Google Cloud の SAP 用エージェントのトラブルシューティング ガイド

このガイドでは、Google Cloud の SAP 用エージェントのバージョン 3.2（最新）の問題を解決する方法について説明します。

SAP のトラブルシューティングとサポート情報については、次の SAP Notes をご覧ください。

• 1642148 - FAQ: SAP HANA Database Backup & Recovery
• 2031547 - Overview of SAP-certified 3rd party backup tools and associated support process
• 2705632 - Support Process for Google Cloud Storage

ロギング

ご使用のオペレーティング システムに固有のディレクトリにあるログを確認します。

Google Cloud の SAP 用エージェントのログを表示するには、次のパスに移動します。

/var/log/google-cloud-sap-agent.log

C:\Program Files\Google\google-cloud-sap-agent\logs\google-cloud-sap-agent.log

Backint 関連のログを表示する

Google Cloud の SAP 用エージェントの Backint 機能を有効にしている場合は、次のログを確認します。

• SAP HANA backup.log ファイル。SAP HANA のバックアップと復元のオペレーションに関する情報が記録されています。
• SAP HANA backint.log ファイル。エージェントの Backint 機能やその他の外部バックアップ ツールのバックアップ インターフェースの呼び出しが記録されています。
• Google Cloud の SAP 用エージェントの Backint ログファイル: /var/log/google-cloud-sap-agent/backint.log。このファイルには、Backint 機能が有効になったタイミング、関連するオペレーション イベント、Cloud Storage との通信エラーの兆候、関連する構成や権限の問題に関する情報が含まれています。
• Cloud Logging の Google Cloud ログ。Google Cloud の SAP 用エージェントで使用されるサービス アカウントに関連するエラーが記録されている場合があります。これらのログを表示するには、Google Cloud コンソールで [ログ エクスプローラ] ページに移動します。

一般的な問題

以降のセクションでは、Google Cloud の SAP 用エージェントの使用に関連する一般的な問題とその原因、解決策について説明します。

問題: IAM 権限が不十分である

問題: Google Cloud の SAP 用エージェント ログに IAM 権限不足のエラーが表示される。

原因: エージェントが使用するサービス アカウントに、Cloud Monitoring API にアクセスするために必要な IAM 権限がありません。エージェントの Backint 機能を使用している場合は、Cloud Storage バケットにアクセスするための十分な権限がありません。

解決策: この問題を解決するには、次の手順を完了します。

1. Google Cloud コンソールの [VM インスタンスの詳細] ページで、VM サービス アカウントの名前をメモします例: sap-example@example-project-123456.iam.gserviceaccount.com

2. [IAM と管理] ページに移動し、そのサービス アカウントに次の IAM ロールが含まれていることを確認します。

   機能	必要な IAM のロール
   SAP Host Agent 指標の収集	Compute 閲覧者（roles/compute.viewer） モニタリング閲覧者（roles/monitoring.viewer）
   Process Monitoring 指標の収集	Compute 閲覧者（roles/compute.viewer） モニタリング指標の書き込み（roles/monitoring.metricWriter） Secret Manager のシークレット アクセサー（roles/secretmanager.secretAccessor） （Secret Manager を使用して SAP HANA のデータベース ユーザー アカウントを認証する場合は必須）
   Workload Manager 評価指標の収集	Compute 閲覧者（roles/compute.viewer） Workload Manager Insights ライター（roles/workloadmanager.insightWriter） Secret Manager のシークレット アクセサー（roles/secretmanager.secretAccessor） （Secret Manager を使用して SAP HANA のデータベース ユーザー アカウントを認証する場合は必須）
   SAP HANA モニタリング指標の収集	Compute 閲覧者（roles/compute.viewer） モニタリング指標の書き込み（roles/monitoring.metricWriter） Secret Manager のシークレット アクセサー（roles/secretmanager.secretAccessor） （Secret Manager を使用して SAP HANA のデータベース ユーザー アカウントを認証する場合は必須）
   SAP HANA の Backint ベースのバックアップと復元	Storage オブジェクト管理者（roles/storage.objectAdmin） Cloud KMS 暗号鍵の暗号化 / 復号（roles/cloudkms.cryptoKeyEncrypterDecrypter）。顧客管理の暗号鍵を使用して Cloud Storage の SAP HANA バックアップを暗号化している場合。この機能の詳細については、バックアップの暗号化オプションをご覧ください。 詳細については、必要な Cloud Storage 権限をご覧ください。

Google Cloud の SAP 用エージェントに必要な認証の詳細については、認証とアクセスをご覧ください。

Cloud Monitoring エージェントに必要な権限を確認するには、次の Monitoring のドキュメントをご覧ください。

• Monitoring エージェントを承認する
• アクセス制御

問題: VM サービス アカウントのアクセス スコープが間違っている

問題: ホスト VM インスタンスのアクセス スコープを制限すると、Google Cloud の SAP 用エージェント ログに IAM 権限不足のエラーが表示されることがあります。

原因: Google Cloud の SAP 用エージェントでは、ホスト VM インスタンスで最小限の Cloud API アクセス スコープが必要です。このエラーは、サービス アカウントに必要なアクセス スコープがない場合に発生します。

解決策: アクセス スコープは、VM インスタンスの権限を指定する従来の方法です。Compute Engine では、すべての Cloud APIs にすべてのアクセス スコープを使用できるように VM インスタンスを構成し、VM サービス アカウントの IAM 権限のみを使用して Google Cloud リソースへのアクセスを制御することをおすすめします。

この問題を解決するには、VM インスタンスにすべての cloud-platform アクセス スコープを設定し、IAM ロールでサービス アカウントの API アクセスを安全に制限するのがベスト プラクティスです。次に例を示します。

• https://www.googleapis.com/auth/cloud-platform

VM インスタンスのアクセス スコープを制限する場合は、ホスト VM インスタンスに次のアクセス スコープがあることを確認してください。

• https://www.googleapis.com/auth/source.read_write
• https://www.googleapis.com/auth/compute
• https://www.googleapis.com/auth/servicecontrol
• https://www.googleapis.com/auth/service.management.readonly
• https://www.googleapis.com/auth/logging.admin
• https://www.googleapis.com/auth/monitoring
• https://www.googleapis.com/auth/trace.append
• https://www.googleapis.com/auth/devstorage.full_control

Process Monitoring 指標または SAP HANA モニタリング指標の収集を有効にしている場合、ホスト VM インスタンスのアクセス スコープには、指標データを Google Cloud プロジェクトに公開するための書き込みアクセス権も必要です。

• https://www.googleapis.com/auth/monitoring.write

アクセス スコープを変更するには、VM インスタンスを停止して変更を加え、それから VM インスタンスを再起動する必要があります。手順については、Compute Engine のドキュメントをご覧ください。この問題の場合、IAM ロールの権限を変更する必要はありません。

問題: SAP Host Agent が見つからないか間違っている

問題: Google Cloud の SAP 用エージェント ログに、SAP Host Agent が見つからないか、間違っているというエラーが表示される。

原因: SAP Host Agent または SAP Host Agent に必要な最小パッチレベルがインストールされていません。Google Cloud の SAP 用エージェントを機能させるには、SAP システムに SAP Host Agent をインストールし、Host Agent に必要な最小パッチレベルを維持する必要があります。

解決策: この問題を解決するには、必要なバージョンの SAP Host Agent をインストールします。SAP Host Agent のインストール手順については、SAP のドキュメントをご覧ください。

SAP Host Agent のバージョン要件については、次の SAP ノートをご覧ください。

• Linux: SAP Note 2460297 - SAP on Linux on Google Cloud Platform: Enhanced Monitoring
• Windows: SAP Note 1409604 - Virtualization on Windows: Enhanced Monitoring

問題: Google Cloud の SAP 用エージェントをインストールできない

問題: パッケージ マネージャーのインストール コマンド（yum、zypper、または googet）の実行時に、エージェントのインストールが失敗する。

原因: エージェントを実行しているホストサーバーが外部 IP アドレスなしで作成されているため、エージェントのインストールに失敗します。

解決策: この問題を解決するには、ホストサーバーにインターネットへのアウトバウンド アクセスを許可する NAT ゲートウェイを設定します。NAT ゲートウェイの設定方法については、SAP システムのデプロイガイドをご覧ください。たとえば、SAP NetWeaver の場合は、次をご覧ください。

• Compute Engine VM インスタンスで NAT ゲートウェイを設定する
• SAP NetWeaver on Linux デプロイガイド
• SAP NetWeaver on Windows デプロイガイド

問題: SAP HANA モニタリング指標を収集できない

問題: SAP HANA 用モニタリング エージェントからアップグレードする際に、Google Cloud の SAP 用エージェントをインストールすると、次のようなエラー メッセージが表示される。

tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead

原因: ターゲット SAP HANA インスタンスは、共通名（CN）で指定された SSL 証明書を使用しているため、Google Cloud の SAP 用エージェントが SAP HANA モニタリング指標の収集を開始できません。

解決策: この問題を解決するには、次の手順を完了します。

1. Google Cloud の SAP 用エージェントを使用してモニタリングする SAP HANA インスタンスについては、共通名（CN）で指定された SSL 証明書の代わりに、Subject Alternate Name（SAN）の SSL 証明書の使用に切り替える必要があります。

2. ホスト VM インスタンスまたは Bare Metal Solution サーバーと SSH 接続を確立します。

3. Google Cloud の SAP 用エージェントの構成ファイルを開きます。

   /etc/google-cloud-sap-agent/configuration.json

4. hana_monitoring_configuration セクションで、enabled パラメータを true に設定します。

5. hana_monitoring_configuration.hana_instances セクションで、セキュア通信に TLS / SSL プロトコルを使用する SAP HANA インスタンスごとに次の操作を行います。

   1. enable_ssl パラメータを指定して、値を true に設定します。

   2. host_name_in_certificate パラメータを指定し、値として TLS / SSL 証明書で指定されている SAP HANA ホスト名を設定します。

   3. tls_root_ca_file パラメータを指定し、値として TLS / SSL 証明書が保存されているパスを設定します。

6. 構成ファイルを保存します。

7. Google Cloud の SAP 用エージェントを再起動して、新しい設定を有効にします。

   sudo systemctl restart google-cloud-sap-agent

8. エージェントが SAP HANA モニタリング指標を収集していることを確認します。手順については、その他の指標を表示するをご覧ください。

9. SAP HANA 用モニタリング エージェントをアンインストールします。

問題: 接続拒否エラー

問題: SAP Host Agent のログに接続拒否エラーが表示される。

原因: ポート 18181 が使用できないため、Google Cloud の SAP 用エージェントを起動できません。Google Cloud の SAP 用エージェントは、ポート 18181 でリクエストをリッスンします。エージェントが起動するには、このポートが使用可能である必要があります。

解決策: この問題を解決するには、Google Cloud の SAP 用エージェントでポート 18181 を使用できることを確認します。別のサービスによってポート 18181 が使用されている場合は、そのサービスを再起動するか、別のポートを使用するように再度構成する必要があります。

問題: SLES 15 SP4 for SAP 以降の OS イメージで Google Cloud の SAP 用エージェントが実行されない

問題: SAP 用 SLES OS イメージを使用すると、Google Cloud の SAP 用エージェントが自動的にプリインストールされる。ただし、OS イメージ SAP 用 SLES 15 SP4 以降では、プリインストールされた SAP 用エージェントは自動的に起動しません。

エージェントが実行されているかどうかを確認するには、次の操作を行います。

1. ホスト VM インスタンスまたは Bare Metal Solution サーバーに接続します。

2. 次のコマンドを実行します。

   systemctl status google-cloud-sap-agent

   エージェントが実行されていない場合、出力には inactive (dead) が含まれます。次に例を示します。

   google-cloud-sap-agent.service - Google Cloud Agent for SAP
    Loaded: loaded (/usr/lib/systemd/system/google-cloud-sap-agent.service; disabled; vendor preset: disabled)
    Active: inactive (dead)
   

原因: OS パッケージに問題があるため、SAP 用エージェントが自動的に起動しない。

解決策: この問題を解決するには、次の操作を行います。

1. ホスト VM インスタンスまたは Bare Metal Solution サーバーに接続します。

2. 次のコマンドを実行します。

   sudo sed -i 's~ /usr/sap~ -/usr/sap~g' /usr/lib/systemd/system/google-cloud-sap-agent.service
   sudo systemctl restart google-cloud-sap-agent

3. エージェントが実行されていることを確認します。

   systemctl status google-cloud-sap-agent

   出力は次のようになります。

   google-cloud-sap-agent.service - Google Cloud Agent for SAP
     Loaded: loaded (/usr/lib/systemd/system/google-cloud-sap-agent.service; disabled; vendor preset: disabled)
     Active: active (running) since Wed 2023-07-12 03:07:23 UTC; 7s ago
   Main PID: 6117 (google_cloud_sa)
      Tasks: 6
     Memory: 8.8M (max: 1.0G limit: 1.0G available: 1015.1M)
     CGroup: /system.slice/google-cloud-sap-agent.service
              └─ 6117 /usr/bin/google_cloud_sap_agent startdaemon
   

問題: 低スループット

問題: スループットが予想よりも低い。

原因: Google Cloud の SAP 用エージェントの Backint 機能で、compress 構成パラメータを使用して圧縮が有効になっている可能性があります。

解決策: この問題を解決するには、圧縮が有効になっていないことを確認します。次の手順を実施します。

1. SSH を使用して SAP HANA のホストに接続します。

2. Backint 構成ファイルを開きます。

   /usr/sap/SID/SYS/global/hdb/opt/backint/backint-gcs/parameters.json

   SID は、Backint 関連ファイルをインストールしたシステムの SID に置き換えます。

3. compress パラメータが false に設定されていることを確認します。

4. 変更を加えた場合は、構成ファイルを保存します。

問題: マルチストリーミング エラー

問題: データ バックアップのマルチストリーミング中にエラーが発生します。

原因: Google Cloud の SAP 用エージェントの Backint 機能に、より多くの並列ストリームを指定している可能性があります。

解決策: この問題を解決するには、次の手順を完了します。

1. SSH を使用して SAP HANA のホストに接続します。

2. Backint 構成ファイルを開きます。

   /usr/sap/SID/SYS/global/hdb/opt/backint/backint-gcs/parameters.json

   SID は、Backint 関連ファイルをインストールしたシステムの SID に置き換えます。

3. parallel_streams パラメータの値を設定している場合は、1 に下げます。

   それでもエラーが解決しない場合は、カスタマーケアにお問い合わせください。

Cloud Storage との接続に関する問題

問題: Cloud Storage バケットとの接続に問題があります。

原因: 次の原因が考えられます。

• 接続に関する一時的な問題。
• Google Cloud の SAP 用エージェントで使用されるサービス アカウントに、Cloud Storage へのアクセスに必要な権限がありません。
• 構成に問題があります

解決策: Cloud Storage バケットとの接続の問題のトラブルシューティングを行うには、次の点を確認します。

• 失敗したバックアップまたは復元を再試行して、エラーが単に一時的な接続の問題でないことを確認します。
• Google Cloud の SAP 用エージェントが VM のサービス アカウントを使用している場合は、VM がすべてのクラウド スコープにアクセスできることを確認します。アクセスを制限している場合は、VM が storage.googleapis.com にアクセスできることを確認します。詳細については、Cloud APIs とメタデータ サーバーへのアクセスを有効にするをご覧ください。
• Google Cloud の SAP 用エージェントで使用するサービス アカウントを作成した場合は、次のことを確認します。
  • サービス アカウントに Storage オブジェクト管理者のロールが割り当てられている。
  • 顧客管理の暗号鍵を使用して Cloud Storage のバックアップを暗号化する場合は、サービス アカウントに Cloud KMS CryptoKey Encrypter/Decrypter のロールが割り当てられている。詳細については、バックアップの暗号化をご覧ください。
• Backint 構成ファイル、PARAMETERS.json、SAP HANA の global.ini ファイルでパラメータが正しく指定されていることを確認します。

Google Cloud の SAP 用エージェントに組み込まれている自己診断機能を使用して、Cloud Storage バケットへのアクセスをテストできます。詳細については、自己診断をご覧ください。

ディスク スナップショット ベースのバックアップまたは復元オペレーションに関する問題

問題: エージェントの hanadiskbackup または hanadiskrestore コマンドを使用して SAP HANA に対して実行したバックアップや復元オペレーションが失敗する。

原因: この問題は、次のいずれかの原因により発生する可能性があります。

• エージェントにエラーが発生し、バックアップや復元のオペレーションが終了する。
• 基盤となる Google Cloud サービスの問題により、エージェントによるディスク スナップショットの作成や Cloud Storage へのアップロードに想定以上の時間がかかる。
• 明確なエラー メッセージや正常完了メッセージを表示することなくエージェントがクラッシュする。
• オペレーティング システム レベルの問題により、バックアップまたは復元オペレーションが失敗する。
• SAP HANA データベースで想定よりも長くエージェントが待機する。これは、データベースの作業負荷が非常に高くなっていることによる可能性があります。

解決策: この問題を解決するには、以下のようにします。

• バックアップ オペレーションが正常終了しない場合は、次の手順を行います。

  1. エージェントが実行されていることを確認します。実行されていない場合は、エージェントを再起動してから、バックアップ オペレーションを再試行します。

  2. エージェントが期待どおりに実行されている場合は、スナップショット作成のステータスを確認します。

     gcloud compute snapshots list
       --filter="sourceDisk:projects/PROJECT_ID/zones/ZONE_ID/disks/DISK_NAME"
     

     次のように置き換えます。

     • PROJECT_ID: ソースディスクがデプロイされている Google Cloud プロジェクト
     • ZONE_ID: ソースディスクがデプロイされる Compute Engine ゾーン（例: us-central1-a）
     • DISK_NAME: ソースディスクの名前。

     出力ステータスは、CREATING、UPLOADING、READY のいずれかになります。

  3. スナップショット作成のステータスが CREATING または UPLOADING の場合、特に /hana/data ボリュームをホストしているディスクに対して作成する最初のスナップショットの場合は、このオペレーションが完了するまで待つことをおすすめします。

     このオペレーションが失敗すると、エージェントは自動的に処理を終了し、ログを更新します。バックアップの作成は、hanadiskbackup コマンドを実行して再試行できます。エージェントは、SAP HANA データベースで失敗したバックアップ オペレーションを終了し、新しいスナップショット ベースのバックアップを作成します。

  4. スナップショット作成のステータスが READY であるにもかかわらず、hanadiskbackup コマンドがまだ実行されているように見える場合は、バックアップ手順の一部を実行するためにエージェントが SAP HANA を待っていることを示します。

  5. hanadiskbackup コマンドの実行時間が想定より長い場合は、次の手順で SAP HANA データベースの通常のオペレーションを再開します。

     1. /hana/data ボリュームを含む XFS ファイル システムのフリーズを解除します。

        xfs_freeze -u PATH_TO_HANA_DATA_VOLUME

     2. SAP HANA データベースから、障害が発生したストレージ スナップショットのバックアップ ID を取得します。

        SELECT BACKUP_ID, STATE_NAME, COMMENT FROM M_BACKUP_CATALOG WHERE ENTRY_TYPE_NAME = 'data snapshot' and STATE_NAME = 'prepared'

     3. SAP HANA で、失敗したスナップショットのエントリを失敗として更新します。

        BACKUP DATA FOR FULL SYSTEM CLOSE SNAPSHOT BACKUP_ID UNSUCCESSFUL 'Do not use - manually terminated';
        

     BACKUP_ID は、前の手順で取得した BACKUP_ID に置き換えます。

  6. バックアップ オペレーションが失敗した問題を解決するには、エージェントのサポート バンドルを使用してカスタマーケアにお問い合わせください。

• 復元オペレーションが正常終了しない場合は、次の手順を行います。

  1. /hana/data ボリュームをホストしている元のディスクがホスト VM にアタッチされていることを確認します。アタッチされていない場合は、gcloud compute instances attach-disk コマンドを使用してアタッチします。

  2. ボリューム グループと論理ボリュームを再スキャンします。

     sudo /sbin/dmsetup remove_all
     sudo /sbin/vgscan -v --mknodes
     sudo /sbin/vgchange -ay
     sudo /sbin/lvscan
     sudo mount -av
     

  3. 再スキャンが失敗した場合は、ホスト VM を再起動します。これにより、オペレーティング システムがボリューム グループを再スキャンします。

  4. SAP HANA で、/hana/data ボリュームが使用可能であることを確認します。

  5. /hana/data ボリュームがまだ使用できない場合は、エージェントのサポート バンドルを使用してカスタマーケアに連絡し、問題を解決してください。

Google Cloud の SAP 用エージェントのサポートの利用

Google Cloud の SAP 用エージェントに関する問題を解決するには、必要な診断情報を収集し、Cloud カスタマーケアまでお問い合わせください。詳細については、Google Cloud の SAP 用エージェントの診断情報をご覧ください。