本指南提供一組經過證實的做法,以在 Azure 上的 Windows 環境中執行 SAP NetWeaver,並具有高可用性。 除了 SAP HANA 之外,資料庫是 AnyDB,這是任何支援的資料庫管理系統 (DBMS) 的 SAP 詞彙。
架構
下圖顯示 Windows 環境中的 SAP NetWeaver。
下載此架構的 Visio 檔案。
注意
若要部署此架構,您需要適當的 SAP 產品授權和其他非Microsoft技術。
本指南描述生產系統。 系統會使用您可以變更的特定虛擬機 (VM) 大小來部署系統,以因應組織的需求。 系統可縮減為單一 VM。 本指南會大幅簡化網路配置,以示範架構原則。 其並非用來描述完整的企業網路。
工作流程
虛擬網路。 Azure 虛擬網絡 服務會使用增強的安全性,將 Azure 資源彼此連線。 在此架構中,虛擬網路會透過部署在中樞輪輻拓撲中樞的 Azure ExpressRoute 網關聯機到內部部署網路。 輪輻是用於 SAP 應用程式和資料庫層的虛擬網路。 中樞虛擬網路會用於 Azure Bastion 和備份等共用服務。
虛擬網路對等互連。 此架構會使用中樞和輪輻網路拓撲,以及多個已對等互連的虛擬網路。 此拓撲會為部署在 Azure 上的服務提供網路分割和隔離。 對等互連可透過Microsoft骨幹網路,啟用對等互連虛擬網路之間的透明連線。 如果在單一區域內部署,則不會產生效能損失。 虛擬網路會分成每個層級的個別子網:應用程式 (SAP NetWeaver)、資料庫,以及 Bastion 和第三方備份解決方案等共用服務。
VM。 此架構會針對應用層和資料庫層使用 VM,並以下列方式分組:
SAP NetWeaver。 應用層會使用 Windows VM 來執行 SAP Central Services 和 SAP 應用程式伺服器。 為了達到高可用性,執行中央服務的 VM 會設定在 Windows 伺服器故障轉移叢集中。 Azure 檔案共用或 Azure 共用磁碟都支持它們。
AnyDB。 資料庫層會以資料庫的形式執行 AnyDB,它可以Microsoft SQL Server、Oracle 或 IBM Db2。
Bastion 服務。 系統管理員會使用稱為防禦主機的改良安全性 VM 來連線到其他 VM。 這通常是共用服務的一部分,例如備份服務。 如果安全殼層通訊協定 (SSH) 和遠端桌面通訊協定 (RDP) 是唯一用於伺服器管理的服務, 則 Azure Bastion 主機是很好的解決方案。 如果您使用其他管理工具,例如 SQL Server Management Studio 或 SAP Frontend,請使用傳統的自我部署跳躍方塊。
私用 DNS 服務。Azure 私用 DNS 為您的虛擬網路提供可靠且安全的 DNS 服務。 Azure 私用 DNS 管理及解析虛擬網路中的功能變數名稱,而不需要設定自定義 DNS 解決方案。
負載平衡器。 若要將流量分散到 SAP 應用層子網中的 VM 以達到高可用性,建議您使用 Azure 標準負載平衡器。 請注意,標準負載平衡器預設會提供安全性層級。 標準負載平衡器背後的 VM 沒有輸出因特網連線能力。 若要在 VM 上啟用輸出因特網,您必須更新 標準負載平衡器組態。 針對 SAP Web 應用程式高可用性,請使用內 建的 SAP Web Dispatcher 或其他商業可用的負載平衡器。 根據您的選擇:
- 您的流量類型,例如 HTTP 或 SAP GUI。
- 您需要的網路服務,例如安全套接字層 (SSL) 終止。
如需某些因特網面向的輸入/輸出設計範例,請參閱 Azure 上 SAP 的輸入和輸出因特網連線。
標準 Load Balancer 支援多個前端虛擬 IP。 此支援適用於牽涉到這些元件的叢集實作:
- 進階商務應用程式程式設計 (ABAP) SAP Central Service (ASCS)
- 加入佇列複寫伺服器 (ERS)
標準 SKU 也支援多系統識別碼 (多重 SID) SAP 叢集。 換句話說, Windows 上的多個 SAP 系統可以共用常見的高可用性基礎結構,以節省成本。 評估節省成本,並避免將太多系統放在一個叢集中。 Azure 支援 每個叢集不超過五個 SID。
應用程式閘道。 Azure 應用程式閘道 是 Web 流量負載平衡器,可用來管理 Web 應用程式的流量。 傳統負載平衡器會在傳輸層運作(OSI 第 4 層 - TCP 和 UDP)。 他們會根據來源IP位址和埠將流量路由傳送至目的地IP位址和埠。 應用程式閘道 可以根據 HTTP 要求的其他屬性做出路由決策,例如 URI 路徑或主機標頭。 此類型的路由稱為應用程式層 (OSI 第 7 層) 負載平衡。
網路安全性群組。 若要限制虛擬網路中的連入、傳出和內部子網流量,請建立 網路安全組。
應用程式安全性群組。 若要定義以應用程式為中心的更精細工作負載型網路安全策略,請使用 應用程式安全組 ,而不是明確的IP位址。 應用程式安全組提供依名稱分組 VM 的方式,並透過篩選來自網路受信任區段的流量,協助您保護應用程式的安全。
閘道。 閘道會連線不同的網路,將您的內部部署網路延伸至 Azure 虛擬網路。 建議您使用 ExpressRoute 來建立不會經過公用因特網的私人連線,但您也可以使用 站對站 連線。 若要減少延遲或增加輸送量,請考慮 使用 ExpressRoute Global Reach 和 ExpressRoute FastPath,如本文稍後所述。
Azure 儲存體。 記憶體會以虛擬硬碟的形式為 VM 提供數據持續性。 我們建議 使用 Azure 受控磁碟。
建議
此架構描述小型生產層級部署。 部署會根據商務需求而有所不同,因此請將這些建議視為起點。
VM
在應用程式伺服器集區和叢集中,根據您的需求調整 VM 數目。 如需在 VM 上執行 SAP NetWeaver 的詳細資訊,請參閱適用於 SAP NetWeaver 的 Azure 虛擬機器 規劃和實作。
如需 Azure VM 類型和輸送量計量的 SAP 支援詳細數據,請參閱 SAP 附註1928533。 若要存取 SAP 附注,您需要 SAP 服務 Marketplace 帳戶。
SAP Web 發送器
Web Dispatcher 元件用於在 SAP 應用程式伺服器之間負載平衡 SAP 流量。 為了達到 Web 發送器元件的高可用性,Load Balancer 可用來實作 Web Dispatcher 實例的故障轉移叢集或平行 Web 發送器設定。 如需解決方案的詳細描述,請參閱 SAP Web Dispatcher 的高可用性。
應用程式伺服器集區
SAP SMLG 交易通常用於管理 ABAP 應用程式伺服器的登入群組,以及負載平衡登入使用者。 其他交易,例如批處理伺服器群組的SM61,以及遠端函數調用 (RFC) 群組的 RZ12,也會對登入用戶進行負載平衡。 這些交易會使用 SAP 中央服務的訊息伺服器內的負載平衡功能,在 SAP GUIs 和 RFC 流量的 SAP 應用程式伺服器集區之間散發連入會話或工作負載。
SAP 中央服務叢集
此架構會在應用層的 VM 上執行中央服務。 中央服務是部署至單一 VM 時的潛在單一失敗點(SPOF)。 若要實作高可用性解決方案,請使用檔案共用叢集或共用磁碟叢集。
針對高可用性檔案共用,有數個選項。 建議您使用 Azure 檔案儲存體 共用作為完全受控、雲端原生伺服器消息塊 (SMB) 或網路檔案系統 (NFS) 共用。 Azure 檔案儲存體 的替代方案是 Azure NetApp Files,可提供高效能的 NFS 和 SMB 共用。
您也可以使用具有 Azure 檔案儲存體 的 Windows 伺服器故障轉移叢集,在中央服務實例上實作高可用性檔案共用。 此解決方案也支援具有共用磁碟的 Windows 叢集,方法是使用 Azure 共用磁碟作為叢集共用磁碟區。 如果您想要使用共用磁碟,建議您使用 Azure 共用磁碟 來設定 SAP Central Services 叢集的 Windows Server 故障轉移叢集。
也有來自SIOS Technology Corp的SIOS DataKeeper Cluster Edition 等合作夥伴產品。此附加元件會從連接至 ASCS 叢集節點的獨立磁碟復寫內容,然後將磁碟顯示為叢集共用磁碟區給叢集軟體。
如果您使用叢集網路分割,叢集軟體會使用仲裁投票來選取網路的區段及其相關聯的服務,以作為分散叢集的大腦。 Windows 提供許多仲裁模型。 此解決方案會使用 雲端見證 ,因為它比計算節點見證更簡單,而且提供更多的可用性。 Azure 檔案共享見證是提供叢集仲裁投票的另一個替代方案。
在 Azure 部署中,應用程式伺服器會使用 ASCS 或 ERS 服務的虛擬主機名連線到高可用性中央服務。 這些主機名會指派給負載平衡器的叢集前端IP組態。 Load Balancer 支援多個前端 IP,因此 ASCS 和 ERS 虛擬 IP (VIP) 都可以繫結至一個負載平衡器。
網路
此架構會使用中樞輪輻拓撲。 中樞虛擬網路會作為內部部署網路連線的中心點。 輪輻是與中樞對等互連並隔離SAP工作負載的虛擬網路。 流量會透過閘道連線,在內部部署資料中心與中樞之間流動。
網路介面卡 (NIC)
NIC 可啟用虛擬網路上 VM 之間的所有通訊。 傳統內部部署 SAP 部署會為每部電腦實作多個 NIC,以隔離系統管理流量與商務流量。
在 Azure 上,虛擬網路是軟體定義的網路,可透過相同的網路網狀架構傳送所有流量。 因此,基於效能考慮,不需要使用多個 NIC。 但是,如果您的組織需要隔離流量,您可以為每個 VM 部署多個 NIC,並將每個 NIC 連線到不同的子網。 然後,您可以使用網路安全組來強制執行不同的訪問控制原則。
Azure NIC 支援多個IP。 此支援符合 SAP 建議使用虛擬主機名進行安裝的做法。 如需完整的大綱,請參閱 SAP 附注962955。 若要存取 SAP 附注,您需要 SAP 服務 Marketplace 帳戶。
子網路和網路安全群組
此架構會將虛擬網路位址空間細分為子網。 您可以將每個子網路與定義子網路存取政策的網路安全群組連結。 將應用程式伺服器放在不同的子網上。 如此一來,您可以藉由管理子網安全策略,而不是個別伺服器,更輕鬆地保護它們。
當您將網路安全組與子網建立關聯時,網路安全組會套用至子網內的所有伺服器,並提供對伺服器進行更細緻的控制。 使用 Azure 入口網站、PowerShell 或 Azure CLI 設定網路安全組。
ExpressRoute Global Reach
如果您的網路環境包含兩個以上的 ExpressRoute 連線, ExpressRoute Global Reach 可協助您減少網路躍點和延遲。 這項技術是邊界網關通訊協定 (BGP) 路由對等互連,會在兩個或多個 ExpressRoute 連線之間設定,以橋接兩個 ExpressRoute 路由網域。 當網路流量周遊多個 ExpressRoute 連線時,Global Reach 可減少延遲。 它目前僅適用於 ExpressRoute 線路上的私人對等互連。
目前,全域觸達中沒有可以變更的網路訪問控制清單或其他屬性。 因此,指定 ExpressRoute 線路所學習的所有路由(從內部部署和 Azure)都會在線路對等互連與其他 ExpressRoute 線路之間公告。 建議您在內部部署建立網路流量篩選,以限制對資源的存取。
ExpressRoute FastPath
FastPath 的設計目的是要改善內部部署網路與虛擬網路之間的數據路徑效能。 啟用時,FastPath 會將網路流量直接傳送至虛擬網路中的虛擬機,略過閘道。
對於所有新的 ExpressRoute 連線至 Azure,FastPath 是預設組態。 針對現有的 ExpressRoute 線路,請連絡 Azure 支援 以啟用 FastPath。
FastPath 不支援虛擬網路對等互連。 如果其他虛擬網路與連線至 ExpressRoute 的虛擬網路對等互連,則從內部部署網路到其他輪輻虛擬網路的網路流量會傳送至虛擬網路網關。 因應措施是將所有虛擬網路直接連線到 ExpressRoute 線路。 此功能目前處於公開預覽。
負載平衡器
SAP Web Dispatcher 會處理對 SAP 應用程式伺服器集區之 HTTP(S) 流量的負載平衡。 此軟體負載平衡器提供應用層服務(稱為 ISO 網路模型中的第 7 層),可執行 SSL 終止和其他卸除函式。
Azure Load Balancer 是網路傳輸層服務(第 4 層),使用來自數據流的五 Tuple 哈希來平衡流量。 哈希是以來源IP、來源埠、目的地IP、目的地埠和通訊協定類型為基礎。 在 Azure 上的 SAP 部署中,Load Balancer 會在叢集設定中使用,以在發生錯誤時將流量導向至主要服務實例或狀況良好的節點。
建議您在所有 SAP 案例中使用 標準 Load Balancer 。 如果後端集區中的 VM 需要公用輸出連線能力,或是在 Azure 區域部署中使用它們,Standard Load Balancer 預設會要求 其他設定 ,因為它們是安全的。 除非您明確設定輸出連線,否則它們不允許輸出連線。
針對透過 DIAG 通訊協定或 RFC 連線到 SAP 伺服器的 SAP GUI 用戶端流量,中央服務訊息伺服器會透過 SAP 應用程式伺服器 登入群組來平衡負載。 針對這種類型的設定,您不需要另一個負載平衡器。
儲存體
某些組織會針對其應用程式伺服器使用標準記憶體。 不支援標準受控磁碟。 請參閱 SAP 附註1928533。 若要存取 SAP 附注,您需要 SAP 服務 Marketplace 帳戶。 建議您在所有情況下使用進階 Azure 受控磁碟 。 SAP 附註的最新更新 2015553 排除在少數特定使用案例中使用標準 HDD 記憶體和標準 SSD 記憶體。
應用程式伺服器不會裝載商務數據。 因此,您也可以使用較小的 P4 和 P6 進階磁碟來協助將成本降到最低。 如此一來,如果您有中央 SAP 堆疊安裝,就可以受益於 單一實例 VM SLA 。
針對高可用性案例,您可以使用 Azure 檔案共用 和 Azure 共用磁碟。 Azure 進階 SSD 受控磁碟和 Azure Ultra 磁碟記憶體 適用於 Azure 共用磁碟,而進階 SSD 則適用於 Azure 檔案共用。
雲端見證也會使用記憶體來維護遠端 Azure 區域中裝置的仲裁,遠離叢集所在的主要區域。
針對備份數據存放區,我們建議使用 Azure 非經常性存取層和封存存取層。 這些儲存層提供符合成本效益的方式來儲存不常存取的長期數據。
Azure 進階 SSD v2 磁碟記憶體 專為效能關鍵性工作負載而設計,例如,在線事務處理系統一致需要子毫秒延遲,並結合高 IOPS 和輸送量。
Ultra 磁碟記憶體 可大幅降低磁碟延遲。 因此,它有利於效能關鍵性應用程式,例如 SAP 資料庫伺服器。 若要比較 Azure 中的區塊記憶體選項,請參閱 Azure 受控磁碟類型。
如需高可用性、高效能的共用數據存放區,請使用 Azure NetApp Files。 當您使用 Oracle,以及裝載 應用程式數據時,這項技術特別適用於資料庫層。
效能考量
SAP 應用程式伺服器會持續與資料庫伺服器通訊。 針對在資料庫平台上執行的效能關鍵性應用程式,如果您使用進階 SSD v1,請啟用 記錄磁碟區的寫入加速器 。 這樣做可以改善記錄寫入延遲。 寫入加速器適用於 M 系列 VM。
若要優化伺服器間通訊,請使用 加速網路。 具有兩個或多個 vCPU 的一般用途和計算優化 VM 實例大小都支援加速網路。 在支援超執行緒的執行個體上,具有四個或多個 vCPU 的 VM 執行個體支援加速網路。
若要達到高 IOPS 和磁碟輸送量,請遵循適用於 Azure 記憶體配置之記憶體磁碟區 效能優化的常見做法。 例如,您可以將多個磁碟放在一起,以建立等量磁碟磁碟區,以改善 I/O 效能。 在不常變更的記憶體內容上啟用讀取快取,以提升數據擷取的速度。
進階 SSD v2 提供比進階 SSD 更高的效能,而且通常成本較低。 您可以將進階 SSD v2 磁碟設定為您偏好的任何支援大小,並且對效能進行細微調整,而無須停機。
Ultra 磁碟記憶體 適用於 I/O 密集型應用程式。 在這些磁碟可供使用的地方,建議您透過 寫入加速器 進階記憶體。 您可以個別增加或減少效能計量,例如 IOPS 和 MBps,而不需要重新啟動。
如需針對 SQL Server 上 SAP 工作負載優化 Azure 記憶體的指引,請參閱適用於 SAP NetWeaver 的 Azure 虛擬機器 規劃和實作。
不支援在應用程式與任何 SAP 應用程式堆疊的資料庫層之間放置網路虛擬裝置 (NVA)。 這種做法引進了數據封包的顯著處理時間,這會導致應用程式效能無法接受。
鄰近放置群組
某些 SAP 應用程式需要經常與資料庫通訊。 應用程式和資料庫層的實體鄰近性會影響網路等待時間,這可能會對應用程式效能造成負面影響。
若要優化網路等待時間,您可以使用 鄰近放置群組,在可用性設定組中部署的 VM 上設定邏輯條件約束。 鄰近放置群組比延展性、可用性或成本更優先於共置和效能。 它們可以大幅改善大部分 SAP 應用程式的用戶體驗。 如需 SAP 部署小組在 GitHub 上提供的腳本,請參閱 腳本。
可用性區域
可用性區域 可讓您跨數據中心部署 VM,這些 VM 是特定 Azure 區域內實體分隔的位置。 其用途是增強服務可用性。 但是跨區域部署資源可能會增加延遲,因此請記住效能考慮。
系統管理員在目標區域的所有區域之間需要明確的網路等待時間配置檔,才能判斷資源放置與區域間延遲下限。 若要建立此設定檔,請在每個區域中部署小型 VM 以進行測試。 這些測試的建議工具包括 PsPing 和 Iperf。 測試完成時,請移除您用於測試的 VM。 或者,請考慮使用 Azure 區域間延遲檢查工具。
可擴縮性考量
針對 SAP 應用層,Azure 提供各種不同的 VM 大小,以相應增加和相應放大。如需內含清單,請參閱 SAP 附注1928533 - Azure 上的 SAP 應用程式:支援的產品和 Azure VM 類型。 若要存取 SAP 附注,您需要 SAP 服務 Marketplace 帳戶。
您可以相應增加和減少 SAP 應用程式伺服器和中央服務叢集。 您也可以變更您使用的實例數目,將其相應放大或縮小。 AnyDB 資料庫可以相應增加和減少,但不會相應放大。AnyDB 的 SAP 資料庫容器不支援分區化。
可用性考慮
資源備援是高可用性基礎結構解決方案中的一般主題。 如需各種記憶體類型的單一實例 VM 可用性 SLA,請參閱 虛擬機的 SLA。 若要在 Azure 上增加服務可用性,請使用彈性協調流程、可用性區域或可用性設定組來部署具有 虛擬機器擴展集 的 VM 資源。
使用 Azure 時,SAP 工作負載部署可以是區域或區域性,視 SAP 應用程式的可用性和復原需求而定。 Azure 提供不同的部署選項,例如 虛擬機器擴展集 彈性協調流程 (FD=1)、可用性區域和可用性設定組,以增強資源的可用性。 若要全面瞭解可用的部署選項及其在不同 Azure 區域中的適用性(包括跨區域、在單一區域內或沒有區域的區域),請參閱 SAP NetWeaver 的高可用性架構和案例。
在此 SAP 應用程式的分散式安裝中,會復寫基底安裝以達到高可用性。 針對架構的每個層級,高可用性設計會有所不同。
應用伺服器層中的 Web 發送器
Web Dispatcher 元件是用來作為 SAP 應用程式伺服器之間 SAP 流量的負載平衡器。 為了達到 SAP Web Dispatcher 的高可用性,Load Balancer 會實作故障轉移叢集或平行 Web 發送器設定。
針對因特網對向通訊,我們建議周邊網路中的獨立解決方案,也就是 DMZ,以滿足安全性考慮。
ASCS 上的內嵌 Web 發送器 是一種特殊選項。 如果您使用此選項,請考慮適當重設大小,因為 ASCS 上的額外工作負載。
應用伺服器層中的中央服務
中央服務的高可用性是使用 Windows 伺服器故障轉移叢集來實作。 在 Azure 上部署故障轉移叢集的叢集記憶體時,您可以透過兩種方式進行設定:叢集共用磁碟或叢集檔案共用。
我們建議您使用 Azure 檔案儲存體 作為完全受控、雲端原生 SMB 或 NFS 共用。 另一種方式是使用 Azure NetApp Files,其提供高效能、企業級 NFS 和 SMB 共用。
有兩種方式可在 Azure 上設定具有共用磁碟的叢集。 首先,我們建議您使用 Azure 共用磁碟 來設定 SAP Central Services 的 Windows 伺服器故障轉移叢集。 如需實作範例,請參閱 使用 Azure 共用磁碟的 ASCS 叢集。 實作叢集共用磁碟的另一種方式是使用 SIOS DataKeeper 來執行下列工作:
- 復寫連結至叢集節點的獨立磁碟內容。
- 將磁碟驅動器抽象化為叢集管理員的叢集共用磁碟區。
如需實作詳細數據,請參閱 使用SIOS在 Azure 上叢集 SAP ASCS。
如果您使用標準 Load Balancer,您可以啟用 高可用性埠。 如此一來,您可以避免需要設定多個 SAP 埠的負載平衡規則。 此外,當您設定 Azure 負載平衡器時,請啟用直接 伺服器傳回 (DSR),也稱為浮動 IP。 這樣做提供一種方式,讓伺服器回應略過負載平衡器。 此直接連線可讓負載平衡器成為數據傳輸路徑的瓶頸。 建議您為 ASCS 和資料庫叢集啟用 DSR。
應用伺服器層中的應用程式服務
SAP 應用程式伺服器的高可用性是透過負載平衡應用程式伺服器集區內的流量來達成。 您不需要叢集軟體、SAP Web Dispatcher 或 Azure 負載平衡器。 SAP 訊息伺服器可以將用戶端流量負載平衡到交易 SMLG 在 ABAP 登入群組中定義的應用程式伺服器。
資料庫層
在此架構中,源資料庫會在 AnyDB 上執行—SQL Server、SAP ASE、IBM Db2 或 Oracle 等 DBMS。 資料庫層的原生復寫功能可在復寫的節點之間提供手動或自動故障轉移。
如需特定資料庫系統的實作詳細數據,請參閱適用於 SAP NetWeaver 的 Azure 虛擬機器 DBMS 部署。
跨可用性區域部署的 VM
可用性區域是由一或多個數據中心所組成。 其設計目的是要改善工作負載可用性,並保護應用程式服務和 VM 免於資料中心中斷。 單一區域中的 VM 會被視為位於單一容錯網域中。 當您選取區域部署時,相同區域中的 VM 會以最佳方式散發到容錯網域。
在 支援多個區域的 Azure 區域中 ,至少有三個區域可供使用。 但是,不保證這些區域中數據中心之間的最大距離。 若要跨區域部署多層 SAP 系統,您必須知道區域內和跨目標區域的網路等待時間。 您也需要知道已部署的應用程式對網路等待時間有多敏感。
當您決定跨可用性區域部署資源時,請將這些 考慮 納入考慮:
- 一個區域中 VM 之間的延遲
- 跨所選區域的 VM 之間的延遲
- 選取區域中相同 Azure 服務 (VM 類型) 的可用性
注意
可用性區域支援區域內部高可用性,但對災害復原而言並不有效。 區域之間的距離太短。 一般DR月台應距離主要區域至少100英里。
作用中/非使用中部署範例
在此範例部署中,主動 /被動 狀態是指區域內的應用程式服務狀態。 在應用層中,SAP 系統的所有四個作用中應用程式伺服器都位於區域 1。 另一組四部被動應用程式伺服器建置在區域 2 中,但已關閉。 只有在需要時,才會啟動它們。
中央服務和資料庫服務的兩個節點叢集會延展至兩個區域。 如果區域 1 失敗,中央服務和資料庫服務會在區域 2 中執行。 區域 2 中的被動應用程式伺服器會啟動。 由於此 SAP 系統的所有元件現在共置於相同區域中,網路等待時間會降至最低。
主動/主動部署範例
在主動 /主動 部署中,兩組應用程式伺服器會跨兩個區域建置。 在每個區域內,每組伺服器中有兩部應用程式伺服器處於非使用中狀態,因為它們已關閉。 因此,在正常作業期間,這兩個區域中都有作用中的應用程式伺服器。
中央服務和資料庫服務會在區域 1 中執行。 當應用程式伺服器連線到中央服務和資料庫服務時,區域 2 中的應用程式伺服器可能會有較長的網路等待時間,因為區域之間的實體距離。
如果區域 1 離線,中央服務和資料庫服務故障轉移至區域 2。 您可以將休眠的應用程式伺服器上線,以提供應用程式處理的完整容量。
DR 考慮
SAP 應用程式堆疊中的每個層都會使用不同的方法來提供DR保護。 如需DR策略和實作詳細數據,請參閱 SAP工作負載 的災害復原概觀和基礎結構指導方針和 SAP應用程式的災害復原指導方針。
注意
如果某個區域災害會導致一個區域中許多 Azure 客戶發生大型故障轉移事件,則無法保證目標區域 的資源容量 。 如同所有 Azure 服務,Site Recovery 會繼續新增特性和功能。 如需 Azure 對 Azure 複寫的最新資訊,請參閱 支援矩陣。
管理和作業考慮
若要協助讓系統在生產環境中執行,請考慮下列幾點。
Azure SAP 解決方案中心解決方案
Azure SAP 解決方案中心是一種端對端解決方案,可讓您在 Azure 上建立及`執行 SAP 系統做為統一工作負載,並提供更順暢的創新基礎。 此外,適用於 SAP 解決方案的 Azure 中心引導式部署體驗會建立執行 SAP 系統所需的計算、記憶體和網路元件。 然後,其可協助您根據Microsoft最佳做法自動安裝SAP軟體。 您可以針對新的和現有的 Azure 型 SAP 系統使用管理功能。 如需詳細資訊,請參閱 適用於 SAP 解決方案的 Azure 中心。
如果您需要進一步控制維護事件或硬體隔離,以達到效能或合規性,請考慮在 專用主機上部署 VM。
Backup
資料庫是需要低恢復點目標 (RPO) 和長期保留的重要工作負載。
針對 SQL Server 上的 SAP,其中一種方法是使用 Azure 備份 來備份在 VM 上執行的 SQL Server 資料庫。 另一個選項是使用 Azure 檔案儲存體 快照集來備份 SQL Server 資料庫檔案。
如需 Oracle/Windows 上的 SAP,請參閱適用於 SAP 的 Azure VM DBMS 部署中的<備份/還原>一節。
如需其他資料庫,請參閱資料庫提供者的備份建議。 如果資料庫支援 Windows 磁碟區陰影複製服務 (VSS),請使用 VSS 快照集進行應用程式一致的備份。
身分識別管理
使用集中式身分識別管理系統,例如 Microsoft Entra ID 和 Active Directory 網域服務 (AD DS) 來控制所有層級資源的存取:
使用 Azure 角色型存取控制 (Azure RBAC) 提供 Azure 資源的存取權。
使用輕量型目錄存取通訊協定(LDAP)、Microsoft Entra ID、Kerberos 或其他系統,授與 Azure VM 的存取權。
使用 SAP 所提供的服務,支援應用程式本身的存取。 或使用 OAuth 2.0 和 Microsoft Entra 識別碼。
監視
若要將 Azure 上的應用程式和服務可用性與效能最大化,請使用 Azure 監視器,這是一個全方位的解決方案,可用來收集、分析及處理來自雲端和內部部署環境的遙測數據。 Azure 監視器會顯示應用程式如何執行並主動識別影響它們的問題,以及其相依的資源。 如需在 SAP HANA 和其他主要資料庫解決方案上執行的 SAP 應用程式,請參閱 適用於 SAP 的 Azure 監視器解決方案 ,以瞭解適用於 SAP 的 Azure 監視器如何協助您管理 SAP 服務的可用性和效能。
安全性考量
SAP 有自己的使用者管理引擎 (UME)來控制 SAP 應用程式和資料庫內的角色型存取和授權。 如需詳細的應用程式安全性指引,請參閱 SAP NetWeaver 安全性指南。
如需更多網路安全性,請考慮使用 使用 NVA 的周邊網路 ,在 Web Dispatcher 的子網前面建立防火牆。
您可以部署 NVA 來篩選虛擬網路之間的流量,但不要將它放在 SAP 應用程式和資料庫之間。 此外,請檢查子網上設定的路由規則,並避免將流量導向單一實例 NVA。 這樣做可能會導致維護停機時間和網路或叢集節點失敗。
針對基礎結構安全性,數據會在傳輸和待用時加密。 如需網路安全性的相關信息,請參閱 Azure 虛擬機器 SAP NetWeaver 規劃和實作中的一節。 本文也會指定您需要在防火牆上開啟的網路埠,以允許應用程式通訊。
您可以使用 Azure 磁碟加密 來加密 Windows VM 磁碟。 此服務會使用 Windows 的 BitLocker 功能,為作業系統和數據磁碟提供磁碟區加密。 此解決方案也適用於 Azure 金鑰保存庫,以協助您控制和管理密鑰保存庫訂用帳戶中的磁碟加密密鑰和秘密。 VM 磁碟上的數據會在 Azure 記憶體中待用加密。
針對待用數據加密,SQL Server 透明數據加密 (TDE) 會加密 SQL Server、Azure SQL 資料庫 和 Azure Synapse Analytics 數據檔。 如需詳細資訊,請參閱適用於 SAP NetWeaver 的 SQL Server Azure 虛擬機器 DBMS 部署。
若要監視防火牆內外的威脅,請考慮部署 Microsoft Sentinel (預覽版) 。 解決方案會針對部署於 Azure、其他雲端或內部部署的 SAP 系統,提供持續的威脅偵測和分析。 如需部署指引,請參閱 在 Microsoft Sentinel 中部署 SAP 的威脅監視。
一如既往地管理安全性更新和修補程式,以保護信息資產。 請考慮針對這項工作使用端對端 自動化方法 。
成本考量
使用 Azure 定價計算機來預估成本。
有關詳細資訊,請參閱 Microsoft Azure 架構完善的框架中的 DevOps 成本部分。
如果您的工作負載需要更多記憶體和較少的CPU,請考慮使用其中一個受限制的 vCPU VM 大小來降低每個 vCPU 收取的軟體授權成本。
VM
此架構會針對應用層和資料庫層使用 VM。 SAP NetWeaver 層會使用 Windows VM 來執行 SAP 服務和應用程式。 資料庫層會以資料庫身分執行 AnyDB,例如 SQL Server、Oracle 或 IBM DB2。 VM 也會作為管理跳躍方塊使用。
VM 有數種付款選項:
對於沒有可預測完成時間或資源耗用量的工作負載,請考慮隨用隨付選項。
如果您承諾在一年或三年內使用 VM,請考慮使用 Azure 保留 。 VM 保留可以大幅降低成本。 您只需要支付 72% 的隨用隨付服務成本。
使用 Azure 現成 VM 來執行可以中斷且不需要在預先決定的時間範圍內完成或 SLA 的工作負載。 Azure 會在有可用的容量時部署現成 VM,並在需要容量後收回 VM。 與現成 VM 相關聯的成本低於其他 VM 的成本。 請考慮針對這些工作負載找出 VM:
- 高效能運算案例、批處理作業或可視化轉譯應用程式
- 測試環境,包括持續整合和持續傳遞工作負載
- 大規模無狀態應用程式
Azure 保留的虛擬機實例可將 Azure 保留的虛擬機實例費率與隨用隨付訂用帳戶結合,以降低總擁有成本,以便管理可預測和可變工作負載的成本。 如需詳細資訊,請參閱 Azure 保留的虛擬機實例。
負載平衡器
在此案例中,Load Balancer 可用來將流量分散到應用層子網中的 VM。
您只需支付已設定的負載平衡和輸出規則數目,以及透過負載平衡器處理的數據。 輸入網路位址轉換 (NAT) 規則是免費的。 未設定任何規則時,Standard Load Balancer 不會每小時收費。
ExpressRoute
在此架構中,ExpressRoute 是網路服務,可用來建立內部部署網路與 Azure 虛擬網路之間的私人連線。
所有輸入數據傳輸都是免費的。 所有輸出數據傳輸都會根據預先決定的費率收費。 如需詳細資訊,請參閱 Azure ExpressRoute 定價。
社群
社群可以回答問題,並協助您設定成功的部署。 請考慮下列資源:
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Ben Trinh |主體架構師
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
如需使用此架構一些相同技術之 SAP 工作負載的詳細資訊和範例,請參閱下列文章: