrednictwem bramy usługi Azure ExpressRoute wdrożonej w centrum topologii piasty i szprych. Szprycha to sieć wirtualna używana dla aplikacji SAP i warstw baz danych. Sieć wirtualna piasty jest używana w przypadku usług udostępnionych, takich jak Azure Bastion i kopia zapasowa.

Komunikacja równorzędna sieci wirtualnych. Ta architektura korzysta z topologii sieci piasty i szprych z wieloma sieciami wirtualnymi, które są połączone za pomocą komunikacji równorzędnej. Ta topologia zapewnia segmentację sieci i izolację usług wdrożonych na platformie Azure. Komunikacja równorzędna umożliwia przezroczystą łączność między równorzędnymi sieciami wirtualnymi za pośrednictwem sieci szkieletowej firmy Microsoft. Nie wiąże się to z karą za wydajność w przypadku wdrożenia w jednym regionie. Sieć wirtualna jest podzielona na oddzielne podsieci dla każdej warstwy: aplikacji (SAP NetWeaver), bazy danych i usług udostępnionych, takich jak Bastion i rozwiązanie do tworzenia kopii zapasowych innej firmy.

Vms. Ta architektura używa maszyn wirtualnych dla warstwy aplikacji i warstwy bazy danych pogrupowanych w następujący sposób:

  • SAP NetWeaver. Warstwa aplikacji używa maszyn wirtualnych z systemem Windows do uruchamiania serwerów aplikacji SAP Central Services i SAP. W celu zapewnienia wysokiej dostępności maszyny wirtualne z uruchomionymi usługami centralnymi są konfigurowane w klastrze trybu failover systemu Windows Server. Są one obsługiwane przez udziały plików platformy Azure lub dyski udostępnione platformy Azure.

  • Dowolna baza danychDB. Warstwa bazy danych uruchamia usługę AnyDB jako bazę danych, która może być bazą danych Microsoft SQL Server, Oracle lub IBM Db2.

  • Usługa Bastion. Administracja istratory używają ulepszonej maszyny wirtualnej zabezpieczeń, która jest nazywana hostem bastionu w celu nawiązania połączenia z innymi maszynami wirtualnymi. Zazwyczaj jest to część usług udostępnionych, takich jak usługi kopii zapasowych. Jeśli protokół Secure Shell Protocol (SSH) i protokół RDP (Remote Desktop Protocol) są jedynymi usługami używanymi do administrowania serwerem, host usługi Azure Bastion jest dobrym rozwiązaniem. Jeśli używasz innych narzędzi do zarządzania, takich jak SQL Server Management Studio lub SAP Frontend, użyj tradycyjnego, samodzielnego serwera przesiadkowego.

Prywatna strefa DNS usługi.Usługa Azure Prywatna strefa DNS zapewnia niezawodną i bezpieczną usługę DNS dla sieci wirtualnej. Usługa Azure Prywatna strefa DNS zarządza i rozpoznaje nazwy domen w sieci wirtualnej bez konieczności konfigurowania niestandardowego rozwiązania DNS.

Moduły równoważenia obciążenia. Aby dystrybuować ruch do maszyn wirtualnych w podsieci warstwy aplikacji SAP w celu zapewnienia wysokiej dostępności, zalecamy użycie standardowego modułu równoważenia obciążenia platformy Azure. Należy pamiętać, że standardowy moduł równoważenia obciążenia zapewnia domyślnie poziom zabezpieczeń. Maszyny wirtualne, które znajdują się za standardowym modułem równoważenia obciążenia, nie mają wychodzącej łączności z Internetem. Aby włączyć wychodzący Internet na maszynach wirtualnych, należy zaktualizować konfigurację modułu równoważenia obciążenia w warstwie Standardowa. W przypadku wysokiej dostępności aplikacji internetowej SAP użyj wbudowanego modułu SAP Web Dispatcher lub innego komercyjnego modułu równoważenia obciążenia. W oparciu o wybór:

  • Typ ruchu, taki jak HTTP lub SAP GUI.
  • Potrzebne usługi sieciowe, takie jak kończenie żądań Protokołu SSL (Secure Sockets Layer).

Aby zapoznać się z przykładami projektowania ruchu przychodzącego/wychodzącego dostępnymi z Internetu, zobacz Przychodzące i wychodzące połączenia internetowe dla oprogramowania SAP na platformie Azure.

usługa Load Balancer w warstwie Standardowa obsługuje wiele wirtualnych adresów IP frontonu. Ta obsługa jest idealna w przypadku implementacji klastra, które obejmują następujące składniki:

  • Advanced Business Application Programming (ABAP) SAP Central Service (ASCS)
  • Serwer replikacji kolejki (ERS)

Jednostka SKU w warstwie Standardowa obsługuje również klastry SAP z wieloma systemami (multi-SID). Innymi słowy, wiele systemów SAP w systemie Windows może współdzielić wspólną infrastrukturę wysokiej dostępności, aby zaoszczędzić koszty. Oceń oszczędności kosztów i unikaj umieszczania zbyt wielu systemów w jednym klastrze. pomoc techniczna platformy Azure nie więcej niż pięć identyfikatorów SID na klaster.

Application Gateway. aplikacja systemu Azure Gateway to moduł równoważenia obciążenia ruchu internetowego, którego można użyć do zarządzania ruchem do aplikacji internetowych. Tradycyjne moduły równoważenia obciążenia działają w warstwie transportu (warstwa OSI 4 — TCP i UDP). Kierują ruch na podstawie źródłowego adresu IP i portu do docelowego adresu IP i portu. Usługa Application Gateway może podejmować decyzje dotyczące routingu na podstawie dodatkowych atrybutów żądania HTTP, takich jak ścieżka identyfikatora URI lub nagłówki hosta. Ten typ routingu jest nazywany równoważeniem obciążenia warstwy aplikacji (warstwy OSI 7).

Sieciowe grupy zabezpieczeń. Aby ograniczyć ruch przychodzący, wychodzący i wewnątrz podsieci w sieci wirtualnej, utwórz sieciowe grupy zabezpieczeń.

Grupy zabezpieczeń aplikacji. Aby zdefiniować szczegółowe zasady zabezpieczeń sieci oparte na obciążeniach, które są skoncentrowane na aplikacjach, należy używać grup zabezpieczeń aplikacji zamiast jawnych adresów IP. Grupy zabezpieczeń aplikacji umożliwiają grupowanie maszyn wirtualnych według nazw i pomaga zabezpieczyć aplikacje przez filtrowanie ruchu z zaufanych segmentów sieci.

Brama. Brama łączy różne sieci, rozszerzając sieć lokalną na sieć wirtualną platformy Azure. Zalecamy używanie usługi ExpressRoute do tworzenia połączeń prywatnych, które nie przechodzą przez publiczny Internet, ale można również użyć połączenia typu lokacja-lokacja. Aby zmniejszyć opóźnienie lub zwiększyć przepływność, rozważ użycie usługi ExpressRoute Global Reach i ExpressRoute FastPath, jak opisano w dalszej części tego artykułu.

Azure Storage. Magazyn zapewnia trwałość danych dla maszyny wirtualnej w postaci wirtualnego dysku twardego. Zalecamy używanie dysków zarządzanych platformy Azure.

Zalecenia

Ta architektura opisuje małe wdrożenie na poziomie produkcyjnym. Wdrożenia różnią się w zależności od wymagań biznesowych, dlatego należy rozważyć te zalecenia jako punkt wyjścia.

Maszyny wirtualne

W pulach serwerów aplikacji i klastrach dostosuj liczbę maszyn wirtualnych w zależności od wymagań. Aby uzyskać szczegółowe informacje na temat uruchamiania oprogramowania SAP NetWeaver na maszynach wirtualnych, zobacz Planowanie i implementacja usługi Azure Virtual Machines dla oprogramowania SAP NetWeaver.

Aby uzyskać szczegółowe informacje o obsłudze oprogramowania SAP dla typów maszyn wirtualnych platformy Azure i metryk przepływności (SAPS), zobacz uwaga sap 1928533. Aby uzyskać dostęp do notatek SAP, potrzebne jest konto sap Service Marketplace.

SAP Web Dispatcher

Składnik Web Dispatcher jest używany do równoważenia obciążenia ruchu SAP między serwerami aplikacji SAP. Aby uzyskać wysoką dostępność składnika Web Dispatcher, usługa Load Balancer służy do implementowania klastra trybu failover wystąpień usługi Web Dispatcher lub równoległej konfiguracji narzędzia Web Dispatcher. Aby uzyskać szczegółowy opis rozwiązania, zobacz Wysoka dostępność programu SAP Web Dispatcher.

Pula serwerów aplikacji

Transakcja SAP SMLG jest często używana do zarządzania grupami logowania dla serwerów aplikacji ABAP i równoważenia obciążenia użytkowników logowania. Inne transakcje, takie jak SM61 dla grup serwerów wsadowych i RZ12 dla grup zdalnego wywołania funkcji (RFC), również równoważenia obciążenia użytkowników logowania. Te transakcje korzystają z funkcji równoważenia obciążenia na serwerze komunikatów usług SAP Central Services do dystrybucji sesji przychodzących lub obciążeń między pulą serwerów aplikacji SAP dla interfejsów API SAP i ruchu RFC.

Klaster usług SAP Central Services

Ta architektura uruchamia usługi centralne na maszynach wirtualnych w warstwie aplikacji. Usługi centralne to potencjalny pojedynczy punkt awarii (SPOF), który jest wdrażany na jednej maszynie wirtualnej. Aby zaimplementować rozwiązanie o wysokiej dostępności, należy użyć klastra udziału plików lub klastra udostępnionego dysku.

W przypadku udziałów plików o wysokiej dostępności istnieje kilka opcji. Zalecamy używanie udziałów usługi Azure Files jako w pełni zarządzanych, natywnych dla chmury udziałów bloku komunikatów serwera (SMB) lub sieciowego systemu plików (NFS). Alternatywą dla usługi Azure Files jest usługa Azure NetApp Files, która zapewnia wysokiej wydajności udziały NFS i SMB.

Udziały plików o wysokiej dostępności można również zaimplementować w wystąpieniach usług centralnych przy użyciu klastra trybu failover systemu Windows Server z usługą Azure Files. To rozwiązanie obsługuje również klaster systemu Windows z dyskami udostępnionymi przy użyciu dysku udostępnionego platformy Azure jako udostępnionego woluminu klastra. Jeśli wolisz używać dysków udostępnionych, zalecamy skonfigurowanie klastra trybu failover systemu Windows Server dla klastra usług SAP Central Services za pomocą dysków udostępnionych platformy Azure.

Istnieją również produkty partnerskie, takie jak SIOS DataKeeper Cluster Edition firmy SIOS Technology Corp. Ten dodatek replikuje zawartość z niezależnych dysków dołączonych do węzłów klastra usługi ASCS, a następnie przedstawia dyski jako udostępniony wolumin klastra do oprogramowania klastra.

Jeśli używasz partycjonowania sieciowego klastra, oprogramowanie klastra używa głosów kworum do wybrania segmentu sieci i skojarzonych z nią usług, aby służyć jako mózg fragmentowanego klastra. System Windows oferuje wiele modeli kworum. To rozwiązanie korzysta z monitora w chmurze, ponieważ jest prostsze i zapewnia większą dostępność niż monitor węzła obliczeniowego. Monitor udziału plików platformy Azure jest kolejną alternatywą dla zapewnienia głosowania kworum klastra.

We wdrożeniu platformy Azure serwery aplikacji łączą się z usługami centralnymi o wysokiej dostępności przy użyciu wirtualnych nazw hostów usług ASCS lub ERS. Te nazwy hostów są przypisywane do konfiguracji adresu IP frontonu klastra modułu równoważenia obciążenia. Usługa Load Balancer obsługuje wiele adresów IP frontonu, więc wirtualne adresy IP (VIP) usługi ASCS i ERS mogą być powiązane z jednym modułem równoważenia obciążenia.

Sieć

Ta architektura korzysta z topologii piasty i szprych. Sieć wirtualna piasty działa jako centralny punkt łączności z siecią lokalną. Szprychy to sieci wirtualne, które są równorzędne z piastą i izolują obciążenia SAP. Ruch przepływa między lokalnym centrum danych a koncentratorem za pośrednictwem połączenia bramy.

Karty interfejsu sieciowego (karty sieciowe)

Karty sieciowe umożliwiają całą komunikację między maszynami wirtualnymi w sieci wirtualnej. Tradycyjne lokalne wdrożenia SAP implementują wiele kart sieciowych na maszynę w celu oddzielenia ruchu administracyjnego od ruchu biznesowego.

Na platformie Azure sieć wirtualna to sieć zdefiniowana programowo, która wysyła cały ruch przez tę samą sieć szkieletową sieci. Nie jest więc konieczne używanie wielu kart sieciowych ze względów wydajności. Jeśli jednak twoja organizacja musi segregować ruch, możesz wdrożyć wiele kart sieciowych na maszynę wirtualną i połączyć każdą kartę sieciową z inną podsiecią. Następnie można użyć sieciowych grup zabezpieczeń, aby wymusić różne zasady kontroli dostępu.

Karty sieciowe platformy Azure obsługują wiele adresów IP. Ta obsługa jest zgodna z praktyką, którą firma SAP zaleca używanie nazw hostów wirtualnych do instalacji. Aby uzyskać pełny konspekt, zobacz 962955 uwagi SAP. Aby uzyskać dostęp do notatek SAP, potrzebne jest konto sap Service Marketplace.

Podsieci i sieciowe grupy zabezpieczeń

Ta architektura dzieli przestrzeń adresową sieci wirtualnej na podsieci. Każdą podsieć można skojarzyć z sieciową grupą zabezpieczeń, która definiuje zasady dostępu dla podsieci. Umieść serwery aplikacji w oddzielnej podsieci. Dzięki temu można je łatwiej zabezpieczyć, zarządzając zasadami zabezpieczeń podsieci, a nie poszczególnymi serwerami.

Po skojarzeniu sieciowej grupy zabezpieczeń z podsiecią sieciowa grupa zabezpieczeń ma zastosowanie do wszystkich serwerów w podsieci i zapewnia szczegółową kontrolę nad serwerami. Skonfiguruj sieciowe grupy zabezpieczeń przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

ExpressRoute Global Reach

Jeśli środowisko sieciowe obejmuje co najmniej dwie połączenia usługi ExpressRoute, usługa ExpressRoute Global Reach może pomóc zmniejszyć przeskoki i opóźnienia sieci. Ta technologia to komunikacja równorzędna protokołu BGP (Border Gateway Protocol), która jest skonfigurowana między co najmniej dwoma połączeniami usługi ExpressRoute, aby połączyć dwie domeny routingu usługi ExpressRoute. Usługa Global Reach zmniejsza opóźnienie, gdy ruch sieciowy przechodzi przez więcej niż jedno połączenie usługi ExpressRoute. Jest ona obecnie dostępna tylko dla prywatnej komunikacji równorzędnej w obwodach usługi ExpressRoute.

Obecnie nie ma list kontroli dostępu do sieci ani innych atrybutów, które można zmienić w usłudze Global Reach. Wszystkie trasy poznane przez dany obwód usługi ExpressRoute (ze środowiska lokalnego i platformy Azure) są anonsowane przez komunikację równorzędną obwodu z innym obwodem usługi ExpressRoute. Zalecamy ustanowienie lokalnego filtrowania ruchu sieciowego w celu ograniczenia dostępu do zasobów.

ExpressRoute FastPath

Program FastPath ma na celu zwiększenie wydajności ścieżki danych między siecią lokalną a siecią wirtualną. Po jej włączeniu program FastPath wysyła ruch sieciowy bezpośrednio do maszyn wirtualnych w sieci wirtualnej, pomijając bramę.

W przypadku wszystkich nowych połączeń usługi ExpressRoute z platformą Azure program FastPath jest konfiguracją domyślną. W przypadku istniejących obwodów usługi ExpressRoute skontaktuj się z pomoc techniczna platformy Azure, aby aktywować usługę FastPath.

Program FastPath nie obsługuje komunikacji równorzędnej sieci wirtualnych. Jeśli inne sieci wirtualne są połączone za pomocą komunikacji równorzędnej z usługą ExpressRoute, ruch sieciowy z sieci lokalnej do innych sieci wirtualnych szprych jest wysyłany do bramy sieci wirtualnej. Obejście polega na bezpośrednim połączeniu wszystkich sieci wirtualnych z obwodem usługi ExpressRoute. Ta funkcja jest obecnie w publicznej wersji zapoznawczej.

Moduły równoważenia obciążenia

Program SAP Web Dispatcher obsługuje równoważenie obciążenia ruchu HTTP(S) do puli serwerów aplikacji SAP. Ten programowy moduł równoważenia obciążenia udostępnia usługi warstwy aplikacji (nazywane warstwą 7 w modelu sieci ISO), które mogą wykonywać kończenie żądań SSL i inne funkcje odciążania.

Azure Load Balancer to usługa warstwy transmisji sieci (warstwa 4), która równoważy ruch przy użyciu skrótu z pięciu krotki ze strumieni danych. Skrót jest oparty na źródłowym adresie IP, porcie źródłowym, docelowym adresie IP, porcie docelowym i typie protokołu. W przypadku wdrożeń SAP na platformie Azure usługa Load Balancer jest używana w konfiguracjach klastra do kierowania ruchu do wystąpienia usługi podstawowej lub do węzła w dobrej kondycji, jeśli wystąpi błąd.

Zalecamy używanie usługa Load Balancer w warstwie Standardowa dla wszystkich scenariuszy SAP. Jeśli maszyny wirtualne w puli zaplecza wymagają publicznej łączności wychodzącej lub jeśli są używane we wdrożeniu strefy platformy Azure, usługa Load Balancer w warstwie Standardowa wymaga dodatkowych konfiguracji, ponieważ są one domyślnie bezpieczne. Nie zezwalają na łączność wychodzącą, chyba że jawnie ją skonfigurujesz.

W przypadku ruchu z klientów gui sap łączących się z serwerem SAP za pośrednictwem protokołu DIAG lub RFC serwer komunikatów usług centralnych równoważy obciążenie za pośrednictwem grup logowania serwera aplikacji SAP. W przypadku tego typu konfiguracji nie potrzebujesz innego modułu równoważenia obciążenia.

Storage

Niektóre organizacje używają magazynu standardowego dla serwerów aplikacji. Dyski zarządzane w warstwie Standardowa nie są obsługiwane. Zobacz 1928533 notatek SAP. Aby uzyskać dostęp do notatek SAP, potrzebne jest konto sap Service Marketplace. Zalecamy używanie dysków zarządzanych platformy Azure w warstwie Premium we wszystkich przypadkach. Najnowsza aktualizacja oprogramowania SAP 2015553 wyklucza korzystanie z magazynu HDD w warstwie Standardowa i magazynu SSD w warstwie Standardowa w przypadku kilku konkretnych przypadków użycia.

Serwery aplikacji nie hostują danych biznesowych. Dzięki temu można również użyć mniejszych dysków P4 i P6 Premium, aby zminimalizować koszty. Dzięki temu możesz skorzystać z umowy SLA pojedynczego wystąpienia maszyny wirtualnej, jeśli masz centralną instalację stosu SAP.

W przypadku scenariuszy wysokiej dostępności można użyć udziałów plików platformy Azure i dysków udostępnionych platformy Azure. Dyski zarządzane SSD w warstwie Premium platformy Azure i usługa Azure Ultra Disk Storage są dostępne dla dysków udostępnionych platformy Azure, a dyski SSD w warstwie Premium są dostępne dla udziałów plików platformy Azure.

Magazyn jest również używany przez monitor w chmurze do obsługi kworum z urządzeniem w zdalnym regionie świadczenia usługi Azure, z dala od regionu podstawowego, w którym znajduje się klaster.

W przypadku magazynu danych kopii zapasowych zalecamy warstwy dostępu Chłodna i Archiwum platformy Azure. Te warstwy magazynowania zapewniają ekonomiczny sposób przechowywania długożytnych danych, do których rzadko uzyskuje się dostęp.

Magazyn dysków SSD w warstwie Premium w wersji 2 platformy Azure jest przeznaczony dla obciążeń o krytycznym znaczeniu dla wydajności, takich jak systemy przetwarzania transakcji online, które stale potrzebują opóźnienia poniżej milisekund w połączeniu z wysokimi liczbami operacji we/wy na sekundę i przepływnością.

Magazyn w warstwie Ultra Disk znacznie zmniejsza opóźnienie dysku. W rezultacie zapewnia ona korzyści dla aplikacji o krytycznym znaczeniu dla wydajności, takich jak serwery baz danych SAP. Aby porównać opcje magazynu blokowego na platformie Azure, zobacz Typy dysków zarządzanych platformy Azure.

W przypadku magazynu danych udostępnionych o wysokiej dostępności o wysokiej wydajności użyj usługi Azure NetApp Files. Ta technologia jest szczególnie przydatna w przypadku warstwy bazy danych podczas korzystania z bazy danych Oracle, a także podczas hostowania danych aplikacji.

Zagadnienia dotyczące wydajności

Serwery aplikacji SAP stale komunikują się z serwerami baz danych. W przypadku aplikacji o krytycznym znaczeniu dla wydajności, które działają na platformach baz danych, włącz akcelerator zapisu dla woluminu dziennika, jeśli używasz dysku SSD w warstwie Premium w wersji 1. Może to poprawić opóźnienie zapisu w dzienniku. Akcelerator zapisu jest dostępny dla maszyn wirtualnych serii M.

Aby zoptymalizować komunikację między serwerami, użyj przyspieszonej sieci. Większość rozmiarów wystąpień maszyn wirtualnych ogólnego przeznaczenia i zoptymalizowanych pod kątem obliczeń, które mają co najmniej dwa procesory wirtualne, obsługują przyspieszoną sieć. W wystąpieniach obsługujących funkcję hyperthreading wystąpienia maszyn wirtualnych z co najmniej czterema procesorami wirtualnymi obsługują przyspieszoną sieć.

Aby uzyskać wysoką przepływność operacji we/wy na sekundę i dysk, postępuj zgodnie z typowymi rozwiązaniami dotyczącymi optymalizacji wydajności woluminu magazynu, które mają zastosowanie do układu magazynu platformy Azure. Na przykład można umieścić wiele dysków razem, aby utworzyć wolumin dysku rozłożonego w celu zwiększenia wydajności operacji we/wy. Włączenie pamięci podręcznej odczytu dla zawartości magazynu, która zmienia się rzadko, zwiększa szybkość pobierania danych.

Dyski SSD w warstwie Premium w wersji 2 zapewniają wyższą wydajność niż dyski SSD w warstwie Premium i są zazwyczaj tańsze. Możesz ustawić dysk SSD w warstwie Premium w wersji 2 na dowolny obsługiwany rozmiar i dostosować wydajność bez przestojów.

Magazyn w warstwie Ultra Disk jest dostępny dla aplikacji intensywnie korzystających z operacji we/wy. Jeśli te dyski są dostępne, zalecamy użycie magazynu w warstwie Premium akceleratora zapisu. Możesz indywidualnie zwiększyć lub zmniejszyć metryki wydajności, takie jak liczba operacji we/wy na sekundę i mb/s bez konieczności ponownego uruchamiania.

Aby uzyskać wskazówki dotyczące optymalizowania usługi Azure Storage dla obciążeń SAP w programie SQL Server, zobacz Planowanie i implementacja usługi Azure Virtual Machines dla oprogramowania SAP NetWeaver.

Umieszczanie wirtualnego urządzenia sieciowego (WUS) między aplikacją a warstwami bazy danych dla stosu aplikacji SAP nie jest obsługiwane. Ta praktyka wprowadza znaczący czas przetwarzania pakietów danych, co prowadzi do niedopuszczalnej wydajności aplikacji.

Grupy umieszczania w pobliżu

Niektóre aplikacje SAP wymagają częstej komunikacji z bazą danych. Fizyczna bliskość aplikacji i warstwy bazy danych wpływa na opóźnienie sieci, co może niekorzystnie wpłynąć na wydajność aplikacji.

Aby zoptymalizować opóźnienie sieci, można użyć grup umieszczania w pobliżu, które ustawiają ograniczenie logiczne na maszynach wirtualnych wdrożonych w zestawach dostępności. Grupy umieszczania w pobliżu faworyzują współlokowanie i wydajność w przypadku skalowalności, dostępności lub kosztów. Mogą one znacznie poprawić środowisko użytkownika dla większości aplikacji SAP. Aby uzyskać skrypty dostępne w witrynie GitHub od zespołu wdrożeniowego SAP, zobacz Skrypty.

Strefy dostępności

Strefy dostępności umożliwiają wdrażanie maszyn wirtualnych w centrach danych, które są fizycznie oddzielone lokalizacjami w określonym regionie świadczenia usługi Azure. Ich celem jest zwiększenie dostępności usług. Jednak wdrażanie zasobów w różnych strefach może zwiększyć opóźnienie, dlatego należy wziąć pod uwagę zagadnienia dotyczące wydajności.

Administracja istratory potrzebują jasnego profilu opóźnienia sieci między wszystkimi strefami regionu docelowego, zanim będą mogli określić rozmieszczenie zasobów z minimalnym opóźnieniem między strefami. Aby utworzyć ten profil, wdróż małe maszyny wirtualne w każdej strefie na potrzeby testowania. Zalecane narzędzia do tych testów obejmują psPing i Iperf. Po zakończeniu testów usuń maszyny wirtualne, które zostały użyte do testowania. Alternatywnie rozważ użycie narzędzia do sprawdzania opóźnienia między strefami platformy Azure.

Zagadnienia dotyczące skalowalności

W przypadku warstwy aplikacji SAP platforma Azure oferuje szeroką gamę rozmiarów maszyn wirtualnych na potrzeby skalowania w górę i skalowania w poziomie. Aby zapoznać się z listą inkluzywną, zobacz 1928533 SAP Applications on Azure: Supported Products and Azure VM Types (Uwagi dotyczące oprogramowania SAP 1928533 — aplikacje SAP na platformie Azure: obsługiwane produkty i typy maszyn wirtualnych platformy Azure). Aby uzyskać dostęp do notatek SAP, potrzebne jest konto sap Service Marketplace.

Serwery aplikacji SAP i klastry usług centralnych można skalować w górę i w dół. Można je również skalować w poziomie lub w poziomie, zmieniając liczbę używanych wystąpień. Baza danych AnyDB może skalować w górę i w dół, ale nie skaluje się w poziomie. Kontener bazy danych SAP dla usługi AnyDB nie obsługuje fragmentowania.

Zagadnienia dotyczące dostępności

Nadmiarowość zasobów to ogólny motyw rozwiązań infrastruktury o wysokiej dostępności. Aby uzyskać umowy SLA dotyczące dostępności maszyn wirtualnych z pojedynczym wystąpieniem dla różnych typów magazynów, zobacz Umowa SLA dla maszyn wirtualnych. Aby zwiększyć dostępność usługi na platformie Azure, wdróż zasoby maszyn wirtualnych za pomocą zestawów skalowania maszyn wirtualnych z elastyczną aranżacją, strefami dostępności lub zestawami dostępności.

W przypadku platformy Azure wdrożenie obciążeń SAP może być regionalne lub strefowe, w zależności od wymagań dotyczących dostępności i odporności aplikacji SAP. Platforma Azure udostępnia różne opcje wdrażania, takie jak zestawy skalowania maszyn wirtualnych z elastyczną orkiestracją (FD=1), strefami dostępności i zestawami dostępności, aby zwiększyć dostępność zasobów. Aby uzyskać kompleksową wiedzę na temat dostępnych opcji wdrażania i ich stosowania w różnych regionach platformy Azure (w tym między strefami, w jednej strefie lub w regionie bez stref), zobacz Architektura i scenariusze wysokiej dostępności oprogramowania SAP NetWeaver.

W tej rozproszonej instalacji aplikacji SAP instalacja podstawowa jest replikowana w celu uzyskania wysokiej dostępności. W przypadku każdej warstwy architektury projekt wysokiej dostępności różni się.

Dyspozytor sieci Web w warstwie serwerów aplikacji

Składnik Web Dispatcher jest używany jako moduł równoważenia obciążenia dla ruchu SAP między serwerami aplikacji SAP. Aby uzyskać wysoką dostępność programu SAP Web Dispatcher, usługa Load Balancer implementuje klaster trybu failover lub równoległą konfigurację narzędzia Web Dispatcher.

W przypadku komunikacji dostępnej z Internetu zalecamy rozwiązanie autonomiczne w sieci obwodowej, które jest również znane jako STREFA DMZ, aby zaspokoić obawy dotyczące zabezpieczeń.

Osadzony dyspozytor sieci Web w usłudze ASCS jest specjalną opcją. Jeśli używasz tej opcji, rozważ odpowiednie ustalanie rozmiaru ze względu na dodatkowe obciążenie w usłudze ASCS.

Usługi centralne w warstwie serwerów aplikacji

Wysoka dostępność usług centralnych jest implementowana za pomocą klastra trybu failover systemu Windows Server. Gdy magazyn klastra dla klastra trybu failover zostanie wdrożony na platformie Azure, można skonfigurować go na dwa sposoby: jako dysk udostępniony klastrowany lub jako klasterowany udział plików.

Jeśli używasz usługa Load Balancer w warstwie Standardowa, możesz włączyć port wysokiej dostępności. Dzięki temu można uniknąć konieczności konfigurowania reguł równoważenia obciążenia dla wielu portów SAP. Ponadto podczas konfigurowania modułów równoważenia obciążenia platformy Azure włącz funkcję Direct Server Return (DSR), która jest również nazywana zmiennym adresem IP. Dzięki temu można obejść moduł równoważenia obciążenia w odpowiedziach serwera. To bezpośrednie połączenie pozwala modułowi równoważenia obciążenia stać się wąskim gardłem w ścieżce transmisji danych. Zalecamy włączenie praw podmiotów danych dla klastrów usługi ASCS i baz danych.

Usługi aplikacji w warstwie serwerów aplikacji

Wysoka dostępność serwerów aplikacji SAP jest osiągana przez równoważenie obciążenia ruchu w puli serwerów aplikacji. Nie potrzebujesz oprogramowania klastra, narzędzia SAP Web Dispatcher ani modułu równoważenia obciążenia platformy Azure. Serwer komunikatów SAP może równoważyć obciążenie ruchu klienta do serwerów aplikacji zdefiniowanych w grupie logowania ABAP przez transakcję SMLG transakcji.

Warstwa bazy danych

W tej architekturze źródłowa baza danych działa w usłudze AnyDB — systemach DBMS, takich jak SQL Server, SAP ASE, IBM Db2 lub Oracle. Funkcja replikacji natywnej warstwy bazy danych zapewnia ręczne lub automatyczne przechodzenie w tryb failover między zreplikowanymi węzłami.

Aby uzyskać szczegółowe informacje o implementacji określonych systemów baz danych, zobacz Wdrażanie usługi Azure Virtual Machines DBMS dla oprogramowania SAP NetWeaver.

Maszyny wirtualne wdrożone w różnych strefach dostępności

Strefa dostępności składa się z co najmniej jednego centrum danych. Została zaprojektowana tak, aby zwiększyć dostępność obciążeń i chronić usługi aplikacji i maszyny wirtualne przed awariami centrum danych. Maszyny wirtualne w jednej strefie są traktowane tak, jakby znajdowały się w jednej domenie błędów. Po wybraniu wdrożenia strefowego maszyny wirtualne w tej samej strefie są dystrybuowane do domen błędów w oparciu o najlepsze nakłady pracy.

W regionach platformy Azure, które obsługują wiele stref, dostępne są co najmniej trzy strefy. Jednak maksymalna odległość między centrami danych w tych strefach nie jest gwarantowana. Aby wdrożyć wielowarstwowy system SAP w różnych strefach, musisz znać opóźnienie sieci w strefie i w różnych strefach docelowych. Musisz również wiedzieć, jak wrażliwe są wdrożone aplikacje w przypadku opóźnienia sieci.

Podczas podejmowania decyzji o wdrożeniu zasobów w różnych strefach dostępności należy wziąć pod uwagę następujące kwestie:

  • Opóźnienie między maszynami wirtualnymi w jednej strefie
  • Opóźnienie między maszynami wirtualnymi w wybranych strefach
  • Dostępność tych samych usług platformy Azure (typów maszyn wirtualnych) w wybranych strefach

Uwaga

Strefy dostępności obsługują wysoką dostępność wewnątrz regionu, ale nie są skuteczne w przypadku odzyskiwania po awarii (DR). Odległości między strefami są zbyt krótkie. Typowe lokacje odzyskiwania po awarii powinny znajdować się w odległości co najmniej 100 mil od regionu podstawowego.

Przykład aktywnego/nieaktywnego wdrożenia

W tym przykładowym wdrożeniu stan aktywny/pasywny odnosi się do stanu usługi aplikacji w strefach. W warstwie aplikacji wszystkie cztery aktywne serwery aplikacji systemu SAP znajdują się w strefie 1. Inny zestaw czterech pasywnych serwerów aplikacji jest wbudowany w strefę 2, ale jest zamykany. Są one aktywowane tylko wtedy, gdy są potrzebne.

Klastry dwuwęźle dla usług centralnych i usług baz danych są rozciągnięte w dwóch strefach. Jeśli strefa 1 zakończy się niepowodzeniem, usługi centralne i usługi bazy danych działają w strefie 2. Pasywne serwery aplikacji w strefie 2 są aktywowane. Dzięki temu, że wszystkie składniki tego systemu SAP znajdują się teraz w tej samej strefie, opóźnienie sieci jest zminimalizowane.

Przykład aktywnego/aktywnego wdrożenia

W przypadku wdrożenia aktywnego/aktywnego dwa zestawy serwerów aplikacji są tworzone w dwóch strefach. W każdej strefie dwa serwery aplikacji w każdym zestawie serwerów są nieaktywne, ponieważ są zamykane. W związku z tym istnieją aktywne serwery aplikacji w obu strefach podczas normalnych operacji.

Usługi centralne i usługi bazy danych działają w strefie 1. Serwery aplikacji w strefie 2 mogą mieć dłuższe opóźnienie sieci podczas łączenia się z usługami centralnymi i usługami bazy danych z powodu fizycznej odległości między strefami.

Jeśli strefa 1 przejdzie w tryb offline, usługi centralne i usługi bazy danych przechodzą w tryb failover do strefy 2. Możesz przenieść uśpione serwery aplikacji w tryb online, aby zapewnić pełną pojemność przetwarzania aplikacji.

Zagadnienia dotyczące odzyskiwania po awarii

Każda warstwa w stosie aplikacji SAP używa innego podejścia do zapewnienia ochrony po awarii. Aby uzyskać szczegółowe informacje na temat strategii odzyskiwania po awarii i implementacji, zobacz Omówienie odzyskiwania po awarii i wskazówki dotyczące infrastruktury dotyczące obciążeń SAP i wytycznych dotyczących odzyskiwania po awarii dla aplikacji SAP.

Uwaga

Jeśli wystąpi awaria regionalna, która powoduje duże zdarzenie trybu failover dla wielu klientów platformy Azure w jednym regionie, pojemność zasobu regionu docelowego nie jest gwarantowana. Podobnie jak wszystkie usługi platformy Azure, usługa Site Recovery nadal dodaje funkcje i możliwości. Aby uzyskać najnowsze informacje na temat replikacji z platformy Azure do platformy Azure, zobacz macierz obsługi.

Zagadnienia dotyczące zarządzania i operacji

Aby ułatwić utrzymanie działania systemu w środowisku produkcyjnym, należy wziąć pod uwagę następujące kwestie.

Centrum platformy Azure dla rozwiązań SAP

Usługa Azure Center for SAP Solutions to kompleksowe rozwiązanie umożliwiające tworzenie i uruchamianie systemów SAP jako ujednoliconego obciążenia na platformie Azure i zapewniające bardziej bezproblemowe podstawy innowacji. Ponadto środowisko wdrażania z przewodnikiem azure Center for SAP solutions tworzy niezbędne składniki obliczeniowe, magazynowe i sieciowe potrzebne do uruchomienia systemu SAP. Następnie pomaga zautomatyzować instalację oprogramowania SAP zgodnie z najlepszymi rozwiązaniami firmy Microsoft. Możesz skorzystać z możliwości zarządzania zarówno dla nowych, jak i istniejących systemów SAP opartych na platformie Azure. Aby uzyskać więcej informacji, zobacz Azure Center for SAP solutions (Centrum platformy Azure dla rozwiązań SAP).

Jeśli potrzebujesz większej kontroli nad zdarzeniami konserwacji lub izolacją sprzętu, aby uzyskać wydajność lub zgodność, rozważ wdrożenie maszyn wirtualnych na dedykowanych hostach.

Wykonywanie kopii zapasowej

Bazy danych to krytyczne obciążenia, które wymagają niskiego celu punktu odzyskiwania (RPO) i długoterminowego przechowywania.

Zarządzanie tożsamościami

Użyj scentralizowanego systemu zarządzania tożsamościami, takiego jak Microsoft Entra ID i domena usługi Active Directory Services (AD DS), aby kontrolować dostęp do zasobów na wszystkich poziomach:

  • Zapewnianie dostępu do zasobów platformy Azure przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure.

  • Udzielanie dostępu do maszyn wirtualnych platformy Azure przy użyciu protokołu LDAP (Lightweight Directory Access Protocol), Microsoft Entra ID, Kerberos lub innego systemu.

Obsługa dostępu w samych aplikacjach przy użyciu usług zapewnianych przez oprogramowanie SAP. Możesz też użyć protokołu OAuth 2.0 i identyfikatora Entra firmy Microsoft.

Monitorowanie

Aby zmaksymalizować dostępność i wydajność aplikacji i usług na platformie Azure, użyj usługi Azure Monitor, kompleksowego rozwiązania do zbierania, analizowania i działania na podstawie danych telemetrycznych ze środowisk chmurowych i lokalnych. Usługa Azure Monitor pokazuje, jak aplikacje działają i aktywnie identyfikują problemy, które mają na nie wpływ, oraz zasoby, od których zależą. W przypadku aplikacji SAP uruchamianych na platformie SAP HANA i innych głównych rozwiązań baz danych zobacz Azure Monitor for SAP solutions (Usługa Azure Monitor dla rozwiązań SAP), aby dowiedzieć się, jak usługa Azure Monitor dla systemu SAP może pomóc w zarządzaniu dostępnością i wydajnością usług SAP.

Zagadnienia dotyczące zabezpieczeń

System SAP ma własny aparat zarządzania użytkownikami (UME) do kontrolowania dostępu opartego na rolach i autoryzacji w aplikacjach i bazach danych SAP. Aby uzyskać szczegółowe wskazówki dotyczące zabezpieczeń aplikacji, zobacz Sap NetWeaver Security Guide (Przewodnik po zabezpieczeniach oprogramowania SAP NetWeaver).

Aby uzyskać więcej zabezpieczeń sieci, rozważ użycie sieci obwodowej, która używa wirtualnego urządzenia sieciowego do utworzenia zapory przed podsiecią dla usługi Web Dispatcher.

Urządzenie WUS można wdrożyć w celu filtrowania ruchu między sieciami wirtualnymi, ale nie umieszczać go między aplikacją SAP i bazą danych. Sprawdź również reguły routingu skonfigurowane w podsieci i unikaj kierowania ruchu do urządzenia WUS pojedynczego wystąpienia. Może to prowadzić do przestojów konserwacji i awarii sieci lub węzłów klastrowanych.

W przypadku zabezpieczeń infrastruktury dane są szyfrowane podczas przesyłania i przechowywania. Aby uzyskać informacje na temat zabezpieczeń sieci, zobacz sekcję "Zalecenia dotyczące zabezpieczeń" w temacie Planowanie i implementacja usługi Azure Virtual Machines dla oprogramowania SAP NetWeaver. W tym artykule określono również porty sieciowe, które należy otworzyć na zaporach, aby umożliwić komunikację aplikacji.

Za pomocą usługi Azure Disk Encryption można szyfrować dyski maszyn wirtualnych z systemem Windows. Ta usługa używa funkcji BitLocker systemu Windows do zapewnienia szyfrowania woluminów dla systemu operacyjnego i dysków danych. Rozwiązanie współpracuje również z usługą Azure Key Vault, aby ułatwić kontrolowanie kluczy i wpisów tajnych szyfrowania dysków oraz zarządzanie nimi w ramach subskrypcji magazynu kluczy. Dane na dyskach maszyn wirtualnych są szyfrowane w magazynie platformy Azure.

W przypadku szyfrowania danych magazynowanych program SQL Server transparent data encryption (TDE) szyfruje pliki danych sql Server, Azure SQL Database i Azure Synapse Analytics. Aby uzyskać więcej informacji, zobacz Sql Server Azure Virtual Machines DBMS deployment for SAP NetWeaver (Wdrażanie programu SQL Server DBMS dla oprogramowania SAP NetWeaver).

Aby monitorować zagrożenia z poziomu zapory i spoza niej, rozważ wdrożenie usługi Microsoft Sentinel (wersja zapoznawcza). Rozwiązanie zapewnia ciągłe wykrywanie zagrożeń i analizę systemów SAP wdrożonych na platformie Azure, w innych chmurach lub w środowisku lokalnym. Aby uzyskać wskazówki dotyczące wdrażania, zobacz Deploy Threat Monitoring for SAP in Microsoft Sentinel (Wdrażanie monitorowania zagrożeń dla oprogramowania SAP w usłudze Microsoft Sentinel).

Jak zawsze zarządzaj aktualizacjami zabezpieczeń i poprawkami, aby chronić zasoby informacji. Rozważ użycie kompleksowego podejścia automatyzacji dla tego zadania.

Kwestie związane z kosztami

Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.

Aby uzyskać więcej informacji, zapoznaj się z sekcją kosztów w temacie Dobrze zaprojektowana struktura platformy Microsoft Azure.

Jeśli obciążenie wymaga większej ilości pamięci i mniejszej liczby procesorów CPU, rozważ użycie jednego z ograniczonych rozmiarów maszyn wirtualnych procesorów wirtualnych w celu zmniejszenia kosztów licencjonowania oprogramowania, które są naliczane na procesor wirtualny.

Maszyny wirtualne

Ta architektura używa maszyn wirtualnych dla warstwy aplikacji i warstwy bazy danych. Warstwa SAP NetWeaver używa maszyn wirtualnych z systemem Windows do uruchamiania usług i aplikacji SAP. Warstwa bazy danych uruchamia usługę AnyDB jako bazę danych, taką jak SQL Server, Oracle lub IBM DB2. Maszyny wirtualne są również używane jako pola przesiadkowe do zarządzania.

Istnieje kilka opcji płatności dla maszyn wirtualnych:

  • W przypadku obciążeń, które nie mają przewidywalnego czasu ukończenia lub zużycia zasobów, rozważ opcję płatności zgodnie z rzeczywistym użyciem.

  • Rozważ użycie rezerwacji platformy Azure, jeśli możesz zobowiązać się do korzystania z maszyny wirtualnej w okresie jednego roku lub trzech lat. Rezerwacje maszyn wirtualnych mogą znacznie obniżyć koszty. Możesz zapłacić nawet 72 procent kosztów usługi z płatnością zgodnie z rzeczywistym użyciem.

Użyj maszyn wirtualnych typu spot platformy Azure, aby uruchamiać obciążenia, które mogą zostać przerwane i nie wymagają ukończenia w ramach wstępnie określonego przedziału czasu ani umowy SLA. Platforma Azure wdraża maszyny wirtualne typu spot, gdy jest dostępna pojemność i eksmituje je, gdy potrzebuje pojemności z powrotem. Koszty skojarzone z maszynami wirtualnymi typu spot są niższe niż w przypadku innych maszyn wirtualnych. Rozważ użycie maszyn wirtualnych typu spot dla tych obciążeń:

  • Scenariusze obliczeń o wysokiej wydajności, zadania przetwarzania wsadowego lub aplikacje do renderowania wizualnego
  • Środowiska testowe, w tym obciążenia ciągłej integracji i ciągłego dostarczania
  • aplikacje bezstanowe na dużą skalę;

Wystąpienia zarezerwowane maszyn wirtualnych platformy Azure mogą zmniejszyć całkowity koszt posiadania, łącząc stawki wystąpień zarezerwowanych maszyn wirtualnych platformy Azure z subskrypcją z płatnością zgodnie z rzeczywistym użyciem, dzięki czemu można zarządzać kosztami w przewidywalnych i zmiennych obciążeniach. Aby uzyskać więcej informacji, zobacz Wystąpienia zarezerwowane maszyn wirtualnych platformy Azure.

Load Balancer

W tym scenariuszu usługa Load Balancer służy do dystrybucji ruchu do maszyn wirtualnych w podsieci warstwy aplikacji.

Opłaty są naliczane tylko za liczbę skonfigurowanych reguł równoważenia obciążenia i ruchu wychodzącego oraz dane przetwarzane za pośrednictwem modułu równoważenia obciążenia. Reguły translatora adresów sieciowych dla ruchu przychodzącego są bezpłatne. Nie ma opłaty godzinowej za usługa Load Balancer w warstwie Standardowa, gdy nie skonfigurowano żadnych reguł.

ExpressRoute

W tej architekturze usługa ExpressRoute to usługa sieciowa używana do tworzenia połączeń prywatnych między siecią lokalną a sieciami wirtualnymi platformy Azure.

Cały transfer danych przychodzących jest bezpłatny. Opłaty za cały transfer danych wychodzących są naliczane na podstawie wstępnie ustalonej stawki. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure ExpressRoute.

Społeczności

Społeczności mogą odpowiadać na pytania i pomagać w skonfigurowaniu udanego wdrożenia. Rozważ następujące zasoby:

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następującego współautora.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Aby uzyskać więcej informacji i przykłady obciążeń SAP korzystających z niektórych tych samych technologii co ta architektura, zobacz następujące artykuły: