Google Cloud 可提供经过 SAP 认证的经济高效、安全可靠且性能卓越的基础架构,用于运行基于 SAP HANA 的 SAP S/4HANA。如需查看 Google Cloud 上支持的 SAP 解决方案的完整列表,请参阅 Google Cloud 上的 SAP。
架构
下图高度概括地介绍了三种 SAP S/4HANA 的常见部署模型:集中式、分布式和具备高可用性的分布式。
集中式部署
在集中式部署中,您可以在同一 Compute Engine 虚拟机实例上安装 S/4HANA 和 SAP HANA 数据库。对于沙盒和开发环境等非生产环境,我们推荐使用此方法。
下图展示了集中式部署中 S/4HANA 的参考架构。请注意,SAP ASCS、PAS、WD 和 HANA 都安装在同一虚拟机实例上。
分布式部署
在分布式部署中,您可以在不同的 Compute Engine 实例上安装不同的组件。对于生产环境或需要大量计算能力来处理密集型事务负载的环境,我们推荐使用此方法。
下图展示了分布式部署中 S/4HANA 的参考架构。请注意,SAP ASCS、PAS、WD 和 HANA 都安装在不同的虚拟机实例上。
具有高可用性的分布式部署
在具有高可用性的分布式部署中,Linux 集群设置为跨可用区设置,以帮助在给定可用区防范组件故障。您可以使用主动/被动配置或主动/主动配置跨可用区部署 Linux 集群。在这两种情况下,您需要先在单独的可用区中设置两个 Compute Engine 虚拟机实例,以实现最大冗余,并且每个实例都有自己的 SAP HANA 数据库。
下图展示了一个 S/4HANA 架构,该架构使用 Linux 集群在应用和 SAP HANA 数据库端实现高可用性:
下图展示了在正常操作和接管操作期间高可用性的 SAP HANA 数据库:
正常操作。
接管操作:
要结合数据库的高可用性和灾难恢复,您可以使用 SAP HANA 系统复制。下图展示了为实现最高的可用性和容错能力而同时使用这两种方法的组合:
管理高可用性的集群包括以下功能和特性:
- 两个主机虚拟机,每个主机虚拟机都有一个 SAP HANA 实例。
- 同步 SAP HANA 系统复制。
- Pacemaker 高可用性集群资源管理器。
- 防护故障节点的防护机制。
- 自动重启失败的实例,将其用作新的辅助实例。
应用端的架构是类似的。在这种情况下,集群管理 ABAP SAP 中央服务 (ASCS) 以及 Enqueue Replication Server 或 Enqueue Replicator (ERS),用于为 S/4HANA 系统提供高可用性,以防任何 ASCS 和 ERS 实例出现问题。
根据 S/4HANA 系统使用的 SAP S/4HANA 版本,Enqueue Server 和 Enqueue Replication Server / Enqueue Replicator 在不同版本上运行:
- S/4HANA 1709 及更早版本:ENSA1 和 ERS。
- S/4HANA 1809 或更高版本:ENSA2 和 ERS2。
本文档后面部分将详细介绍如何跨可用区部署高可用性系统和 Linux 集群。
负载平衡说明
在分布式 S/4HANA 环境中,必须进行负载平衡。您可以结合使用 SAP 应用层和网络负载均衡器来配置应用负载均衡。如需了解详情,请参阅 Google Cloud 上的 SAP NetWeaver 的高可用性规划指南中的内部直通网络负载均衡器 VIP 实现部分。
部署组件
SAP S/4HANA 包含以下技术组件:
- SAP HANA 数据库
- ASCS:ABAP SAP 中央服务
- 包含任何 SAP ABAP 系统中所需的消息服务器和排队服务器。
- 部署在高可用性部署中的虚拟机实例上,或部署在托管 PAS 的虚拟机实例上。
- 在高可用性部署中,ASCS 资源由 Linux 集群资源管理器(例如 Pacemaker)管理。
- ERS:Enqueue Replication Server 或 Enqueue Replicator
- 部署在高可用性部署中,用于保留锁定表的副本,以防 ASCS 实例出现问题。
- 由 Linux 集群资源管理器(如 Pacemaker)管理。
- PAS:主应用服务器
- SAP 系统的第一个或唯一一个应用服务器。
- AAS:附加应用服务器
- 通常用于应用级负载平衡。从应用层角度来看,您也可以安装多个 AAS 实例以实现更高的可用性。如果其中一个应用服务器出现故障,则连接到该应用服务器的所有用户会话都将终止,但用户可以重新登录到环境中的其他 AAS。
- SAP NetWeaver 网关
- 作为独立系统或 S/4HANA 系统的一部分进行部署。
- 允许系统使用开放数据协议 (OData) 将设备、环境和平台连接到 SAP 系统。
- SAP Fiori 前端服务器
- 作为独立系统或 S/4HANA 系统的一部分进行部署。
- SAP Netweaver ABAP 系统用于托管 SAP Fiori 应用。
- WD:Web Dispatcher(可选)
- 智能软件负载均衡器,根据应用类型将 HTTP 和 HTTPS 请求分发到 PAS 和 AAS。
SAP S/4HANA 部署中使用以下 Google Cloud 服务:
| 服务 | 说明 |
|---|---|
| VPC 网络 |
将虚拟机实例相互连接并将其连接到互联网。 各个虚拟机实例要么是具有单个全局 IP 范围的旧式网络的成员,要么是推荐的子网网络的成员;对于后一种情况,虚拟机实例是单个子网的成员,而该子网则为更大规模网络的成员。 请注意,Virtual Private Cloud (VPC) 网络不能跨越多个 Google Cloud 项目,但一个 Google Cloud 项目可以有多个 VPC 网络。 如需将多个项目中的资源连接到一个公用 VPC 网络,您可以使用共享 VPC,以便资源可以通过以下方式安全高效地相互通信:使用该网络中的内部 IP 地址。如需了解如何预配共享 VPC,包括要求、配置步骤和用法,请参阅预配共享 VPC。 |
| Compute Engine | 使用您选择的操作系统和软件堆栈创建并管理虚拟机。 |
| Persistent Disk 磁盘和 Hyperdisk 磁盘 |
您可以使用 Persistent Disk 磁盘和 Google Cloud Hyperdisk:
|
| Google Cloud 控制台 |
基于浏览器的 Compute Engine 资源管理工具。 您可以使用模板来描述所需的全部 Compute Engine 资源和实例。您无需单独创建和配置资源或找出依赖项,因为 Google Cloud 控制台会为您执行此类操作。 |
| Cloud Storage | 您可以将 SAP 数据库备份存储在 Cloud Storage 中,以通过复制提高耐用性和可靠性。 |
| Cloud Monitoring |
有助于您了解 Compute Engine、网络和永久性存储磁盘的部署情况、性能、正常运行时间和运行状况。 Monitoring 可从 Google Cloud 收集指标、事件和元数据,并利用这些信息通过信息中心、图表和提醒生成数据洞见。您可以通过 Monitoring 免费监控计算指标。 |
| IAM |
以统一的方式控制对 Google Cloud 资源的权限。 借助 IAM,您可以控制哪些人可以在虚拟机上执行控制平面操作,包括创建、修改和删除虚拟机与永久性存储磁盘,以及创建和修改网络。 |
| Filestore |
Google Cloud 提供的高性能全托管式 NFS 文件存储。 对于多可用区高可用性部署,我们建议使用具有 99.99% 可用性服务等级协议 (SLA) 的 Filestore Enterprise。 如需了解 Filestore 服务层级,请参阅服务层级。 |
| NetApp Cloud Volumes ONTAP |
一个功能齐全的智能存储解决方案,您可以在 Compute Engine 虚拟机实例上自行进行部署和管理。 如需详细了解 NetApp Cloud Volumes ONTAP,请参阅 Cloud Volumes ONTAP 概览。 |
| Google Cloud NetApp Volumes |
来自 Google Cloud 的全托管式 NFS 和 SMB 文件存储解决方案,由 NetApp Cloud Volumes ONTAP 提供支持。 根据区域,可以有多个服务等级可供选择。如需了解详情,请参阅服务等级。 |
设计考虑事项
本部分提供指导,帮助您使用此参考架构开发满足特定安全性、可靠性、运营效率、费用和性能要求的架构。
网络
从网络的角度部署 SAP S/4HANA 系统的方法有多种,部署网络的方式对其可用性、弹性和性能有重大影响。如前所述,Virtual Private Cloud (VPC) 是托管在 Google Cloud 中的安全隔离专用网络。VPC 在 Google Cloud 中是全球性的,因此一个独立的 VPC 可以跨越多个区域,而无需在互联网上进行通信。
典型的 SAP 部署将高可用性系统的实例放置在同一区域内的不同可用区中,以确保弹性同时提供低延迟。由于 Google Cloud 的功能,子网可以跨越多个区域。这些功能还简化了 SAP 集群,因为集群的虚拟 IP (VIP) 地址可以与高可用性系统的实例位于同一范围内。此配置使用内部应用负载均衡器保护浮动 IP,适用于应用层(ASCS 和 ERS)和 SAP HANA 数据库层(SAP HANA 主实例和辅助)的高可用性集群。
您可以使用多种方法构建网络并将 SAP S/4HANA 系统与您的基础设施连接起来:
VPC 网络对等互连连接两个 VPC 网络,以便每个网络中的资源可以相互通信。VPC 网络可以托管在同一 Google Cloud 项目、同一组织的不同项目中,甚至可以托管在不同组织的不同项目中。VPC 网络对等互连在两个 VPC 网络之间建立直接连接,每个网络使用自己的子网,从而在对等互连的 VPC 中的资源之间实现私密通信。
共享 VPC 是 Google Cloud 中的一项功能,可让组织将多个项目中的资源连接到一个公用 VPC 网络。使用共享 VPC 的系统可以使用内部 IP 地址高效安全地进行通信。您可以在宿主项目中集中管理子网、路由和防火墙等网络资源,同时将创建和管理个别资源的管理职责委派给服务项目。这种关注点分离可以简化网络管理,并在整个组织中实施一致的安全政策。
对于 SAP 系统,通常建议按环境类型对资源进行分组。例如,生产环境不得与非生产环境共享计算资源以提供充分的隔离,但您可以将共享 VPC 用于项目之间的通用连接层。您还可以使用独立的 VPC 并使用 VPC 对等互连来连接项目。
设计网络时,请从包含一个或多个共享 VPC 网络的宿主项目开始。您可以将其他服务项目关联到宿主项目,从而允许服务项目参与共享 VPC。您可以根据需要,在单个共享 VPC 或多个共享 VPC 上部署 SAP S/4HANA。这两种场景在网络控制、SAP 环境隔离和网络检查方面有所不同:
- 场景 1:在单个共享 VPC 上部署 SAP S/4HANA。这简化了部署并减少管理开销,但代价是网络之间的隔离性降低。
- 场景 2:在多个共享 VPC 上部署 SAP S/4HANA。这可增加网络隔离并提高安全性,但代价是会增加复杂性和管理开销。
此外,您也可以使用混合方法。例如,您可以对生产环境使用一个共享 VPC,将一个共享 VPC 用于所有非生产系统。如需了解详情,请参阅 SAP on Google Cloud 的一般核对清单中的“网络”部分。
单点故障
SAP S/4HANA 系统存在一些常见的单点故障,这些故障可能会影响系统的可用性:
- SAP 中央服务,例如消息服务器和排队服务器
- SAP 应用服务器
- SAP HANA 数据库
- SAP Web Dispatcher(如果用作对系统进行 HTTP/HTTPS 访问的前端)
- 共享存储空间,例如 NFS
有多种方案可以减少此类单点故障的影响,这些方案涉及使用高可用性解决方案、复制服务或使用其他保护系统免受故障的功能来部署系统。在规划 S/4HANA 系统时,我们建议您研究此类单点故障并相应地进行规划。如需简要了解可用于管理单点故障的替代解决方案,请参阅本指南中的以下部分:
可用性和连续性
在 S/4HANA 实现的规划阶段,您需要指定以下数据点来定义系统的可用性和连续性:
- 服务等级目标 (SLO):通过服务等级指标 (SLI) 衡量的服务等级的目标值或值范围。例如:性能、可用性和可靠性。
- 服务等级指标 (SLI):有助于衡量服务性能的指标,例如延迟时间。它是对所提供服务的等级的某些方面进行精心定义的定量衡量的指标。
- 服务等级协议 (SLA):双方(提供商、客户)之间的服务合同,以可衡量的术语(称为“服务等级目标”[SLO])来定义有关所提供服务的协议。
- 恢复时间目标 (RTO):数据丢失事件与其缓解之间的最大可容忍时长。
- 恢复点目标 (RPO):恢复点目标 (RPO) 是在不造成重大损害的情况下,可以丢失的最大数据量(按时间测量)。实际上,这相当于在数据丢失事件发生后必须恢复受影响数据的状态的时间点。
根据数据点和所有利益相关方之间商定的值,S/4HANA 系统依赖于高可用性或灾难恢复等功能:
- 高可用性 (HA):支持业务连续性目标的系统功能,同时确保在需要时为用户提供数据和服务。实现此功能的常用方法是启用冗余,包括硬件冗余、网络冗余和数据中心冗余。
- 灾难恢复 (DR):通过在其他硬件和/或物理位置上提供可靠且可预测的恢复方法,保护系统免受计划外服务中断的影响。
高可用性和灾难恢复都兼容,但它们涵盖不同的用例和情形。例如,高可用性解决方案允许您在系统的其中一个元素发生计划外停机时间或中断时继续执行操作,而不对用户造成任何中断。灾难恢复解决方案也可以做到这一点,除了从服务中断发生到灾难恢复解决方案在其他位置启动系统故障元素时遇到中断。
以下部分概述了在 Google Cloud 上规划和部署 S/4HANA 系统时可以使用的不同选项。
S/4HANA 支持的机器类型
Google Cloud 提供经 SAP 认证的 Compute Engine 虚拟机实例类型,以便在部署 S/4HANA 时满足其硬件选择要求。如需详细了解 Google Cloud 上的硬件选择和支持的机器类型,请参阅以下页面:
Google Cloud 上的 SAP HANA 的自定义机器类型也经过 SAP 认证。只要保持 vCPU/内存比率不低于 1:6.5,您就可以凭借不到 64 个 vCPU 运行 SAP HANA 实例。
如需查看经认证可用于 SAP 应用的 Compute Engine 虚拟机的 SAPS 数,请参阅 SAP 说明 2456432 - Google Cloud 上的 SAP 应用:支持的产品和 Google Cloud 机器类型。
SAP 还在其网站上为 SAP HANA 提供了经过认证的 Google Cloud 配置列表。如需了解详情,请参阅经认证且受支持的 SAP HANA 硬件目录。
规划区域和可用区
部署虚拟机时,您必须选择区域和可用区。区域是指您可以运行资源的特定地理位置,对应于一个或多个彼此靠近的数据中心位置。每个区域都包含一个或多个具有冗余连接、电源和冷却功能的可用区。
全局资源(例如预配置的磁盘映像和磁盘快照)可跨区域和可用区访问。区域级资源(例如区域级静态外部 IP 地址)只能由位于同一区域的资源访问。可用区级资源(例如虚拟机和磁盘)只能由位于同一可用区的资源访问。如需了解详情,请参阅全球、区域和可用区级资源。
为虚拟机选择区域和可用区时,请考虑以下事项:
- 用户和内部资源(例如数据中心或公司网络)的位置。为了缩短延迟时间,请选择临近用户和资源的位置。
- 可用于该区域和可用区的 CPU 平台。例如,Google Cloud 上的 SAP NetWeaver 工作负载支持 Intel Broadwell、Haswell、Skylake 和 Ice Lake 处理器。
- 如需了解详情,请参阅 SAP 说明 SAP 说明 2456432 - Google Cloud 上的 SAP 应用:支持的产品和 Google Cloud 机器类型。
- 如需详细了解 Haswell、Broadwell、Skylake 和 Ice Lake 处理器适用于 Compute Engine 的区域,请参阅可用的区域和可用区。
- 确保您的 SAP 应用服务器和数据库位于同一区域。
S/4HANA 存储选项
以下是 Google Cloud 提供的经 SAP 认证可与 S/4HANA 和 SAP HANA 搭配使用的存储选项。
如需了解有关 Google Cloud 中存储选项的一般信息,请参阅存储选项。
Persistent Disk
- 标准永久性磁盘 (
pd-standard):基于标准硬盘 (HDD) 的经济高效的块存储,用于处理有序读写操作,但并不适合处理高速率的随机每秒输入/输出操作 (IOPS)。 - SSD 永久性磁盘 (
pd-ssd):基于固态硬盘 (SSD),提供可靠的高性能块存储。 - 平衡永久性磁盘 (
pd-balanced):基于 SSD,提供经济实惠且可靠的块存储。 - 极端永久性磁盘 (
pd-extreme):基于 SSD;对于较大的 Compute Engine 机器类型,提供比 pd-ssd 更高的最大 IOPS 和吞吐量选项。如需了解详情,请参阅极端永久性磁盘。
Hyperdisk
Hyperdisk Extreme (
hyperdisk-extreme):提供比基于 SSD 的永久性磁盘卷更高的 IOPS 和吞吐量上限选项。您可以通过预配 IOPS 所需的性能来决定吞吐量。这主要用于托管 SAP HANA 数据库的/hana/data和/hana/log卷。如需了解详情,请参阅关于 Google Cloud Hyperdisk。Hyperdisk Balanced (
hyperdisk-balanced):最适合大多数工作负载。我们建议将此选项用于不需要 Hyperdisk Extreme 性能的数据库。您可以使用 Hyperdisk Balanced 卷来托管/hana/data和/hana/log目录。您可以通过预配 IOPS 和吞吐量来选择所需的性能。如需了解详情,请参阅关于 Google Cloud Hyperdisk。
Persistent Disk 和 Hyperdisk 具有高耐用性。它以冗余方式存储数据来确保数据的完整性。每个 Persistent Disk 卷的最大容量可达 64 TB,因此无需管理磁盘阵列即可创建大型逻辑卷。Hyperdisk 卷还允许高达 64 TB 的存储空间,具体取决于您使用的类型。Persistent Disk 和 Hyperdisk 卷的一项关键功能是会自动加密以保护数据。
创建后,每个 Compute Engine 虚拟机实例会默认分配一个包含操作系统的根 Persistent Disk 或 Hyperdisk。您可以根据需要向虚拟机实例添加更多存储选项。
对于 SAP 实现,请查看 SAP 目录结构和存储选项中推荐的存储选项。
文件共享解决方案
Google Cloud 提供了几个文件共享解决方案,包括:
- Filestore:具有区域可用性的 Google Cloud 高性能全托管式 NFS 文件存储。
- Google Cloud NetApp Volumes:Google Cloud 的全托管式 NFS 或 SMB 文件存储解决方案。
- NetApp Cloud Volumes ONTAP:一个功能齐全的智能存储解决方案,您可以在 Compute Engine 虚拟机上自行进行部署和管理。
如需详细了解 Google Cloud 上 S/4HANA 的文件共享解决方案,请参阅 SAP on Google Cloud 的文件共享解决方案。
用于对象存储的 Cloud Storage
Cloud Storage 是适合任何类型或格式的文件的对象存储;它的存储空间几乎不受限制,而且您不必担心预配或增加更多容量。Cloud Storage 中的对象包含文件数据及其关联的元数据,最大可达 5 TB。Cloud Storage 存储桶可以存储任意数量的对象。
常见做法是使用 Cloud Storage 来存储几乎适合任何用途的备份文件。例如,Cloud Storage 是存储 SAP HANA 数据库备份的理想位置。如需了解数据库备份规划,请参阅数据库备份和恢复。 您还可以在迁移过程中使用 Cloud Storage。
此外,您还可以将备份和灾难恢复服务用作备份和灾难恢复操作的集中式解决方案。此服务支持各种数据库,包括 SAP HANA。如需了解详情,请参阅 Google Cloud 的备份和灾难恢复解决方案。
根据您访问数据所需的频率来选择您的 Cloud Storage 选项。如需频繁访问(例如每月多次),请选择 Standard 存储类别。如果不是经常访问,请选择 Nearline 或 Coldline 存储空间。对于您不期望访问的归档数据,请选择 Archive 存储空间。
SAP 目录结构和存储选项
下表描述了 Google Cloud 上 SAP HANA 数据库和 SAP ABAP 实例的 Linux 目录结构。
SAP HANA 上 Linux 目录结构的推荐存储选项:
SAP HANA 目录 Google Cloud 中的推荐存储选项 /usr/sap平衡永久性磁盘 /hana/data基于 SSD 的永久性磁盘或 Hyperdisk /hana/log基于 SSD 的永久性磁盘或 Hyperdisk /hana/shared*平衡永久性磁盘 /hanabackup*平衡永久性磁盘 在分布式部署中,
/hana/shared和/hanabackup也可以使用 NFS 解决方案(如 Filestore)作为网络文件系统装载。如需了解经 SAP 认证可用于 SAP HANA 的永久性磁盘存储空间,请参阅适用于 SAP HANA 的永久性磁盘存储空间。
SAP ABAP 实例上 Linux 目录结构的推荐存储选项:
目录 Google Cloud 中的推荐存储选项 /sapmnt†平衡永久性磁盘 /usr/sap平衡永久性磁盘 在分布式部署中,
/sapmnt也可以使用 NFS 解决方案(如 Filestore)作为网络文件系统装载。如需了解经 SAP 认证可用于 SAP ABAP 实例的永久性磁盘存储空间,请参阅 SAP 应用的永久性磁盘存储空间。
S/4HANA 的操作系统支持
在为 Google Cloud 上的 SAP NetWeaver 选择操作系统时,除了确认相应操作系统版本已通过 SAP 认证外,您还需要确认全部三家公司(SAP、操作系统供应商和 Google Cloud)都仍支持该操作系统版本。
您的决定还必须考虑以下因素:
- Google Cloud 是否提供给定的操作系统版本。Compute Engine 提供的操作系统映像已配置为使用 Google Cloud。 如果 Google Cloud 没有提供某个操作系统,那么您可以自带操作系统映像 (BYOI) 和许可。Compute Engine 将 BYOI 称为自定义映像。
- 可用于给定操作系统版本的许可选项。查看操作系统版本是否具有按需许可选项,或者是否需要操作系统供应商自带订阅 (BYOS)。
- 是否为 Google Cloud 启用了给定操作系统版本的集成式高可用性功能。
- SLES for SAP 和 RHEL for SAP 映像的承诺使用折扣选项。
以下操作系统经过 SAP 认证,可与 Google Cloud 上的 SAP NetWeaver 结合使用:
您可以在以下指南中找到有关特定操作系统版本及其与 S/4HANA 和 SAP HANA 的兼容性的更多信息:
SAP HANA 快速重启选项
对于 SAP HANA 2.0 SP04 及更高版本,Google 强烈建议使用 SAP HANA 快速重启选项。
使用 Google Cloud 提供的以下 Terraform 模块部署 SAP HANA 时,系统会自动启用此选项:模块 sap_hana 或 sap_hana_ha,版本 202309280828 或更高版本。如需了解如何手动启用 SAP HANA 快速重启,请参阅启用 SAP HANA 快速重启。
当 SAP HANA 终止但操作系统保持运行时,SAP HANA 快速重启可以减少重启时间。为了缩短重启时间,SAP HANA 利用 SAP HANA 永久性内存功能来保留 DRAM 中映射到 tmpfs 文件系统的列存储表的 MAIN 数据片段。
此外,在 Compute Engine 内存优化机器类型 M2 和 M3 系列中的虚拟机上,如果内存中出现不可更正的错误,SAP HANA 快速重启可缩短恢复时间。如需了解详情,请参阅 SAP HANA 快速重启选项。
SAP HANA 部署架构
SAP HANA 是任何 S/4HANA 系统的关键组件,因为它充当系统的数据库。在部署 SAP HANA 数据库时,您可以使用两种可能的架构:纵向扩容和横向扩容。
纵向扩容架构
下图展示了 SAP HANA on Google Cloud 的纵向扩容架构。在图中,请注意 Google Cloud 上的部署和磁盘布局。您可以使用 Cloud Storage 来备份 /hanabackup 中的本地备份。此装载的大小必须等于或大于数据装载的大小。
横向扩容架构
SAP HANA 的横向扩容架构包含一个主实例主机、多个工作器主机以及可选的一个或多个备用主机。这些主机通过网络互连,该网络支持主机之间以高达 32 Gbps 的速率发送数据,或者通过使用高带宽网络,在选定机器类型上以高达 100 Gbps 的速率发送数据。
随着工作负载需求的增加,尤其是在使用在线分析处理 (OLAP) 时,多主机横向扩容架构可以将负载分布在所有主机上。
下图展示了 SAP HANA on Google Cloud 的横向扩容架构:
SAP S/4HANA 的部署架构
如架构部分所述,您可以使用多种部署架构在 Google Cloud 上部署 S/4HANA。
双层架构
集中式部署部分展示了此架构。下图介绍了一些有关在 Compute Engine 虚拟机上运行的 S/4HANA 的双层架构的详细信息:
三层架构
分布式部署部分展示了此架构。您可以使用此架构来部署高可用性 S/4HANA 系统。下图介绍了一些有关在 Compute Engine 虚拟机上运行的 S/4HANA 的三层架构的详细信息:
在此架构中,S/4HANA 系统在多个 NetWeaver 应用服务器 (AS) 上分布工作,每个服务器托管在单独的虚拟机上。所有 NetWeaver AS 节点共享相同的数据库,该数据库托管在单独的虚拟机上。所有 NetWeaver AS 节点都会装载并访问托管 SAP NetWeaver 配置文件的共享文件系统。此共享文件系统托管在跨所有节点共享的永久性磁盘卷上,或托管在受支持的文件共享解决方案上。
安全性、隐私权和合规性
本部分介绍在 Google Cloud 上运行 S/4HANA 时的安全性、隐私权和合规性。
合规性和主权控制
如果您需要 SAP 工作负载根据数据驻留、访问权限控制、支持人员或监管要求运行,则必须计划使用 Assured Workloads,此服务可帮助您在 Google Cloud 中运行安全且合规的工作负载,同时不影响云体验的质量。 如需了解详情,请参阅 SAP on Google Cloud 的合规性和主权控制。
网络和网络安全
在进行网络和网络安全规划时,请考虑以下部分中的信息。
最小权限模式
您的第一道防线是限制哪些人可以访问您的网络和虚拟机。您可以使用 VPC 防火墙规则来实现此目的。除非您创建防火墙规则允许流量通过,否则防火墙会默认阻止通往虚拟机的所有流量(即使流量来自其他虚拟机)。随每个项目自动创建并具有默认防火墙规则的默认网络属于例外情况。
通过创建 VPC 防火墙规则,您可以对一组给定端口上的所有流量进行限制,仅允许来自特定源 IP 地址的流量通过。如需限制访问权限,仅允许需要访问权限的特定 IP 地址、协议和端口进行访问,请遵循最小权限模式。例如,始终设置堡垒主机,并且仅允许通过该主机对 SAP NetWeaver 系统进行 SSH 通信。
自定义网络和防火墙规则
您可以使用网络来定义网关 IP 以及挂接到该网络的虚拟机的网络范围。所有 Compute Engine 网络都使用 IPv4 协议。每个 Google Cloud 项目都具有带预设配置和防火墙规则的默认网络,但我们建议您根据最小权限来添加自定义子网和防火墙规则模型。默认情况下,新创建的网络没有防火墙规则,因此没有网络访问。
如果您想隔离网络的某些部分,或满足其他要求,则可能需要添加多个子网。如需了解详情,请参阅网络和子网。
防火墙规则适用于整个网络和网络中的所有虚拟机。 您可以添加防火墙规则,以允许流量在同一网络中的虚拟机之间以及子网之间通行。您还可以使用网络标记将防火墙配置为仅应用于特定的目标虚拟机。
SAP 需要访问某些端口,因此请添加相关防火墙规则以允许访问 SAP 提供的端口。
路由
路由是挂接到单个网络的全局资源。用户创建的路由适用于网络中的所有虚拟机。这意味着您可以添加路由,以便在同一网络中的虚拟机之间以及子网之间转发流量,而无需外部 IP 地址。
为了实现从外部访问互联网资源,请启动不具备外部 IP 地址的虚拟机,并将另一个虚拟机配置为 NAT 网关。此配置需要您将 NAT 网关添加为 SAP 实例的路由。
堡垒主机和 NAT 网关
如果您的安全政策要求使用真正的内部虚拟机,那么您需要在网络上手动设置 NAT 代理并设置相应的路由,以便此类虚拟机能够访问互联网。请务必注意,您无法使用 SSH 直接连接到完全属于内部的虚拟机实例。
如需连接到此类内部机器,您必须设置具有外部 IP 地址的堡垒实例,然后通过该实例建立隧道。如果虚拟机没有外部 IP 地址,那么只有该网络上的其他虚拟机可以访问它们,或者只能通过托管式 VPN 网关访问它们。您可以在网络中预配虚拟机,以充当入站连接(称作“堡垒主机”)或网络出口(称作“NAT 网关”)的可信中继。若要在不设置此类连接的前提下实现更透明的连接,您可以使用代管 VPN 网关资源。
用于入站连接的堡垒主机
堡垒主机提供接入包含私有网络虚拟机的网络的外部入口点。这种主机可以提供单一防御或审核点,而且可以启动或停止以启用或停用来自互联网的入站 SSH 通信。
通过首先连接到堡垒主机来实现对没有外部 IP 地址的虚拟机进行 SSH 访问。堡垒主机的完整安全强化介绍超出了本文讨论范围,但您可以采取一些初始步骤,包括:
- 限制可与堡垒主机通信的源 IP 的 CIDR 范围。
- 配置防火墙规则,仅允许来自堡垒主机的 SSH 流量传输到专用虚拟机。
默认情况下,虚拟机上的 SSH 会配置为使用私钥执行身份验证。 使用堡垒主机时,您应该先登录堡垒主机,然后再登录目标专用虚拟机。鉴于这种两步登录方式,我们建议您使用 SSH 代理转发来访问目标虚拟机,而不是将目标虚拟机的私钥存储在堡垒主机上。即使为堡垒主机和目标虚拟机使用相同的键值对,您也必须这样做,因为堡垒主机只能直接访问密钥对的公钥部分。
用于出站数据传输的 NAT 网关
如果没有为虚拟机分配外部 IP 地址,则虚拟机无法与外部服务(包括其他 Google Cloud 服务)建立直接连接。如需允许这些虚拟机访问互联网上的服务,您可以设置并配置一个 NAT 网关。NAT 网关是一个可以代表网络中的任何其他虚拟机路由流量的虚拟机。每个网络使用一个 NAT 网关。单虚拟机 NAT 网关不具有高可用性,并且无法支持多个虚拟机的高流量吞吐量。如需了解如何设置虚拟机以充当 NAT 网关,请参阅适用于您的操作系统的部署指南:
Cloud VPN
您可以借助 Cloud VPN 通过使用 IPsec 的 VPN 连接,将现有网络安全地连接到 Google Cloud。两个网络之间的流量传输通过一个 VPN 网关加密,然后通过另一个 VPN 网关解密。此举可以保护您的数据在互联网上传输时的安全。通过路由上的实例标记,您可以动态控制哪些虚拟机可以向 VPN 发送流量。Cloud VPN 隧道的计费方式为固定月费率加出站数据传输的标准费用。请注意,将同一项目中的两个网络相连仍然会产生出站数据传输的标准费用。如需了解详情,请参阅以下主题:
Cloud Storage 存储桶的安全性
如果您使用 Cloud Storage 来托管数据和日志卷的备份,请确保在从虚拟机向 Cloud Storage 发送数据时使用 TLS (HTTPS),以保护传输中的数据。
虽然 Cloud Storage 会自动加密静态数据,但如果您有自己的密钥管理系统,则可以改为指定自己的加密密钥。
电子邮件通知限制
为了帮助保护您的系统和 Google 的系统免遭滥用,Google Cloud 会强制对从 Compute Engine 发送电子邮件进行限制。这会对 SAP NetWeaver ABAP 系统上的 SCOT 事务产生影响,因为它需要特定的配置(与本地系统相比)。
如需了解详情(包括有关如何配置 SCOT 的信息),请参阅从实例发送电子邮件。
相关安全文档
如需详细了解 Google Cloud 上的 SAP 环境的安全资源,请参阅以下内容:
可靠性
本部分介绍与在 Google Cloud 上运行 S/4HANA 的可靠性相关的方面。
高可用性和灾难恢复
高可用性 (HA) 和灾难恢复 (DR) 是一组技术、工程做法和设计原则,可在发生故障时实现业务连续性。这些方法的工作原理是消除单点故障,并提供在系统或组件中断后快速恢复操作的能力,最大限度地减少业务中断。故障恢复是组件因发生故障导致服务中断后恢复运行的过程。
例如,以下是一些您可以使用的 HA 和 DR 工具:
- 跨可用区的 Linux 集群:如需了解详情,请参阅 Google Cloud 上的 SAP NetWeaver 高可用性规划指南和 SAP HANA 高可用性规划指南。
- 实时迁移
- 虚拟机主机维护政策
- 服务自动重启
- 备份
以下是有关其中一些工具的更多详细信息:
跨可用区 Linux 聚簇:跨可用区设置 Linux 集群有助于在给定区域防范组件故障。
在 SAP NetWeaver 应用层,您可以跨可用区部署 Linux 集群,以减少故障对 ASCS 的影响,并使其在不同可用区的两个节点上具有高可用性。然后,如果主节点存在任何问题或正在执行维护,Linux 集群会将 ASCS 迁移到备用节点。此外,您可以使用 Enqueue Replication Server 复制排队表的内容,以便 Enqueue Server 在进程从主节点提升到备用节点上时维护备用节点上的排队表的内容。
在 SAP HANA 数据库层上,您可以使用主动/被动配置或主动/主动配置跨可用区部署 Linux 集群。在这两种情况下,您都需要首先在单独的可用区设置两个 Compute Engine 实例,每个实例都具有自己的 SAP HANA 数据库。
- 主动/被动配置:将一个实例配置为集群的主节点(主动),将另一个实例配置为辅助节点(被动)。使用 SAP HANA 系统复制 (SR) 将辅助节点配置为在主节点发生故障时接管主节点。如需详细了解如何配置并设置 HANA SR,请参阅 HANA 系统复制。
- 主动/主动配置(启用读取):将两个实例都配置为主动,但将辅助节点配置为只读。此设置基于连续的日志重放。虚拟 IP (VIP) 配置为仅指向当前读/写节点。如需了解详情,请参阅主动/主动(启用读取)。
此外,可以使用 SAP HANA 系统复制作为灾难恢复解决方案。主数据库将其内容复制到备用数据库,可在主数据库离线时使用,从而使 SAP 系统可以继续运行,直到主数据库上的服务恢复为止。在这种情况下,系统不会自动提升辅助节点;必须手动执行。您还可以在 SAP HANA 端同时使用高可用性和灾难恢复,以提高弹性和可用性。如需了解详情,请参阅:
实时迁移:Compute Engine 提供实时迁移,确保即使发生主机系统事件(例如软件或硬件更新),虚拟机实例仍能正常运行。在这种情况下,Compute Engine 会将正在运行的实例实时迁移到同一可用区的另一台主机,而无需重启正在运行的实例。该机制复制了原始实例的虚拟机状态,因此当新实例出现时,它已预先加载了原始实例的内存。
在未进行实时迁移的极少数情况下,发生故障的虚拟机将在同一可用区的新硬件上自动重启。如需了解详情,请参阅维护事件期间的实时迁移过程。
费用优化
本部分提供有关许可、折扣和估算工作负载大小的信息。
许可
如果您是 SAP 客户,则可以通过自带许可 (BYOL) 模式使用现有的许可在 Google Cloud 上部署 SAP Business Suite。Google Cloud 支持将自带许可 (BYOL) 模式用于生产和非生产使用场景。操作系统许可包含在 Compute Engine 价格中。
或者,您也可以自带操作系统映像和许可。如需了解详情,请参阅自定义操作系统映像。
折扣
Google Cloud 采用随用随付的价格模式,您只需为实际使用的服务付费。您不必承诺特定大小或服务;您可以根据需要更改或停止使用。对于可预测的工作负载,Compute Engine 提供承诺使用折扣 (CUD),您可以通过承诺签订合同来换取大幅度的虚拟机使用价格折扣,从而帮助降低基础设施的费用。
Google Cloud 提供这些折扣来换取您购买承诺使用合约(也称为“承诺”)。当您购买承诺时,您需要承诺在指定期限内(一年或三年)达到最低资源使用量或支付最低支出金额。这些折扣可帮助您降低 SAP S/4HANA 系统使用的资源的月度费用。如需了解详情,请参阅承诺使用折扣 (CUD)。
大小估算值
以下资源介绍了如何在将 SAP 系统迁移到 Google Cloud 之前对其进行大小估算:
运营效率
本部分介绍如何优化 Google Cloud 上的 S/4HANA 的运营效率。
备份与恢复
定期为您的应用服务器和数据库创建备份,以便在出现系统崩溃、数据损坏或任何其他问题时进行恢复。
备份
您可以通过多种方式在 Google Cloud 上备份 SAP HANA 数据,包括:
- 使用 Google 的备份和灾难恢复服务进行备份。如需了解详情,请参阅备份发现的 SAP HANA 数据库及其日志。
- 使用经 SAP 认证的 Google Cloud 的 Agent for SAP 的 Backint 功能直接备份到 Cloud Storage。
- 备份到磁盘,然后将备份上传到 Cloud Storage。
- 使用快照备份磁盘。
备份到 Cloud Storage
从 3.0 版开始,Google Cloud 的 Agent for SAP 支持 Backint 功能,该功能允许 SAP HANA 直接从 Cloud Storage 备份和恢复数据库备份。这项新功能适用于在 Compute Engine 虚拟机实例、裸金属解决方案服务器、本地服务器或其他云平台上运行的 SAP HANA 实例,因此您可以直接备份到 Cloud Storage 以及从 Cloud Storage 进行恢复,无需永久性磁盘存储即可存储备份。如需了解详情,请参阅 SAP HANA 操作指南。
如需了解代理此功能的 SAP 认证,请参阅 SAP 说明 2031547 - 经 SAP 认证的第三方备份工具和相关支持流程概览。
下图显示了使用 Google Cloud 的 Agent for SAP 的 Backint 功能时的备份流程:
备份到磁盘
您可以将原生 SAP HANA 备份和恢复功能与 Compute Engine Persistent Disk 卷搭配使用,并使用 Cloud Storage 存储桶长期存储备份。
在正常操作期间,SAP HANA 会在常规保存点自动将数据从内存保存到磁盘。此外,所有数据更改都会记录在重做日志条目中。每次提交数据库事务后,系统会将一条重做日志条目写入磁盘。
从 SAP HANA 2.0 及更高版本开始,请使用 SAP HANA Cockpit 创建 SAP HANA 备份。
下图显示了 SAP HANA 备份功能的流程:
使用快照备份磁盘
您可以添加到备份策略的另一个选项是使用 Compute Engine 的磁盘快照功能获取整个磁盘的快照。例如,您可以截取托管 /hanabackup 目录的磁盘的计划快照,以用于灾难恢复场景。您还可以使用磁盘快照来备份和恢复 SAP HANA 数据卷。为确保应用的一致性,请在未对目标卷进行任何更改时获取快照。 快照发生在块级。
在第一个快照之后,每个后续快照都是增量快照,仅存储增量块更改,如下图所示。
使用 3.0 版或更高版本的 Google Cloud 的 Agent for SAP 时,您可以使用代理的磁盘快照功能创建备份并执行 SAP HANA 恢复。如需了解详情,请参阅基于磁盘快照的 SAP HANA 备份和恢复。
恢复
SAP HANA 中的恢复工具可以恢复到最近时间点或特定时间点,您可以使用这些工具恢复到新系统或创建数据库副本。与可在数据库运行期间运行的备份不同,您只能在数据库关停后使用恢复工具。您可以从以下各项中选择适当的选项:
- 使用以下任一资源恢复到最近状态:
- 完整备份或快照
- 日志备份
- 仍可用的重做日志条目
- 恢复到过去的某个时间点。
- 恢复为指定的完整备份。
监控
为了监控在 Compute Engine 虚拟机实例和裸金属解决方案服务器上运行的 SAP 工作负载并为其提供支持,Google Cloud 提供了 Agent for SAP。
根据 SAP 的要求,为了从 SAP 获取支持以及让 SAP 能够满足其服务等级协议 (SLA),您必须在运行任何 SAP 系统的所有 Compute Engine 虚拟机实例和裸金属解决方案服务器上安装 Google Cloud 的 Agent for SAP。如需详细了解支持前提条件,请参阅 SAP 说明 SAP 说明 2456406 - Google Cloud Platform 上的 SAP:支持前提条件。
除了强制收集 SAP Host Agent 指标之外,在 Linux 上,Google Cloud 的 Agent for SAP 还包含一些可选功能,例如收集 Process 监控指标、Workload Manager 评估指标和 SAP HANA 监控指标。您可以选择启用这些功能,以便为 SAP 工作负载启用产品和服务(例如工作负载管理)。
性能优化
本部分介绍了如何通过容量调整和网络配置来优化 S/4HANA 工作负载的性能。
容量调整
根据实现类型,您可以从多种硬件选项中进行选择。对于全新实现,我们建议您使用 SAP Quick Sizer 工具。如需了解详情,请参阅 SAP 的选择硬件页面。SAP 还针对特定解决方案和工具提供 T 恤指南,以便将当前的本地解决方案迁移到 Google Cloud。例如,请参阅经认证且受支持的 SAP HANA 硬件目录和 SAP 说明 SAP 说明 2456432 - Google Cloud 上的 SAP 应用:支持的产品和 Google Cloud 机器类型。SAP 和 Google Cloud 使用不同的单位来测量 IOPS(每秒输入/输出操作数)。请咨询您的 SI(系统集成商)合作伙伴,将 SAP 的硬件要求转换为适当配备硬件的 Google Cloud 基础设施。
在将现有系统从 SAP ECC 迁移到 S/4HANA 之前,SAP 建议您运行 /SDF/HDB_SIZING 报告,如 SAP 说明 1872170 - ABAP on HANA 容量调整报告(S/4HANA、Suite on HANA…)中所述。
该硬件选择报告分析源系统当前的内存和处理需求,并提供有关迁移到 S/4HANA 的要求信息。
网络配置
Compute Engine 虚拟机网络功能由其机器家族决定,而不是由其网络接口 (NIC) 或 IP 地址决定。
根据机器类型,您的虚拟机实例能够处理 2-32 Gbps 的网络吞吐量。某些机器类型还支持高达 100 Gbps 的吞吐量,这需要将 Google 虚拟 NIC (gVNIC) 接口类型与 Tier_1 网络配置搭配使用。能否实现这些吞吐率取决于流量方向和目标 IP 地址类型。
Compute Engine 虚拟机网络接口由弹性佳的冗余网络基础架构提供支持,并且使用物理和软件定义的网络组件。这些接口会继承底层平台的冗余和弹性。多个虚拟 NIC 可用于流量分离,但不提供额外的弹性或性能优势。
单个 NIC 为 Compute Engine 上的 SAP HANA 部署提供所需的性能。您的特定使用场景、安全要求或偏好设置可能还需要其他接口来分离流量,例如互联网流量、内部 SAP HANA 系统复制流量或可能受益于特定网络政策规则的其他流。我们建议您采用应用提供的流量加密,并遵循最小权限防火墙政策来保护网络访问权限,以限制访问。
在网络设计过程中,尽早考虑流量分离的需求,并在部署虚拟机时分配额外的 NIC。您必须将每个网络接口连接到不同的 VPC 网络。您选择的网络接口数量取决于所需的隔离级别,具有 8 个或更多 vCPU 的虚拟机最多可以有 8 个接口。
例如,您可以为 SAP HANA SQL 应用客户端(例如 SAP NetWeaver 应用服务器和自定义应用)定义一个 VPC 网络,并为服务器间流量(例如 SAP HANA 系统复制)定义一个单独的 VPC 网络。假设网络分段过多,可能会导致网络管理和网络问题排查变得复杂。如果您稍后改变主意,则可以使用 Compute Engine 机器映像重新创建虚拟机实例,同时保留所有关联的配置、元数据和数据。
如需了解详情,请参阅以下主题:
部署
本部分介绍在 Google Cloud 上部署 S/4HANA 的相关信息。
SAP 部署前重要说明
开始在 Google Cloud 上部署 SAP S/4HANA 系统之前,请阅读以下 SAP 说明。此外,在开始任何 SAP 实现之前,请查看 SAP Marketplace 以获取更新的产品安装指南和说明。
- SAP 说明 2456432 - Google Cloud 上的 SAP 应用:支持的产品和 Google Cloud 机器类型
- 2446441 - Google Cloud (IaaS) 上的 Linux:适应您的 SAP 许可
- 2456953 - Google Cloud (IaaS) 上的 Windows:适应您的 SAP 许可
- 1380654 - 公有云环境中的 SAP 支持
- SAP 说明 2456406 - Google Cloud Platform 上的 SAP:支持先决条件
部署自动化
如需在 Google Cloud 上安装 S/4HANA,您可以使用以下部署选项:
- 对于分布式部署或具备高可用性 (HA) 的分布式部署,您可以使用 Workload Manager 中的引导式部署自动化工具。借助此工具,您可以直接从 Google Cloud 控制台配置和部署受支持的 SAP 工作负载,也可以生成和下载等效的 Terraform 和 Ansible 代码。如需了解详情,请参阅引导式部署自动化简介。
- 对于集中式或分布式部署,您可以使用 Google Cloud 提供的 Terraform 配置。如需了解详情,请参阅 SAP HANA 场景的部署指南。