Google Cloud 上 SAP 的一般核对清单

此核对清单可帮助您改进 Google Cloud上 SAP 系统的设计、迁移、实现和维护。

在完成该核对清单的过程中,请考虑您自己的业务需求。如果您的选择与我们建议的不同,请在执行该核对清单中的后续任务时注意这些区别。

计算

  • 如需验证您计划用于迁移的机器类型和软件已通过 SAP 认证,请参阅 SAP 说明 2456432 - Google Cloud上的 SAP 应用:支持的产品和 Google Cloud 机器类型
  • 请避免在同一虚拟机实例上运行多个应用。不过,如果您选择在单个虚拟机上运行多个应用,请执行以下操作:
    • 确保应用不会彼此竞争资源和带宽。否则,请将应用移至单独的虚拟机。
    • 建议使用 Cloud DNS 解析静态 IP 地址,而不是使用本地解析器。

  • 确保您估算 SAP 工作负载的容量并保证将来增长。

网络

  • 如需设计 Virtual Private Cloud (VPC) 网络以获得最佳性能,请参阅 VPC 设计最佳实践指南。我们推荐以下设计选项:

    • 使用优质网络服务层级。如需了解相关信息,请参阅网络服务层级
    • 选择彼此不冲突的 IP 地址范围,并在您的规划和设计中包含任何现有的本地 IP 地址范围。
    • 在部署资源之前,确定您的网络设计和配置,原因如下:
      • 部署虚拟机后,您无法添加网络接口或更改已分配的云端网络。
      • 如果需要进行更改,则需要重新部署实例。此类更改可能会影响您的横向和应用的可用性。

  • 如需了解共享 VPC 的优势,请参阅共享 VPC 概览指南。一般来说:

    • 共享 VPC 限制对主机项目的网络管理访问权限。此功能会隔离网络配置访问权限,这在委托访问场景中非常有用。例如,您可以允许开发者在测试项目中部署虚拟机实例,但可阻止他们更改网络配置。
    • 共享 VPC 也会施加限制。例如,如果服务项目中的服务账号需要在高可用性 (HA) 场景中进行路由更新,则您可以使用自定义角色条件,以限制对非常特定资源的访问权限。
    • 如果您选择横向模式的共享 VPC,则请先创建共享 VPC,然后再将虚拟机部署到您的项目中。如果您选择稍后转为共享 VPC,这种做法可防止您重新部署实例并重新执行网络配置。

  • 如需提供从本地环境到 Google Cloud 项目的连接,请参阅选择网络连接产品。我们建议您执行以下操作:

    • 请勿为不需要外部访问的系统创建外部 IP 地址。这种做法通过限制外部访问来保护系统。
    • 对于内部通信,请使用防火墙规则来限制您的环境实际使用的协议和端口号。
    • 如需访问您的 Google Cloud 环境,请参阅 Cloud NAT 概览如需详细了解出站访问和使用 IAP 进行 TCP 转发拥有入站、管理员权限的权限。
    • 如果您考虑使用第三方网络设备(例如代理、防火墙、数据包检查器、负载平衡器和 Web 应用防火墙),请确保这些服务不会限制带宽或导致中断您的 VPC。请与您的提供商合作,确保解决方案适合 SAP 系统,并应用必要的排除项来限制影响。

存储

  • 对永久性磁盘保存备份时:
    • 确保将备份文件分流到辅助位置以实现冗余。为此,备份完成后,为该卷创建快照。
    • 选择想要缓解的特定风险(例如逻辑损坏、地区性中断或区域中断)的存储位置。通常,使用第二个区域作为辅助位置。
  • 在升级任何 SAP 组件时,请考虑以下事项:
    • 要更改后端数据库,请参阅适用于软件更新管理器 (SMO) 的 SAP 数据库迁移选项 (DMO) 指南,了解有关如何将升级操作与迁移相结合的建议。请参阅 SUM 1.0 的 DMOSUM 2.0 的 DMO
    • 为确保迁移过程更简单,请查看您当前的源系统数据。建议您在迁移前归档历史业务数据并删除临时数据。这样做可减少数据足迹和迁移时间。
  • 如需实施直接原样迁移,您可以根据迁移需求使用各种工具。以下是一些常用工具的示例:
  • 如需详细了解迁移策略,请参阅迁移到 Google Cloud:使用入门
  • 如需为 Google Cloud上的工作负载定义安全要求,请参阅 Cloud Security 最佳做法指南。我们建议您采取以下措施:
    • 始终遵循最小权限原则,但要确保团队成员拥有足够的访问权限,可以在他们履行职责时进行控制和灵活调整。
    • 请谨慎使用防病毒和反恶意软件应用,尤其是对性能敏感的应用(例如数据库服务器)。
    • 对文件应用适当的限制以支持安全性(例如访问数据库存储空间)。