在 Azure 上規劃和實作 SAP 部署

發行項
05/30/2023

在 Azure 中，組織可以取得所需的雲端資源和服務，而不需要完成冗長的採購週期。但在 Azure 中執行 SAP 工作負載需要瞭解可用的選項，並仔細規劃選擇 Azure 元件和架構來為您的解決方案提供動力。

Azure 提供執行 SAP 應用程式的完整平臺。 Azure 基礎結構即服務（IaaS）和平臺即服務（PaaS）供應專案結合，可讓您為整個 SAP 企業環境的成功部署提供最佳選擇。

本文補充 SAP 檔和 SAP 附注，這是主要來源，以取得如何在 Azure 和其他平臺上安裝及部署 SAP 軟體的相關資訊。

定義

在本文中，我們會使用下列詞彙：

SAP 元件 ：SAP S/4HANA、SAP ECC、SAP BW 或 SAP 解決方案管理員等個別 SAP 應用程式。 SAP 元件可以以傳統的進階商務應用程式程式設計（ABAP）或 JAVA 技術為基礎，或是不是以 SAP NetWeaver 為基礎的應用程式，例如 SAP BusinessObjects。
SAP 環境 ：以邏輯方式分組以執行商務功能的多個 SAP 元件，例如開發、品質保證、訓練、災害復原或生產環境。
SAP 環境 ：組織 IT 環境中整個 SAP 資產集。 SAP 環境包含所有生產和非生產環境。
SAP 系統 ：資料庫管理系統（DBMS）層與應用層的組合。兩個範例是 SAP ERP 開發系統和 SAP BW 測試系統。在 Azure 部署中，這兩個層無法在內部部署與 Azure 之間散發。 SAP 系統必須部署在內部部署或部署在 Azure 中。不過，您可以在 Azure 或內部部署的 SAP 環境中操作不同的系統。

資源

說明如何在 Azure 上裝載及執行 SAP 工作負載的檔進入點是開始使用 Azure 虛擬機器上的 SAP。在文章中，您會找到其他涵蓋下列文章的連結：

儲存體、網路和支援選項的 SAP 工作負載特定專案。
Azure 上各種 DBMS 系統的 SAP DBMS 指南。
SAP 部署指南，包括手動和自動化。
Azure 上 SAP 工作負載的高可用性和災害復原詳細資料。
與其他服務和協力廠商應用程式的 SAP on Azure 整合。

重要

如需必要條件、安裝程式和特定 SAP 功能的詳細資料，請務必仔細閱讀 SAP 檔和指南。本文僅涵蓋在 Azure 虛擬機器（VM）上安裝及操作之 SAP 軟體的特定工作。

下列 SAP 附注會形成適用于 SAP 部署的 Azure 指導方針的基礎：

附注編號	標題
1928533	Azure 上的 SAP 應用程式：支援的產品和大小調整
2015553	Azure 上的 SAP：支援必要條件
2039619	使用 Oracle Database 在 Azure 上的 SAP 應用程式
2233094	DB6：在 Azure 上使用 IBM Db2 for Linux、UNIX 和 Windows 的 SAP 應用程式
1999351	針對適用于 SAP 的增強型 Azure 監視進行疑難排解
1409604	Windows 上的虛擬化：增強型監視
2191498	Linux 上的 SAP 與 Azure：增強型監視
2731110	Azure 上 SAP 的網路虛擬裝置（NVA）支援

如需 Azure 訂用帳戶和資源一般預設和最大限制，請參閱 Azure 訂用帳戶和服務限制、配額和限制。

案例

SAP 服務通常被視為企業中最要徑任務的應用程式之一。應用程式的架構和作業很複雜，請務必確保符合可用性和效能的所有需求。企業通常會仔細考慮哪些雲端提供者選擇執行這類業務關鍵商務程式。

Azure 是商務關鍵 SAP 應用程式和商務程式的理想公用雲端平臺。最新的 SAP 軟體，包括 SAP NetWeaver 和 SAP S/4HANA 系統，目前可以裝載在 Azure 基礎結構中。 Azure 提供超過 800 種 CPU 類型和具有數 TB 記憶體的 VM。

如需支援案例的說明，以及某些不支援的案例，請參閱 Azure VM 上支援的 SAP 案例。請檢查這些案例，以及規劃要部署至 Azure 的架構時所指出不支援的條件。

若要成功將 SAP 系統部署到 Azure IaaS 或一般部署到 IaaS，請務必瞭解傳統私人雲端和 IaaS 供應專案之間的重大差異。傳統主機或外包者會將基礎結構（網路、儲存體和伺服器類型）調整為客戶想要裝載的工作負載。在 IaaS 部署中，客戶或合作夥伴有責任評估其潛在工作負載，並選擇正確的 VM、儲存體和網路 Azure 元件。

若要收集資料以規劃部署至 Azure，請務必：

判斷 Azure 中支援哪些 SAP 產品和版本。
評估您打算使用的作業系統版本是否支援您為 SAP 產品選擇的 Azure VM。
判斷 SAP 產品支援特定 VM 上的 DBMS 版本。
評估是否需要升級或更新 SAP 環境，才能配合所需的作業系統和 DBMS 版本，以達到支援的組態。
評估您是否需要移至不同的作業系統以在 Azure 中部署。

Azure 上支援的 SAP 元件、Azure 基礎結構單位和相關作業系統版本和 DBMS 版本的詳細資料，請參閱 Azure 部署支援的 SAP 軟體。您從評估 SAP 版本、作業系統版本和 DBMS 版本之間的支援和相依性，對於將 SAP 系統移至 Azure 的努力有重大影響。例如，您是否需要升級 SAP 版本或切換至不同的作業系統，以瞭解是否牽涉到重大準備工作。

規劃部署的第一個步驟

部署規劃的第一個步驟不是尋找可用來執行 SAP 應用程式的 VM。

規劃部署的第一個步驟是與 組織中的合規性 和安全性小組合作，以判斷在公用雲端中部署哪種 SAP 工作負載或商務程式的界限條件。此程式可能很耗時，但必須完成。

如果您的組織已在 Azure 中部署軟體，程式可能很簡單。如果您的公司更在旅程開始時，可能需要進行更大的討論，才能找出界限條件、安全性條件和企業架構，讓特定 SAP 資料和 SAP 商務程式裝載在公用雲端中。

規劃合規性

如需可協助您規劃合規性需求的 Microsoft 合規性供應專案清單，請參閱 Microsoft 合規性供應專案。

規劃安全性

如需 SAP 特定安全性考慮的相關資訊，例如待用資料的資料加密或其他 Azure 服務中的加密，請參閱 AZURE 加密概觀和 SAP 環境的安全性。

組織 Azure 資源

連同安全性與合規性檢閱，如果您尚未完成這項工作，請規劃如何組織 Azure 資源。此套裝程式含下列專案的相關決策：

您用於每個 Azure 資源的命名慣例，例如 VM 和資源群組。
SAP 工作負載的訂用帳戶和管理群組設計，例如每個工作負載、每個部署層或每個業務單位應該建立多個訂用帳戶。
訂用帳戶和管理群組的全企業Azure 原則使用量。

為了協助您做出正確的決策，Azure 雲端採用架構會說明許多企業架構的詳細資料。

不要低估您規劃中專案的初始階段。只有在您已備妥合規性、安全性和 Azure 資源組織的合約和規則時，您才能提前規劃部署。

後續步驟是規劃地理位置和您在 Azure 中部署的網路架構。

Azure 地理位置和區域

Azure 服務可在不同的 Azure 區域內使用。 Azure 區域是資料中心的集合。資料中心包含裝載和執列區域中可用的 Azure 服務的硬體和基礎結構。基礎結構包含大量節點，這些節點可作為計算節點或儲存體節點，或是執行網路功能。

如需 Azure 區域的清單，請參閱 Azure 地理位置。如需互動式地圖，請參閱 Azure 全域基礎結構。

並非所有 Azure 區域都提供相同的服務。視您想要執行的 SAP 產品、大小需求，以及您需要的作業系統和 DBMS 而定，特定區域可能不提供案例所需的 VM 類型。例如，如果您執行 SAP HANA，通常需要各種 M 系列 VM 系列的 VM。這些 VM 系列只會部署在 Azure 區域的子集中。

當您開始規劃和思考哪些區域要選擇為主要區域和最終次要區域時，您需要調查您案例所需的服務是否可在您考慮的區域中使用。您可以確切瞭解哪些 VM 類型、Azure 儲存體類型和其他 Azure 服務可在依區域提供的產品中每個區域取得。

Azure 配對區域

在 Azure 配對區域中，預設會在兩個區域之間啟用特定資料的複寫。如需詳細資訊，請參閱 Azure 中的跨區域複寫：商務持續性和災害復原。

區域配對中的資料複寫會系結至您可以設定為複寫至配對區域的 Azure 儲存體類型。如需詳細資訊，請參閱次要區域中儲存體備援。

支援配對區域資料複寫的儲存體類型是不適合 SAP 元件和 DBMS 工作負載的儲存體類型 。 Azure 儲存體複寫的可用性僅限於Azure Blob 儲存體（基於備份目的）、檔案共用和磁片區，以及其他高延遲儲存體案例。

當您檢查要用於主要或次要區域中的配對區域和服務時，您打算在主要區域中使用的 Azure 服務或 VM 類型可能不適用於您想要作為次要區域的配對區域。或者，您可能會因為資料合規性原因而判斷您的案例無法接受 Azure 配對區域。在這些案例中，您必須使用非修復區域作為次要或災害復原區域，而且您必須自行設定部分資料複寫。

可用性區域

許多 Azure 區域會使用可用性區域來實際分隔 Azure 區域內的位置。每個可用性區域是由一或多個配備獨立電源、冷卻和網路的資料中心所組成。使用可用性區域來增強復原功能的範例是在 Azure 的兩個不同的可用性區域中部署兩部 VM。另一個範例是針對某個可用性區域中的 SAP DBMS 系統實作高可用性架構，並在另一個可用性區域中部署 SAP （A）SCS，讓您可以在 Azure 中獲得最佳 SLA。

如需 Azure 中 VM SLA 的詳細資訊，請參閱最新版的虛擬機器 SLA 。由於 Azure 區域會快速開發和擴充，因此 Azure 區域的拓撲、實體資料中心數目、資料中心之間的距離，以及 Azure 可用性區域之間的距離會演進。基礎結構變更時的網路延遲變更。

當您選擇具有可用性區域的區域時，請遵循 SAP 工作負載設定與 Azure 可用性區域的指引。此外，也決定哪一個區域部署模型最適合您的需求、您選擇的區域，以及您的工作負載。

容錯網域

容錯網域代表失敗的實體單位。容錯網域與資料中心內含的實體基礎結構密切相關。雖然實體刀鋒視窗或機架可以視為容錯網域，但實體運算元素與容錯網域之間沒有直接的一對一對應。

當您將多個 VM 部署為一個 SAP 系統的一部分時，您可以間接影響 Azure 網狀架構控制器，將 VM 部署到不同的容錯網域，以便符合可用性 SLA 的需求。不過，您無法直接控制透過 Azure 縮放單位散發容錯網域（數百個計算節點或儲存體節點和網路集合），或將 VM 指派給特定容錯網域。若要操縱 Azure 網狀架構控制器，以在不同的容錯網域上部署一組 VM，您必須在部署時間將 Azure 可用性設定組指派給 VM。如需詳細資訊，請參閱可用性設定組。

更新網域

更新網域代表邏輯單元，可設定由多個 VM 所組成之 SAP 系統中 VM 的更新方式。當平臺更新發生時，Azure 會逐一更新這些更新網域的程式。藉由在部署期間將 VM 分散到不同的更新網域，您就可以保護 SAP 系統免于潛在的停機時間。與容錯網域類似，Azure 縮放單位分成多個更新網域。若要機動 Azure 網狀架構控制器，以在不同的更新網域上部署一組 VM，您必須在部署時間將 Azure 可用性設定組指派給 VM。如需詳細資訊，請參閱可用性設定組。

可用性設定組

一個 Azure 可用性設定組中的 Azure VM 是由 Azure 網狀架構控制器透過不同的容錯網域散發。在不同容錯網域上的散發是防止 SAP 系統的所有 VM 在基礎結構維護期間關閉，或如果一個容錯網域發生失敗。根據預設，VM 不是可用性設定組的一部分。您只能在部署時間或重新部署 VM 時，在可用性設定組中新增 VM。

若要深入瞭解 Azure 可用性設定組，以及可用性設定組與容錯網域的關係，請參閱 Azure 可用性設定組。

重要

Azure 中的可用性區域和可用性設定組互斥。您可以將多個 VM 部署到特定可用性區域或可用性設定組。但不能同時將可用性區域和可用性設定組指派給 VM。

如果您使用鄰近放置群組，則可以合併可用性設定組和可用性區域。

當您定義可用性設定組，並嘗試在一個可用性設定組中混合不同 VM 系列的各種 VM 時，可能會遇到問題，導致您無法在可用性設定組中納入特定 VM 類型。原因是可用性設定組系結至包含特定計算主機類型的縮放單位。特定類型的計算主機只能在特定類型的 VM 系列上執行。

例如，您會建立可用性設定組，並在可用性設定組中部署第一個 VM。您新增至可用性設定組的第一個 VM 位於 Edsv5 VM 系列中。當您嘗試部署第二個 VM 時，這是 M 系列中的 VM，此部署會失敗。原因是 Edsv5 系列 VM 不會在與 M 系列中的 VM 相同的主機硬體上執行。

如果您要調整 VM 的大小，可能會發生相同的問題。如果您嘗試將 VM 移出 Edsv5 系列，並移至 M 系列中的 VM 類型，則部署會失敗。如果您調整為無法裝載在相同主機硬體上的 VM 系列，您必須關閉可用性設定組中的所有 VM，並調整它們的大小，使其全部都能夠在其他主機電腦類型上執行。如需部署在可用性設定組中之 VM 的 SLA 相關資訊，請參閱虛擬機器 SLA 。

具有彈性協調流程的虛擬機器擴展集

具有彈性協調流程的虛擬機器擴展集提供平臺管理的虛擬機器邏輯群組。您可以選擇在區域內建立擴展集，或跨越可用性區域。在建立時，具有 platformFaultDomainCount > 1 （FD > 1）的區域中彈性擴展集，擴展集中部署的 VM 會分散到相同區域中的指定容錯網域數目。另一方面，使用 platformFaultDomainCount=1（FD=1）跨可用性區域建立彈性擴展集，會將 VM 分散到指定區域，而擴展集也會盡最大努力將 VM 分散到區域內的不同容錯網域。

僅支援具有 FD=1 的 SAP 工作負載彈性擴展集。 搭配 FD=1 使用彈性擴展集進行跨區域部署的優點，而不是傳統的可用性區域部署，就是使用擴展集部署的 VM 會以最佳方式分散到區域內的不同容錯網域。若要深入瞭解使用擴展集進行 SAP 工作負載部署，請參閱彈性虛擬機器調整部署指南。

在 Azure 上部署高可用性 SAP 工作負載時，請務必考慮可用的各種部署類型，以及如何跨不同 Azure 區域套用它們（例如跨區域、在單一區域或沒有區域的區域）。如需詳細資訊，請參閱 SAP 工作負載的高可用性部署選項。

提示

目前沒有直接方法可移轉部署在可用性設定組或可用性區域中的 SAP 工作負載，以使用 FD=1 彈性調整。若要進行切換，您必須使用現有資源的區域限制重新建立 VM 和磁片。開放原始碼專案包含 PowerShell 函式，您可以做為範例，將部署在可用性設定組或可用性區域中的 VM 變更為具有 FD=1 的彈性擴展集。部落格文章說明如何修改部署在可用性設定組或可用性區域中的 HA 或非 HA SAP 系統，以使用 FD=1 彈性擴展集。

鄰近放置群組

個別 SAP VM 之間的網路延遲可能會對效能產生重大影響。 SAP 應用程式伺服器與 DBMS 之間的網路往返時間特別會對商務應用程式產生重大影響。以最佳方式，所有執行 SAP VM 的計算元素都盡可能接近。在每一個組合中都不可能使用此選項，而且 Azure 可能不知道要保持在一起的 VM。在大部分情況下和區域中，預設放置會滿足網路往返延遲需求。

當預設放置不符合 SAP 系統中的網路往返需求時，鄰近放置群組可以解決此問題。您可以使用鄰近放置群組搭配 Azure 區域、可用性區域和可用性設定組的位置條件約束，以提高復原能力。使用鄰近放置群組時，可以結合可用性區域和可用性設定組，同時設定不同的更新和失敗網域。鄰近放置群組應該只包含單一 SAP 系統。

雖然鄰近放置群組中的部署可能會導致最延遲優化的放置，但使用鄰近放置群組進行部署也有缺點。某些 VM 系列無法在一個鄰近放置群組中合併，或者，如果您在 VM 系列之間調整大小，可能會發生問題。 VM 系列、區域和可用性區域的條件約束可能不支援共置。如需詳細資訊，以及瞭解使用鄰近放置群組的優點和潛在挑戰，請參閱鄰近放置群組案例。

在大部分情況下，不使用鄰近放置群組的 VM 應該是 SAP 系統的預設部署方法。此預設值特別適用于 SAP 系統的區域性（單一可用性區域）和跨區域（VM，這些 VM 會分散于兩個可用性區域之間）部署。僅基於效能考慮，使用鄰近放置群組應該僅限於 SAP 系統和 Azure 區域。

Azure 網路

Azure 有一個網路基礎結構，可對應至您可能想要在 SAP 部署中實作的所有案例。在 Azure 中，您具有下列功能：

存取 Azure 服務，以及存取應用程式所使用的 VM 中特定埠。
透過安全殼層（SSH）或 Windows 遠端桌面（RDP）直接存取 VM，以進行管理和管理。
VM 與 Azure 服務之間的內部通訊和名稱解析。
內部部署網路與 Azure 網路之間的內部部署連線。
在不同 Azure 區域中部署的服務之間進行通訊。

如需網路功能的詳細資訊，請參閱 Azure 虛擬網絡。

設計網路通常是您在部署至 Azure 時進行的第一個技術活動。支援像 SAP 這樣的中央企業架構經常是整體網路需求的一部分。在規劃階段中，您應該盡可能詳細地記錄建議的網路架構。如果您稍後進行變更，例如變更子網網路位址，您可能必須移動或刪除已部署的資源。

Azure 虛擬網路

虛擬網路是 Azure 中私人網路的基本建置組塊。您可以定義網路的位址範圍，並將範圍分隔成網路子網。網路子網可供 SAP VM 使用，也可以專用於特定服務或用途。某些 Azure 服務，例如 Azure 虛擬網絡和Azure 應用程式閘道，需要專用的子網。

虛擬網路會作為網路界限。規劃部署時所需的部分設計是定義虛擬網路、子網和私人網路位址範圍。部署 VM 之後，您無法變更 VM 的網路介面卡（NIC）等資源的虛擬網路指派。對虛擬網路或子網位址範圍進行變更可能需要您將所有已部署的資源移至不同的子網。

您的網路設計應符合 SAP 部署的數個需求：

SAP 應用程式和 SAP 產品 DBMS 層之間的通訊路徑中不會放置任何網路虛擬裝置，例如 S/4HANA 或 SAP NetWeaver。
網路路由限制是由子網層級上的網路安全性群組（NSG）強制執行。將 VM 的 IP 分組到 NSG 規則中維護的應用程式安全性群組（ASG），並提供許可權的角色、層級和 SID 群組。
SAP 應用程式和資料庫 VM 會在相同虛擬網路、單一虛擬網路的相同或不同子網內執行。針對應用程式和資料庫 VM 使用不同的子網。或者，使用專用應用程式和 DBMS ASG 將適用于相同子網內每個工作負載類型的規則分組。
加速網路功能會在技術上為 SAP 工作負載啟用所有 VM 的所有網路卡。
確保中央服務相依性的安全存取，包括名稱解析（DNS）、身分識別管理（Windows Server Active Directory 網域/Microsoft Entra ID），以及系統管理存取。
視需要提供公用端點的存取權和存取權。範例包括適用于高可用性中 ClusterLabs Pacemaker 作業的 Azure 管理，或適用于Azure 備份等 Azure 服務。
只有在必須建立具有自己路由和 NSG 規則的指定子網時，才使用多個 NIC。

如需 SAP 部署的網路架構範例，請參閱下列文章：

虛擬網路考慮

某些虛擬網路設定有要注意的特定考慮。

不支援 在 SAP 應用層與 SAP 元件 DBMS 層之間的通訊路徑中設定網路虛擬裝置 ，例如 S/4HANA 或 SAP NetWeaver 。

通訊路徑中的網路虛擬裝置可以輕鬆地將兩個通訊夥伴之間的網路延遲加倍。它們也可以限制 SAP 應用層與 DBMS 層之間重要路徑的輸送量。在某些情況下，網路虛擬裝置可能會導致 Pacemaker Linux 叢集失敗。

SAP 應用層與 DBMS 層之間的通訊路徑必須是直接路徑。如果 ASG 和 NSG 規則允許直接通訊路徑，則限制不包含 ASG 和 NSG 規則。

不支援網路虛擬裝置的其他案例如下：
- 代表 Pacemaker Linux 叢集節點和 SBD 裝置的 Azure VM 之間的通訊路徑，如 SUSE Linux Enterprise Server for SAP 應用程式的 Azure VM 上的 SAP NetWeaver 高可用性中所述。
- Azure VM 與 Windows Server 向外延展檔案共用之間的通訊路徑，如在 Azure 中使用檔案共用，在 Windows 容錯移轉叢集上將 SAP ASCS/SCS 實例叢集進行設定。
不支援 將 SAP 應用層和 DBMS 層隔離到不同的 Azure 虛擬網路 。建議您使用相同 Azure 虛擬網路內的子網，而不是使用不同的 Azure 虛擬網路來隔離 SAP 應用層和 DBMS 層。

如果您設定了隔離不同虛擬網路中兩個 SAP 系統層的不支援案例，則必須 對等互連這兩個虛擬網路 。

兩個對等互連 Azure 虛擬網路之間的網路流量受限於傳輸成本。每天，由許多 TB 組成的大量資料會在 SAP 應用層與 DBMS 層之間交換。如果 SAP 應用層和 DBMS 層在兩個對等互連的 Azure 虛擬網路之間隔離，可能會 產生大量成本 。

名稱解析和網域服務

透過 DNS 將主機名稱解析為 IP 位址通常是 SAP 網路的重要元素。您可以在 Azure 中設定名稱和 IP 解析有許多選項。

企業通常會有屬於整體架構一部分的中央 DNS 解決方案。在 Azure 原生實作名稱解析的數個選項，而不是藉由設定您自己的 DNS 伺服器，如 Azure 虛擬網路中資源的名稱解析中所述。

如同 DNS 服務，可能需要讓 SAP VM 或服務存取 Windows Server Active Directory。

IP 位址指派

NIC 的 IP 位址在 VM 的 NIC 存在時仍會保留宣告及使用。此規則同時適用于動態和靜態 IP 指派。無論 VM 正在執行還是關機，都會維持正確。如果刪除 NIC、子網變更或配置方法變更為靜態，則會釋放動態 IP 指派。

可以將固定 IP 位址指派給 Azure 虛擬網路內的 VM。 IP 位址通常會針對相依于外部 DNS 伺服器和靜態專案的 SAP 系統重新指派。 IP 位址會維持指派，直到 VM 及其 NIC 被刪除，或直到未指派 IP 位址為止。當您定義虛擬網路的 IP 位址範圍時，您必須考慮 VM 的整體數目（執行中和已停止）。

如需詳細資訊，請參閱建立具有靜態私人 IP 位址的 VM。

注意

您應該決定 Azure VM 及其 NIC 的靜態和動態 IP 位址配置。 VM 的客體作業系統將會取得 VM 開機時指派給 NIC 的 IP。您不應該將客體作業系統中的靜態 IP 位址指派給 NIC。某些 Azure 服務，例如Azure 備份依賴至少主要 NIC 設定為 DHCP，而不是作業系統內的靜態 IP 位址。如需詳細資訊，請參閱針對 Azure VM 備份進行疑難排解。

SAP 主機名稱虛擬化的次要 IP 位址

每個 Azure VM 的 NIC 都可以為其指派多個 IP 位址。次要 IP 可用於對應至 DNS A 記錄或 DNS PTR 記錄的 SAP 虛擬主機名稱。次要 IP 位址必須指派給 Azure NIC 的 IP 組態。次要 IP 也必須以靜態方式在作業系統內設定，因為次要 IP 通常不會透過 DHCP 指派。每個次要 IP 都必須來自 NIC 所系結的相同子網。您可以從 Azure NIC 新增和移除次要 IP，而不需要停止或解除配置 VM。若要新增或移除 NIC 的主要 IP，必須解除配置 VM。

注意

在次要 IP 組態上，不支援 Azure 負載平衡器的浮動 IP 位址。 Azure 負載平衡器是由 SAP 高可用性架構搭配 Pacemaker 叢集使用。在此案例中，負載平衡器會啟用 SAP 虛擬主機名稱。如需使用虛擬主機名稱的一般指引，請參閱 SAP 附注 962955 。

執行 SAP 的 VM 的 Azure Load Balancer

負載平衡器通常用於高可用性架構，以提供主動和被動叢集節點之間的浮動 IP 位址。您也可以針對單一 VM 使用負載平衡器來保存 SAP 虛擬主機名稱的虛擬 IP 位址。針對單一 VM 使用負載平衡器，是替代在 NIC 上使用次要 IP 位址，或在同一個子網中使用多個 NIC。

標準負載平衡器會修改預設的輸出存取路徑，因為其架構預設為安全。標準負載平衡器後方的 VM 可能無法再連線到相同的公用端點。有些範例是作業系統更新存放庫的端點或 Azure 服務的公用端點。如需提供輸出連線的選項，請參閱使用 Azure 標準負載平衡器的 VM 公用端點連線。

提示

基本負載平衡器不應與 Azure 中的任何 SAP 架構搭配使用。基本負載平衡器已排定為淘汰。

每個 VM 有多個 vNIC

您可以為 Azure VM 定義多個虛擬網路介面卡（vNIC），並將每個 vNIC 指派給與主要 vNIC 相同虛擬網路中的任何子網。有了多個 vNIC 的能力，您可以視需要開始設定網路流量分離。例如，用戶端流量會透過主要 vNIC 路由傳送，而某些系統管理員或後端流量會透過第二個 vNIC 路由傳送。視您使用的作業系統和映射而定，作業系統內部 NIC 的流量路由可能需要設定為正確的路由。

VM 的類型和大小會決定 VM 可以指派多少個 vNIC。如需功能和限制的相關資訊，請參閱使用 Azure 入口網站將多個 IP 位址指派給 VM。

將 vNIC 新增至 VM 並不會增加可用的網路頻寬。所有網路介面都會共用相同的頻寬。建議您只有在 VM 需要存取私人子網時，才使用多個 NIC。我們建議依賴 NSG 功能的設計模式，並簡化網路和子網需求。設計應該盡可能使用最少的網路介面，而且最好只使用一個網路介面。 HANA 向外延展是例外狀況，其中 HANA 內部網路需要次要 vNIC。

警告

如果您在 VM 上使用多個 vNIC，建議您使用主要 NIC 的子網來處理使用者網路流量。

加速網路

若要進一步降低 Azure VM 之間的網路延遲，建議您確認在執行 SAP 工作負載的每個 VM 上都已啟用 Azure 加速網路。雖然預設會針對新的 VM 啟用加速網路功能，但根據部署檢查清單，您應該確認狀態。加速網路的優點可大幅改善網路效能和延遲。當您在所有支援的 VM 上部署適用于 SAP 工作負載的 Azure VM，特別是 SAP 應用層和 SAP DBMS 層時，請使用它。連結的檔包含作業系統版本和 VM 實例的支援相依性。

內部部署連線能力

Azure 中的 SAP 部署假設已就緒中央、全商業網路架構和通訊中樞，以啟用內部部署連線。內部部署網路連線對於允許使用者和應用程式存取 Azure 中的 SAP 環境至關重要，以存取其他中央組織服務，例如中央 DNS、網域和安全性與修補程式管理基礎結構。

您有許多選項可為 Azure 上的 SAP 部署提供內部部署連線能力。網路部署最常是中樞輪輻網路拓撲，或中樞輪輻拓撲的擴充功能，也就是全域虛擬 WAN 。

針對內部部署 SAP 部署，建議您透過 Azure ExpressRoute 使用私人連線。對於較小的 SAP 工作負載、遠端區域或較小的辦公室，可以使用 VPN 內部部署連線。使用 ExpressRoute 搭配 VPN 站對站連線作為容錯移轉路徑，是這兩項服務的可能組合。

輸出和輸入網際網路連線能力

您的 SAP 環境需要連線到網際網路，無論是接收作業系統存放庫更新、在其公用端點上建立 SAP SaaS 應用程式的連線，還是透過其公用端點存取 Azure 服務。同樣地，您可能需要為用戶端提供 SAP Fiori 應用程式的存取權，並讓網際網路使用者存取 SAP 環境所提供的服務。您的 SAP 網路架構會要求您規劃通往網際網路的路徑，以及針對任何連入要求。

使用 NSG 規則、針對已知服務使用網路服務標籤，以及建立防火牆或其他網路虛擬裝置的路由和 IP 位址，保護您的虛擬網路。所有這些工作或考慮都是架構的一部分。私人網路中的資源必須受到網路第 4 層和第 7 層防火牆的保護。

與網際網路的通訊路徑是最佳做法架構的重點。

適用于 SAP 工作負載的 Azure VM

某些 Azure VM 系列特別適用于 SAP 工作負載，有些更具體地適用于 SAP HANA 工作負載。在 Azure 部署支援哪些 SAP 軟體中說明尋找正確的 VM 類型及其支援 SAP 工作負載的功能。此外，SAP 附注 1928533 會列出所有經認證的 Azure VM 及其效能功能，如適用 SAP 應用程式效能標準（SAPS）基準測試和限制所測量。經 SAP 工作負載認證的 VM 類型不會針對 CPU 和記憶體資源使用過度布建。

除了只查看所選支援的 VM 類型之外，您還需要根據依區域可用的產品，檢查特定區域中是否提供這些 VM 類型。至少重要的是判斷 VM 的下列功能是否符合您的案例：

CPU 和記憶體資源
每秒的輸入/輸出作業（IOPS）頻寬
網路功能
可連結的磁片數目
能夠使用特定 Azure 儲存體類型

若要取得特定 FM 系列和類型的這項資訊，請參閱 Azure 中虛擬機器的大小。

Azure VM 的定價模式

針對 VM 定價模型，您可以選擇您偏好使用的選項：

隨用隨付定價模式
一年期保留或儲蓄方案
三年期保留或儲蓄方案
現成定價模式

若要取得不同 Azure 服務、作業系統和區域的 VM 定價詳細資訊，請參閱虛擬機器定價。

若要瞭解一年期和三年期儲蓄方案和保留實例的定價和彈性，請參閱下列文章：

如需現成定價的詳細資訊，請參閱 Azure Spot 虛擬機器。

相同 VM 類型的定價可能會因 Azure 區域而異。有些客戶受益于部署至較不昂貴的 Azure 區域，因此當您規劃時，依區域定價的相關資訊會很有説明。

Azure 也提供使用專用主機的選項。使用專用主機可讓您更充分掌控 Azure 服務的修補週期。您可以排程修補以支援自己的排程和週期。此供應專案特別適用于工作負載未遵循工作負載正常週期的客戶。如需詳細資訊，請參閱 Azure 專用主機。

SAP 工作負載支援使用 Azure 專用主機。想要更充分掌控基礎結構修補和維護計畫的數個 SAP 客戶，請使用 Azure 專用主機。如需 Microsoft 如何維護及修補裝載 VM 的 Azure 基礎結構的詳細資訊，請參閱 Azure 中虛擬機器的維護。

VM 的作業系統

當您在 Azure 中為 SAP 環境部署新的 VM 時，若要安裝或移轉 SAP 系統，請務必為工作負載選擇正確的作業系統。 Azure 提供適用于 Linux 和 Windows 的大量作業系統映射，以及許多適用于 SAP 系統的合適選項。您也可以從內部部署環境建立或上傳自訂映射，也可以從映射庫取用或一般化。

如需可用選項的詳細資訊和資訊：

使用 Azure CLI 或 Azure PowerShell 尋找 Azure Marketplace 映射。
建立 Linux 或 Windows 的自訂映射。
使用 VM 映射產生器。

視需要規劃作業系統更新基礎結構及其 SAP 工作負載的相依性。請考慮使用存放庫預備環境，在更新期間使用相同版本的修補程式和更新，讓 SAP 環境的所有層級（沙箱、開發、生產前和生產環境）保持同步。

第 1 代和第 2 代 VM

在 Azure 中，您可以將 VM 部署為第 1 代或第 2 代。 Azure 中第 2 代 VM 的支援會列出您可以部署為第 2 代的 Azure VM 系列。本文也會列出 Azure 中第 1 代和第 2 代 VM 之間的功能差異。

當您部署 VM 時，您選擇的作業系統映射會決定 VM 是否為第 1 代或第 2 代 VM。 Azure 中可用的 SAP 所有作業系統映射最新版本（Red Hat Enterprise Linux、SuSE Enterprise Linux 和 Windows 或 Oracle Enterprise Linux）都可在第 1 代和第 2 代中使用。請務必根據映射描述來仔細選取映射，以部署正確的 VM 世代。同樣地，您可以將自訂作業系統映射建立為第 1 代或第 2 代，而且它們會影響 VM 部署時的 VM 世代。

注意

我們建議您在 Azure 中的所有 SAP 部署中使用 第 2 代 VM，不論 VM 大小為何。 SAP 的所有最新 Azure VM 都支援第 2 代，或僅限於第 2 代。某些 VM 系列目前僅支援第 2 代 VM。即將推出的某些 VM 系列可能僅支援第 2 代。

您可以根據選取的作業系統映射，判斷 VM 是第 1 代還是只有第 2 代。您無法將現有的 VM 從一代變更為另一代。

在 Azure 中無法將已部署的 VM 從第 1 代變更為第 2 代。若要變更 VM 世代，您必須部署新的 VM，這是您想要的世代，並在新一代 VM 上重新安裝軟體。這項變更只會影響 VM 的基底 VHD 映射，而且不會影響資料磁片或連結的網路檔案系統（NFS）或伺服器訊息區（SMB）共用。原本指派給第 1 代 VM 的資料磁片、NFS 共用或 SMB 共用可以連結至新一代 2 VM。

某些 VM 系列，例如 Mv2 系列，僅支援第 2 代。未來新 VM 系列的需求可能相同。在該案例中，無法調整現有的第 1 代 VM 大小，以使用新的 VM 系列。除了 Azure 平臺的第 2 代需求之外，您的 SAP 元件可能有與 VM 世代相關的需求。若要瞭解您選擇的 VM 系列的任何第 2 代需求，請參閱 SAP 附注 1928533 。

Azure VM 的效能限制

作為公用雲端，Azure 依存于在整個客戶群中以安全的方式共用基礎結構。若要啟用調整和容量，系統會為每個資源和服務定義效能限制。在 Azure 基礎結構的計算端，請務必考慮針對每個 VM 大小所定義的限制。

每個 VM 在磁片和網路輸送量上都有不同的配額、可連結的磁片數目、其是否具有自己的輸送量和 IOPS 限制的本機暫存儲存體、記憶體大小，以及可用的 vCPU 數目。

注意

當您決定 Azure 上 SAP 解決方案的 VM 大小時，您必須考慮每個 VM 大小的效能限制。檔中所述的配額代表理論上可達到的最大值。每個磁片的 IOPS 效能限制可能使用小型輸入/輸出（I/O）值（例如 8 KB），但可能無法使用大型 I/O 值來達成（例如 1 MB）。

和 VM 一樣，SAP 工作負載和所有其他 Azure 服務的每個儲存體類型都有相同的效能限制。

當您規劃並選擇要在 SAP 部署中使用的 VM 時，請考慮下列因素：

從記憶體和 CPU 需求開始。將 CPU 電源的 SAPS 需求分成 DBMS 元件和 SAP 應用程式元件。針對現有的系統，與您經常使用之硬體相關的 SAPS 可以根據現有的 SAP 標準應用程式效能評定來判斷或估計。針對新部署的 SAP 系統，請完成調整大小練習，以判斷系統的 SAPS 需求。
針對現有的系統，應該測量 DBMS 伺服器上的 I/O 輸送量和 IOPS。對於新系統，新系統的大小調整練習也應該讓您大致瞭解 DBMS 端的 I/O 需求。如果您不確定，您最終需要進行概念證明。
比較 DBMS 伺服器的 SAPS 需求與 Azure 不同 VM 類型可以提供的 SAPS。不同 Azure VM 類型的 SAPS 相關資訊記載于 SAP 附注 1928533 。重點應該先放在 DBMS VM 上，因為資料庫層是 SAP NetWeaver 系統中不會在大部分部署中相應放大的層。相反地，SAP 應用層可以相應放大。個別 DBMS 指南說明建議的儲存體組態。
摘要說明您的結果：
- 您預期使用的 Azure VM 數目。
- 每個 SAP 層的個別 VM 系列和 VM SKU：DBMS、A）SCS 和應用程式伺服器。
- I/O 輸送量量值或計算的儲存體容量需求。

HANA 大型實例服務

Azure 提供計算功能，以在稱為 SAP HANA on Azure 大型實例的專用供應專案上執行相應增加或向外延展大型 HANA 資料庫。此供應專案會擴充 Azure 中可用的 VM。

注意

HANA 大型實例服務處於日落模式，不接受新客戶。仍可能為現有的 HANA 大型實例客戶提供單位。

azure 上的 SAP 儲存體

Azure VM 會使用各種儲存體選項來進行持續性。簡單來說，VM 可以分成持續性和非持續性儲存體類型。

您可以選擇適用于 SAP 工作負載和特定 SAP 元件的多個儲存體選項。如需詳細資訊，請參閱適用于 SAP 工作負載的 Azure 儲存體。本文涵蓋 SAP 的每個部分的儲存體架構：作業系統、應用程式二進位檔、組態檔、資料庫資料、記錄檔和追蹤檔案，以及與其他應用程式的檔案介面，無論是儲存在磁片上還是存取于檔案共用上。

VM 上的暫存磁片

大部分適用于 SAP 的 Azure VM 都會提供非受控磁片的暫存磁片。僅 針對可消耗的資料使用暫存磁片 。暫存磁片上的資料可能會在未預期維護事件或 VM 重新部署期間遺失。暫存磁片的效能特性使其非常適合作業系統的交換/頁面檔案。

不應將任何應用程式或不可附加的作業系統資料儲存在暫存磁片上。在 Windows 環境中，暫存磁片磁碟機通常會以磁片磁碟機 D 的形式存取。在 Linux 系統中，掛接點通常是 /dev/sdb 裝置 、 /mnt 或 /mnt/resource 。

某些 VM 不提供暫存磁片磁碟機。如果您打算針對 SAP 使用這些 VM 大小，您可能需要增加作業系統磁片的大小。如需詳細資訊，請參閱 SAP 附注 1928533 。針對具有暫存磁片的 VM，取得暫存磁片大小的相關資訊，以及 Azure 中虛擬機器大小中每個 VM 系列的 IOPS 和輸送量限制。

您無法在具有暫存磁片的 VM 系列與沒有暫存磁片的 VM 系列之間直接調整大小。目前，這兩個這類 VM 系列之間的調整大小會失敗。解決方法是使用作業系統磁片快照集，重新建立新大小中沒有暫存磁片的 VM。保留所有其他資料磁片和網路介面。瞭解如何將具有本機暫存磁片的 VM 大小調整為沒有的 VM 大小。

SAP 的網路共用和磁片區

SAP 系統通常需要一或多個網路檔案共用。檔案共用通常是下列其中一個選項：

SAP 傳輸目錄（ /usr/sap/trans 或 TRANSDIR ）。
SAP 磁片區或共用 sapmnt 或 saploc 磁片區，以部署多個應用程式伺服器。
SAP （A）SCS、SAP ERS 或資料庫（ /hana/shared）的高可用性架構磁片區 。
執行協力廠商應用程式的檔案介面，以進行檔案匯入和匯出。

在這些案例中，我們建議您使用 Azure 服務，例如 Azure 檔案儲存體或 Azure NetApp Files 。如果您在您選擇的區域中無法使用這些服務，或解決方案架構無法使用這些服務，替代方法是從自我管理、VM 型應用程式或協力廠商服務提供 NFS 或 SMB 檔案共用。如果您針對 Azure 中 SAP 系統中的儲存體層使用協力廠商服務，請參閱 SAP 附注 2015553 有關 SAP 支援的限制。

由於網路共用的本質通常很重要，而且因為它們通常是設計中單一失敗點（適用于高可用性）或程式（針對檔案介面），因此建議您依賴每個 Azure 原生服務來取得自己的可用性、SLA 和復原能力。在規劃階段中，請務必考慮這些因素：

NFS 或 SMB 共用設計，包括每個 SAP 系統識別碼（SID）、每個橫向和每個區域的共用。
子網大小調整，包括私人端點的 IP 需求，或 Azure NetApp Files 等服務的專用子網。
將網路路由傳送至 SAP 系統和連線的應用程式。
使用公用或私人端點進行Azure 檔案儲存體。

如需需求以及如何在高可用性案例中使用 NFS 或 SMB 共用的資訊，請參閱高可用性。

注意

如果您針對網路共用使用Azure 檔案儲存體，建議您使用私人端點。在不太可能發生區域性失敗的情況下，您的 NFS 用戶端會自動重新導向至狀況良好的區域。您不需要在 VM 上重新掛接 NFS 或 SMB 共用。

SAP 環境的安全性

若要保護 Azure 上的 SAP 工作負載，您需要規劃多個安全性層面：

網路分割和每個子網和網路介面的安全性。
SAP 環境內每一層的加密。
使用者和系統管理存取和單一登入服務的身分識別解決方案。
威脅和作業監視。

本章的主題並非所有可用服務、選項和替代方案的完整清單。它確實列出幾個應該針對 Azure 中所有 SAP 部署考慮的最佳做法。視您的企業或工作負載需求而定，還有其他層面要涵蓋。如需安全性設計的詳細資訊，請參閱下列資源以取得一般 Azure 指引：

使用安全性群組保護虛擬網路

在 Azure 中規劃 SAP 環境應該包含某種程度的網路分割，且虛擬網路和子網僅專用於 SAP 工作負載。子網定義的最佳做法說明于網路和其他 Azure 架構指南中。建議您在 NSG 內搭配 ASG 使用 NSG ，以允許輸入和輸出連線。當您設計 ASG 時，VM 上的每個 NIC 都可以與多個 ASG 相關聯，因此您可以建立不同的群組。例如，為 DBMS VM 建立 ASG，其中包含整個環境的所有資料庫伺服器。針對單一 SAP SID 的所有 VM（應用程式和 DBMS）建立另一個 ASG。如此一來，您可以針對整體資料庫 ASG 定義一個 NSG 規則，而針對 SID 特定 ASG 定義另一個更特定的規則。

NSG 不會使用您為 NSG 定義的規則來限制效能。若要監視流量，您可以選擇性地使用資訊事件管理（SIEM）或您選擇的入侵偵測系統（IDS）評估的記錄來啟用 NSG 流量記錄，以監視和處理可疑的網路活動。

提示

只在子網層級啟用 NSG。雖然 NSG 可以在子網層級和 NIC 層級上啟用，但在分析網路流量限制時，在疑難排解情況時，兩者的啟用通常是阻礙。只有在特殊情況和需要時，才在 NIC 層級上使用 NSG。

服務的私人端點

根據預設，會透過公用端點存取許多 Azure PaaS 服務。雖然通訊端點位於 Azure 後端網路上，但端點會公開至公用網際網路。私人端點是您自己的專用虛擬網路內的網路介面。透過 Azure Private Link ，私人端點會將服務投影到您的虛擬網路。然後，選取的 PaaS 服務會透過網路內的 IP 私下存取。視組態而定，服務可能會設定為僅透過私人端點進行通訊。

使用私人端點可增加防止資料外泄的保護，而且通常會簡化內部部署和對等互連網路的存取。在許多情況下，網路路由和開啟公用端點通常需要的防火牆埠的程式會簡化。資源已位於您的網路內，因為它們是由私人端點存取。

若要瞭解哪些 Azure 服務提供使用私人端點的選項，請參閱 Private Link 可用的服務。針對具有 Azure 檔案儲存體的 NFS 或 SMB，建議您一律使用私人端點來處理 SAP 工作負載。若要瞭解使用服務所產生的費用，請參閱私人端點定價。某些 Azure 服務可能會選擇性地包含服務的成本。這項資訊包含在服務的定價資訊中。

加密

根據您的公司原則，您的 SAP 工作負載可能需要超過 Azure 中預設選項的加密。

基礎結構資源的加密

根據預設，Azure 中的受控磁片和 Blob 儲存體會使用平臺管理的金鑰（PMK）加密。此外，Azure 中的 SAP 工作負載也支援自備受控磁片和 Blob 儲存體的金鑰（BYOK）加密。針對受控磁片加密，您可以選擇不同的選項，視公司安全性需求而定。 Azure 加密選項包括：

儲存體端加密（SSE） PMK （SSE-PMK）
SSE 客戶管理的金鑰（SSE-CMK）
雙重待用加密
主機型加密

如需詳細資訊，包括Azure 磁碟加密的描述，請參閱 Azure 加密選項的比較。

注意

目前，由於潛在的效能限制，請勿在 M 系列 VM 系列中的 VM 上使用主機型加密。對受控磁片使用 SSE-CMK 加密不受此限制影響。

針對 Linux 系統上的 SAP 部署，請勿使用 Azure 磁碟加密。 Azure 磁碟加密需要使用來自 Azure 金鑰保存庫的 CMK，在 SAP VM 內執行加密。針對 Linux，Azure 磁碟加密不支援用於 SAP 工作負載的作業系統映射。 Azure 磁碟加密可用於具有 SAP 工作負載的 Windows 系統上，但不會將Azure 磁碟加密與資料庫原生加密結合。我們建議您使用資料庫原生加密，而不是使用 Azure 磁碟加密。如需詳細資訊，請參閱一節。

類似于受控磁片加密， Azure 檔案儲存體待用加密（SMB 和 NFS）適用于 PMK 或 CMK。

針對 SMB 網路共用，請仔細檢閱 SMB 版本的 Azure 檔案儲存體和作業系統相依性，因為設定會影響傳輸中加密的支援。

重要

如果您使用客戶管理的加密無法誇大，請謹慎規劃儲存和保護加密金鑰的重要性。如果沒有加密金鑰，磁片等加密的資源就無法存取，而且可能會導致資料遺失。請仔細考慮保護金鑰，並只對具特殊許可權的使用者或服務存取金鑰。

SAP 元件的加密

SAP 層級上的加密可以分成兩個層級：

DBMS 加密
傳輸加密

針對 DBMS 加密，SAP NetWeaver 或 SAP S/4HANA 部署所支援的每個資料庫都支援原生加密。透明資料庫加密完全獨立于 Azure 中就地的任何基礎結構加密。您可以同時使用 SSE 和資料庫加密。當您使用加密時，加密金鑰的位置、儲存體和安全保護非常重要。任何加密金鑰遺失都會導致資料遺失，因為您將無法啟動或復原資料庫。

某些資料庫可能沒有資料庫加密方法，或可能不需要專用設定來啟用。對於其他資料庫，啟用資料庫加密時，可能會隱含加密 DBMS 備份。請參閱下列 SAP 檔，以瞭解如何啟用和使用透明資料庫加密：

SAP HANA 資料和記錄磁片區加密
SQL Server：SAP 附注 1380493
Oracle：SAP 附注 974876
IBM Db2：SAP 附注 1555903
SAP ASE：SAP 附注 1972360

請連絡 SAP 或 DBMS 廠商，以取得如何啟用、使用或疑難排解軟體加密的支援。

重要

無法誇大其詞，必須謹慎地儲存和保護加密金鑰。如果沒有加密金鑰，資料庫或 SAP 軟體可能會無法存取，而且您可能會遺失資料。請仔細考慮如何保護金鑰。僅允許特殊許可權使用者或服務存取金鑰。

傳輸或 通訊加密 可以套用至 SAP 引擎與 DBMS 之間的 SQL Server 連線。同樣地，您可以從 SAP 展示層（SAPGui 安全網路連線或 SNC）或 WEB 前端的 HTTPS 連線加密連線。請參閱應用程式廠商的檔，以啟用和管理傳輸中的加密。

威脅監視和警示

若要部署和使用威脅監視和警示解決方案，請先使用組織的架構。 Azure 服務提供威脅防護和安全性檢視，您可以納入整體 SAP 部署計畫。適用於雲端的 Microsoft Defender 解決威脅防護需求。適用於雲端的 Defender通常是整個 Azure 部署的整體治理模型一部分，而不只是 SAP 元件。

如需安全性資訊事件管理（SIEM）和安全性協調流程自動化回應（SOAR）解決方案的詳細資訊，請參閱適用于 SAP 整合的 Microsoft Sentinel 解決方案。

SAP VM 內的安全性軟體

當您在 SAP 伺服器上使用病毒掃描器或安全性軟體時，適用于 Linux 和 SAP 附注的 SAP 附 2808515 注 106267 說明需求和最佳做法。建議您在 Azure 中部署 SAP 元件時遵循 SAP 建議。

高可用性

Azure 中的 SAP 高可用性有兩個元件：

Azure 基礎結構高可用性 ：Azure 計算（VM）、網路和儲存體服務的高可用性，以及其如何提高 SAP 應用程式可用性。
SAP 應用程式高可用性 ：如何使用服務修復將其與 Azure 基礎結構高可用性結合。在 SAP 軟體元件中使用高可用性的範例：
- SAP （A）SCS 和 SAP ERS 實例
- 資料庫伺服器

如需 Azure 中 SAP 高可用性的詳細資訊，請參閱下列文章：

Linux 上的 Pacemaker 和 Windows Server 容錯移轉叢集是 Microsoft 在 Azure 上直接支援的 SAP 工作負載唯一高可用性架構。 Microsoft 不支援任何其他高可用性架構，且需要廠商的設計、實作詳細資料和作業支援。如需詳細資訊，請參閱 Azure 中 SAP 支援的案例。

災害復原

SAP 應用程式通常是企業中最關鍵的商務程式之一。根據其重要性和在意外中斷之後再次運作所需的時間，應謹慎規劃商務持續性和災害復原（BCDR）案例。

若要瞭解如何解決這項需求，請參閱 SAP 工作負載的災害復原概觀和基礎結構指導方針。

Backup

作為 BCDR 策略的一部分，SAP 工作負載的備份必須是任何計畫部署不可或缺的一部分。備份解決方案必須涵蓋 SAP 解決方案堆疊的所有層：VM、作業系統、SAP 應用層、DBMS 層，以及任何共用儲存體解決方案。備份 SAP 工作負載所使用的 Azure 服務，以及其他重要資源，例如加密和存取金鑰，也必須是備份和 BCDR 設計的一部分。

Azure 備份提供適用于備份的 PaaS 解決方案：

VM 組態、作業系統和 SAP 應用層（受控磁片上的資料調整大小），透過 VM 的Azure 備份。檢閱支援矩陣，以確認您的架構可以使用此解決方案。
SQL Server 和 SAP HANA 資料庫資料和記錄備份。它包含資料庫複寫技術的支援，例如 HANA 系統複寫或 SQL Always On，以及配對區域的跨區域支援。
透過Azure 檔案儲存體進行檔案共用備份。確認對 NFS 或 SMB 和其他設定詳細資料的支援。

或者，如果您部署 Azure NetApp Files，備份選項可在磁片區層級上使用，包括 SAP HANA 和 Oracle DBMS 與排程備份的整合。

Azure 備份解決方案提供虛刪除選項，以防止惡意或意外刪除，以及防止資料遺失。虛刪除也適用于您使用 Azure 檔案儲存體部署的檔案共用。

備份選項適用于您自行建立和管理的解決方案，或者如果您使用協力廠商軟體。選項是搭配Azure 儲存體使用服務，包括針對 Blob 資料使用不可變的儲存體。此自我管理選項目前需要作為某些資料庫的 DBMS 備份選項，例如 SAP ASE 或 IBM Db2。

使用 Azure 最佳做法中的建議來保護及驗證勒索軟體攻擊。

提示

請確定備份策略包含保護部署自動化、Azure 資源的加密金鑰，以及如果使用透明資料庫加密。

跨區域備份

針對任何跨區域備份需求，請判斷解決方案所提供的復原時間目標（RTO）和復原點目標（RPO），以及它是否符合 BCDR 設計和需求。

SAP 移轉至 Azure

無法描述各種 SAP 產品、版本相依性，以及可用的原生作業系統和 DBMS 技術的所有移轉方法和選項。您組織的專案小組和服務提供者端的代表應考慮數種技術，讓 SAP 順利移轉至 Azure。

在移轉 期間測試效能。 SAP 移轉規劃的重要部分是技術效能測試。移轉小組必須有足夠的時間和可用性，讓關鍵人員執行已移轉 SAP 系統的應用程式和技術測試，包括已連線的介面和應用程式。若要成功進行 SAP 移轉，請務必比較測試環境中主要商務程式的預先移轉和移轉後執行時間和精確度。在移轉生產環境之前，請使用資訊來優化程式。
使用 Azure 服務進行 SAP 移轉 。某些以 VM 為基礎的工作負載會使用 Azure Migrate 或 Azure Site Recovery 或協力廠商工具等服務來移轉，而不需要變更至 Azure。勤奮地確認服務支援作業系統版本和其執行的 SAP 工作負載。

通常，由於服務無法保證資料庫一致性，因此刻意不支援任何資料庫工作負載。如果移轉服務支援 DBMS 類型，資料庫變更或變換率通常太高。大部分忙碌的 SAP 系統都不符合移轉工具允許的變更率。在生產移轉之前，可能不會看到或探索問題。在許多情況下，某些 Azure 服務不適合移轉 SAP 系統。 Azure Site Recovery 和 Azure Migrate 沒有大規模 SAP 移轉的驗證。經過證實的 SAP 移轉方法是依賴 DBMS 複寫或 SAP 移轉工具。

Azure 中的部署，而不是基本 VM 移轉比內部部署移轉更理想且更容易完成。 Azure Center for SAP 解決方案和 Azure 部署自動化架構等自動化部署架構可讓您快速執行自動化工作。若要使用 HANA 系統複寫、DBMS 備份和還原等 DBMS 原生複寫技術，或 SAP 移轉工具使用 SAP 系統已建立的技術知識，將 SAP 環境移轉至新的部署基礎結構。
基礎結構相應增加 。在 SAP 移轉期間，擁有更多基礎結構容量可協助您更快速地部署。專案小組應考慮相應增加 VM 大小，以提供更多的 CPU 和記憶體。小組也應該考慮擴大 VM 匯總儲存體和網路輸送量。同樣地，在 VM 層級上，請考慮儲存體元素，例如個別磁片，以增加進階版 SSD v1 隨選高載和效能層級的輸送量。如果您在設定的值上方使用進階版 SSD v2 ，請增加 IOPS 和輸送量值。放大 NFS 和 SMB 檔案共用以提高效能限制。請記住，Azure 管理磁片的大小無法減少，而且大小、效能層級和輸送量 KPI 的縮減可能會有各種降溫時間。
優化網路和資料複製 。將 SAP 系統移轉至 Azure 一律牽涉到移動大量資料。資料可能是資料庫和檔案備份或複寫、應用程式對應用程式資料傳輸或 SAP 移轉匯出。根據您使用的移轉程式，您必須選擇正確的網路路徑來移動資料。對於許多資料移動作業，使用網際網路而非私人網路是將資料安全地複製到 Azure 儲存體的最快速路徑。

使用 ExpressRoute 或 VPN 可能會導致瓶頸：
- 移轉資料會使用太多頻寬，並干擾使用者存取在 Azure 中執行的工作負載。
- 內部部署的網路瓶頸，例如防火牆或輸送量限制，通常只會在移轉期間探索。
不論使用的網路連線為何，資料移動的單一資料流程網路效能通常很低。若要透過多個 TCP 資料流程提高資料傳送速率，請使用可支援多個資料流程的工具。套用 SAP 檔和本主題上許多部落格文章中所述的優化技術。

提示

在規劃階段中，請務必考慮將用於大型資料傳輸至 Azure 的任何專用移轉網路。範例包括備份或資料庫複寫，或使用公用端點將資料傳輸到 Azure 儲存體。移轉對使用者和應用程式的網路路徑的影回應該預期並減輕。在網路規劃過程中，請考慮移轉的所有階段，以及移轉期間 Azure 中部分生產力工作負載的成本。

SAP 的支援和作業

在 Azure 中的 SAP 部署之前和期間，請務必考慮一些其他領域。

適用于 SAP 的 Azure VM 擴充功能

適用于 SAP 的 Azure 監視擴充功能 、 增強型監視 和 Azure 擴充功能全都會參考您需要部署的 VM 擴充功能，以將 Azure 基礎結構的相關一些基本資料提供給 SAP 主機代理程式。 SAP 附注可能會將擴充功能稱為監視延伸模組或 增強監視 。在 Azure 中，它稱為 適用于 SAP 的 Azure 擴充功能。基於支援目的，擴充功能必須安裝在執行 SAP 工作負載的所有 Azure VM 上。若要深入瞭解，請參閱適用于 SAP 的 Azure VM 擴充功能。

SAP 支援的 SAProuter

在 Azure 中操作 SAP 環境時，需要連線至 SAP 並從 SAP 取得支援。一般而言，如果連線是透過網際網路的加密網路通道或透過私人 VPN 連線至 SAP，則連線的形式為 SAProuter 連線。如需 Azure 中 SAProuter 的最佳做法和範例實作，請參閱 Azure 上 SAP 的輸入和輸出網際網路連線中的架構案例。