Udostępnij za pośrednictwem

Instalowanie wysokiej dostępności oprogramowania SAP NetWeaver za pomocą protokołu SMB usługi Azure Files

  • Artykuł

Firma Microsoft i SAP obsługują teraz w pełni udziały plików bloków komunikatów (SMB) usługi Azure Files w warstwie Premium. Program SAP Software Provisioning Manager (SWPM) 1.0 SP32 i SWPM 2.0 SP09 (i nowsze) obsługują magazyn SMB usługi Azure Files w warstwie Premium.

Istnieją specjalne wymagania dotyczące określania rozmiaru udziałów SMB usługi Azure Files w warstwie Premium. Ten artykuł zawiera konkretne zalecenia dotyczące dystrybucji obciążeń, wybierania odpowiedniego rozmiaru magazynu i spełnienia minimalnych wymagań dotyczących instalacji dla protokołu SMB w warstwie Premium usługi Azure Files.

Rozwiązania SAP o wysokiej dostępności wymagają udziału plików o wysokiej dostępności do hostowania katalogów sapmnt, transportu i interfejsu . Azure Files Premium SMB to proste rozwiązanie platformy Azure jako usługi (PaaS) dla udostępnionych systemów plików sap w środowiskach systemu Windows. Protokół SMB usługi Azure Files w warstwie Premium można używać z zestawami dostępności i strefami dostępności. Możesz również użyć protokołu SMB usługi Azure Files w warstwie Premium na potrzeby scenariuszy odzyskiwania po awarii (DR) w innym regionie.

Uwaga

Klastrowanie wystąpień SAP ASCS/SCS przy użyciu udziału plików jest obsługiwane w systemach SAP z oprogramowaniem SAP Kernel 7.22 (i nowszym). Aby uzyskać szczegółowe informacje, zobacz 2698948 programu SAP Note.

Ustalanie rozmiaru i dystrybucja protokołu SMB usługi Azure Files w warstwie Premium dla systemów SAP

Podczas planowania wdrożenia protokołu SMB usługi Azure Files w warstwie Premium należy ocenić następujące kwestie:

  • Nazwę udziału plików sapmnt można utworzyć raz na konto magazynu. Istnieje możliwość utworzenia dodatkowych identyfikatorów magazynu (SID) jako katalogów w tym samym udziale /sapmnt, takich jak /sapmnt/<SID1> i /sapmnt/<SID2>.
  • Wybierz odpowiedni rozmiar, liczbę operacji we/wy na sekundę i przepływność. Sugerowany rozmiar udziału to 256 GB na identyfikator SID. Maksymalny rozmiar udziału wynosi 5120 GB.
  • Protokół SMB w warstwie Premium usługi Azure Files może nie działać dobrze w przypadku bardzo dużych udziałów sapmnt z ponad 1 milionami plików na konto magazynu.  Klienci, którzy mają miliony zadań wsadowych, które tworzą miliony plików dziennika zadań, powinni regularnie je reorganizować zgodnie z opisem w artykule SAP Note 16083. W razie potrzeby możesz przenieść lub zarchiwizować stare dzienniki zadań do innego udziału plików SMB usługi Azure Files w warstwie Premium. Jeśli oczekujesz , że oprogramowanie sapmnt będzie bardzo duże, rozważ inne opcje (takie jak Azure NetApp Files).
  • Zalecamy używanie prywatnego punktu końcowego sieci.
  • Unikaj umieszczania zbyt wielu identyfikatorów SI na jednym koncie magazynu i jego udziale plików.
  • Ogólnie rzecz biorąc, nie umieszczaj więcej niż czterech identyfikatorów SID nieprodukcyjnych.
  • Nie umieszczaj całego środowiska programistycznego, produkcyjnego i kontroli jakości (QAS) na jednym koncie magazynu ani w udziale plików. Awaria udziału prowadzi do przestoju całego środowiska SAP.
  • Zalecamy umieszczenie katalogów sapmnt i transportowych na różnych kontach magazynu, z wyjątkiem mniejszych systemów. Podczas instalacji podstawowego serwera aplikacji SAP program SAPinst zażąda nazwy hosta transportu . Wprowadź nazwę FQDN innego konta magazynu jako storage_account.file.core.windows.net>.<
  • Nie umieszczaj systemu plików używanego dla interfejsów na tym samym koncie magazynu co /sapmnt/<SID>.
  • Musisz dodać użytkowników i grupy SAP do udziału sapmnt . Ustaw uprawnienie Współautor udziału SMB danych pliku magazynu z podwyższonym poziomem uprawnień w witrynie Azure Portal.

Dystrybucja transportu, interfejsu i oprogramowania sapmnt między oddzielnymi kontami magazynu zwiększa przepływność i odporność. Upraszcza również analizę wydajności. Jeśli na jednym koncie usługi Azure Files umieścisz wiele identyfikatorów SID i innych systemów plików, a wydajność konta magazynu jest niska, ponieważ osiągasz limity przepływności, trudno jest zidentyfikować, który identyfikator SID lub aplikacja powoduje problem.

Planowanie

Ważne

Instalacja systemów SAP HA w usłudze Azure Files w warstwie Premium SMB z integracją usługi Active Directory wymaga współpracy między zespołami. Zalecamy, aby następujące zespoły współpracowały ze sobą w celu wykonania zadań:

  • Zespół platformy Azure: konfigurowanie i konfigurowanie kont magazynu, wykonywania skryptów i synchronizacji usługi Active Directory.
  • Zespół usługi Active Directory: tworzenie kont użytkowników i grup.
  • Zespół bazowy: w razie potrzeby uruchom narzędzie SWPM i ustaw listy kontroli dostępu (ACL).

Poniżej przedstawiono wymagania wstępne dotyczące instalacji systemów SAP NetWeaver HA w usłudze Azure Files w warstwie Premium SMB z integracją z usługą Active Directory:

  • Przyłącz serwery SAP do domeny usługi Active Directory.
  • Zreplikuj domenę usługi Active Directory zawierającą serwery SAP do identyfikatora Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft.
  • Upewnij się, że co najmniej jeden kontroler domeny usługi Active Directory znajduje się w środowisku platformy Azure, aby uniknąć przechodzenia przez usługę Azure ExpressRoute w celu skontaktowania się z kontrolerami domeny lokalnie.
  • Upewnij się, że zespół pomoc techniczna platformy Azure przegląda dokumentację dotyczącą usługi Azure Files SMB z integracją z usługą Active Directory. Wideo przedstawia dodatkowe opcje konfiguracji, które zostały zmodyfikowane (DNS) i pominięte (DFS-N) ze względów uproszczenia. Są to jednak prawidłowe opcje konfiguracji.
  • Upewnij się, że użytkownik, który uruchamia skrypt programu PowerShell usługi Azure Files, ma uprawnienia do tworzenia obiektów w usłudze Active Directory.
  • Do instalacji użyj narzędzia SWPM w wersji 1.0 SP32 i SWPM 2.0 SP09 lub nowszej. Poprawka SAPinst musi być 749.0.91 lub nowsza.
  • Zainstaluj aktualną wersję programu PowerShell w wystąpieniu systemu Windows Server, w którym jest uruchamiany skrypt.

Sekwencja instalacji

Tworzenie użytkowników i grup

Administrator usługi Active Directory powinien z wyprzedzeniem utworzyć trzech użytkowników domeny z uprawnieniami lokalnego Administracja istratora i jedną grupą globalną w lokalnym wystąpieniu usługi Active Directory systemu Windows Server.

SAPCONT_ADMIN@SAPCONTOSO.localma uprawnienia Administracja istratora domeny i służy do uruchamiania identyfikatorów SAPinst, <sid adm i SAPService<SID>> jako użytkowników systemu SAP i grupy SAP_<SAPSID>_GlobalAdministracja. Przewodnik instalacji oprogramowania SAP zawiera szczegółowe informacje wymagane dla tych kont.

Uwaga

Konta użytkowników sap nie powinny być Administracja istratorem domeny. Zazwyczaj zalecamy, aby nie używać <narzędzia sid>adm do uruchamiania narzędzia SAPinst.

Sprawdzanie programu Synchronization Service Manager

Administrator usługi Active Directory lub administrator platformy Azure powinien sprawdzić menedżera usług synchronizacji w witrynie Microsoft Entra Połączenie. Domyślnie replikacja do identyfikatora Entra firmy Microsoft trwa około 30 minut.

Tworzenie konta magazynu, prywatnego punktu końcowego i udziału plików

Administrator platformy Azure powinien wykonać następujące zadania:

  1. Na karcie Podstawy utwórz konto magazynu z magazynem strefowo nadmiarowym w warstwie Premium (ZRS) lub magazynem lokalnie nadmiarowym (LRS). Klienci z wdrożeniem strefowymi powinni wybrać magazyn ZRS. W tym miejscu administrator musi dokonać wyboru między skonfigurowaniem konta w warstwie Standardowa lub Premium .

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Ważne

    W przypadku użycia w środowisku produkcyjnym zalecamy wybranie konta Premium . W przypadku użycia nieprodukcyjnego konto standardowe powinno być wystarczające.

  2. Na karcie Zaawansowane ustawienia domyślne powinny mieć wartość OK.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. Na karcie Sieć administrator podejmuje decyzję o użyciu prywatnego punktu końcowego.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Wybierz pozycję Dodaj prywatny punkt końcowy dla konta magazynu, a następnie wprowadź informacje dotyczące tworzenia prywatnego punktu końcowego.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. W razie potrzeby dodaj rekord DNS A do systemu Windows DNS dla programu <storage_account_name>.file.core.windows.net. (Może to być konieczne w nowej strefie DNS). Omówienie tego tematu za pomocą administratora DNS. Nowa strefa nie powinna być aktualizowana poza organizacją.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Utwórz udział plików sapmnt o odpowiednim rozmiarze. Sugerowany rozmiar to 256 GB, który zapewnia 650 operacji we/wy na sekundę, 75 MB/s ruchu wychodzącego i 50 MB/s ruchu przychodzącego.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Pobierz zawartość usługi GitHub usługi Azure Files i uruchom skrypt.

    Ten skrypt tworzy konto komputera lub konto usługi w usłudze Active Directory. Ma następujące wymagania:

    • Użytkownik, który uruchamia skrypt, musi mieć uprawnienia do tworzenia obiektów w domenie usługi Active Directory, która zawiera serwery SAP. Zazwyczaj organizacja używa konta Administracja istratora domeny, takiego jak SAPCONT_ADMIN@SAPCONTOSO.local.
    • Przed uruchomieniem skryptu przez użytkownika upewnij się, że to konto użytkownika domeny usługi Active Directory jest zsynchronizowane z identyfikatorem Entra firmy Microsoft. Przykładem może być otwarcie witryny Azure Portal i przejście do użytkowników firmy Microsoft Entra, sprawdzenie, czy użytkownik SAPCONT_ADMIN@SAPCONTOSO.local istnieje, i zweryfikowanie konta użytkownika Microsoft Entra.
    • Udziel roli Kontrola dostępu oparta na rolach (RBAC) współautora do tego konta użytkownika Microsoft Entra dla grupy zasobów zawierającej konto magazynu, które zawiera udział plików. W tym przykładzie użytkownik SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com ma przypisaną rolę Współautor do odpowiedniej grupy zasobów.
    • Użytkownik powinien uruchomić skrypt podczas logowania do wystąpienia systemu Windows Server przy użyciu konta użytkownika domeny usługi Active Directory z uprawnieniem określonym wcześniej.

    W tym przykładowym scenariuszu administrator usługi Active Directory zaloguje się do wystąpienia systemu Windows Server jako SAPCONT_ADMIN@SAPCONTOSO.local. Gdy administrator używa polecenia Connect-AzAccountprogramu PowerShell, administrator łączy się jako użytkownik SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com. W idealnym przypadku administrator usługi Active Directory i administrator platformy Azure powinni współpracować nad tym zadaniem.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Ważne

    Gdy użytkownik uruchamia polecenie Connect-AzAccountskryptu programu PowerShell, zdecydowanie zalecamy wprowadzenie konta użytkownika Microsoft Entra, które odpowiada i mapuje na konto użytkownika domeny usługi Active Directory, które zostało użyte do zalogowania się do wystąpienia systemu Windows Server.

    Po pomyślnym uruchomieniu skryptu przejdź do pozycji Udziały plików magazynu>i sprawdź, czy jest wyświetlana pozycja Active Directory: Skonfigurowano.

  6. Przypisz identyfikatory SID użytkowników sap adm i identyfikator SID> sapService<oraz grupę SAP_<SAPSID>_GlobalAdministracja do udziału plików SMB usługi Azure Files w warstwie Premium.<> Wybierz rolę Współautor udziału SMB danych pliku magazynu w witrynie Azure Portal.

  7. Sprawdź listę ACL w udziale plików sapmnt po zakończeniu instalacji. Następnie dodaj konto DOMAIN\CLUSTER_NAME$, konto DOMAIN\<sid>adm, konto DOMAIN\SAPService<SID> i grupę SAP_<SID>_GlobalAdministracja. Te konta i grupy powinny mieć pełną kontrolę nad katalogem sapmnt .

    Ważne

    Wykonaj ten krok przed instalacją programu SAPinst. Zmiana list ACL po utworzeniu katalogów i plików w udziale plików będzie trudna lub niemożliwa.

    Na poniższych zrzutach ekranu przedstawiono sposób dodawania kont komputerów.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    Konto DOMAIN\CLUSTER_NAME$ można znaleźć, wybierając pozycję Komputery w obszarze Typy obiektów.

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. W razie potrzeby przenieś konto komputera utworzone dla usługi Azure Files do kontenera usługi Active Directory, który nie ma wygaśnięcia konta. Nazwa konta komputera to krótka nazwa konta magazynu.

    Ważne

    Aby zainicjować listę ACL systemu Windows dla udziału SMB, zainstaluj udział raz na literę dysku.

    Klucz magazynu to hasło, a użytkownik ma nazwę> udziału Azure\<SMB.

    Windows screenshot of the one-time mount of the SMB share.

Wykonywanie zadań SAP Basis

Administrator programu SAP Basis powinien wykonać następujące zadania:

  1. Zainstaluj klaster systemu Windows w węzłach USŁUGI ASCS/ERS i dodaj monitor w chmurze.
  2. Pierwsza instalacja węzła klastra prosi o nazwę konta magazynu SMB usługi Azure Files. Wprowadź nazwę FQDN <storage_account_name>.file.core.windows.net. Jeśli program SAPinst nie akceptuje więcej niż 13 znaków, wersja SWPM jest za stara.
  3. Zmodyfikuj profil SAP wystąpienia usługi ASCS/SCS.
  4. Zaktualizuj port sondy roli identyfikatora SID> systemu SAP <w klastrze trybu failover systemu Windows Server (WSFC).
  5. Kontynuuj instalację narzędzia SWPM dla drugiego węzła usługi ASCS/ERS. Narzędzie SWPM wymaga tylko ścieżki katalogu profilu. Wprowadź pełną ścieżkę UNC do katalogu profilu.
  6. Wprowadź ścieżkę profilu UNC dla bazy danych i instalację podstawowego serwera aplikacji (PAS) i dodatkowego serwera aplikacji (AAS).
  7. Instalacja PAS prosi o nazwę hosta transportu . Podaj nazwę FQDN oddzielnego konta magazynu dla katalogu transportu .
  8. Sprawdź listy ACL w katalogu SID i transport .

Konfiguracja odzyskiwania po awarii

Usługa Azure Files Premium SMB obsługuje scenariusze odzyskiwania po awarii i scenariusze replikacji między regionami. Wszystkie dane w katalogach SMB usługi Azure Files w warstwie Premium mogą być stale synchronizowane z kontem magazynu w regionie odzyskiwania po awarii. Aby uzyskać więcej informacji, zobacz procedurę synchronizowania plików w temacie Transferowanie danych za pomocą narzędzia AzCopy i magazynu plików.

Po zdarzeniu odzyskiwania po awarii i przejściu w tryb failover wystąpienia usługi ASCS do regionu odzyskiwania po awarii zmień SAPGLOBALHOST parametr profilu, aby wskazywał usługę Azure Files SMB w regionie odzyskiwania po awarii. Wykonaj te same kroki przygotowania na koncie magazynu odzyskiwania po awarii, aby dołączyć konto magazynu do usługi Active Directory i przypisać role RBAC dla użytkowników i grup SAP.

Rozwiązywanie problemów

Pobrane wcześniej skrypty programu PowerShell zawierają skrypt debugowania do przeprowadzania podstawowych testów sprawdzania poprawności konfiguracji.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Oto zrzut ekranu programu PowerShell przedstawiający dane wyjściowe skryptu debugowania.

Screenshot of the PowerShell script to validate configuration.

Poniższy zrzut ekranu przedstawia informacje techniczne w celu zweryfikowania pomyślnego przyłączenia do domeny.

Screenshot of the PowerShell script to retrieve technical info.

Konfiguracje opcjonalne

Na poniższych diagramach przedstawiono wiele wystąpień SAP na maszynach wirtualnych platformy Azure z uruchomionym klastrem trybu failover systemu Windows Server w celu zmniejszenia całkowitej liczby maszyn wirtualnych.

Ta konfiguracja może być lokalnymi serwerami aplikacji SAP w klastrze SAP ASCS/SCS lub rolą klastra SAP ASCS/SCS w węzłach Zawsze włączone programu Microsoft SQL Server.

Ważne

Instalowanie lokalnego serwera aplikacji SAP na węźle Zawsze włączone programu SQL Server nie jest obsługiwane.

Zarówno systemy SAP ASCS/SCS, jak i baza danych programu Microsoft SQL Server są pojedynczymi punktami awarii (SPOFs). Korzystanie z protokołu SMB usługi Azure Files pomaga chronić te funkcje SPOF w środowisku systemu Windows.

Mimo że użycie zasobów sap ASCS/SCS jest dość małe, zalecamy zmniejszenie konfiguracji pamięci o 2 GB dla programu SQL Server lub serwera aplikacji SAP.

Serwery aplikacji SAP w węzłach WSFC przy użyciu protokołu SMB usługi Azure Files

Na poniższym diagramie przedstawiono serwery aplikacji SAP zainstalowane lokalnie.

Diagram of a high-availability setup with additional application servers.

Uwaga

Na diagramie przedstawiono użycie dodatkowych dysków lokalnych. Ta konfiguracja jest opcjonalna dla klientów, którzy nie zainstalują oprogramowania aplikacji na dysku systemu operacyjnego (dysku C).

Oprogramowanie SAP ASCS/SCS w węzłach zawsze włączonych programu SQL Server przy użyciu protokołu SMB usługi Azure Files

Na poniższym diagramie przedstawiono protokół SMB usługi Azure Files z lokalną konfiguracją programu SQL Server.

Ważne

Używanie protokołu SMB usługi Azure Files dla dowolnego woluminu programu SQL Server nie jest obsługiwane.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Uwaga

Na diagramie przedstawiono użycie dodatkowych dysków lokalnych. Ta konfiguracja jest opcjonalna dla klientów, którzy nie zainstalują oprogramowania aplikacji na dysku systemu operacyjnego (dysku C).