SAP ASE 规划指南

本指南简要介绍 SAP Adaptive Server Enterprise (ASE) 如何在 Google Cloud 上运行,并提供一些详细信息供您在规划新 SAP ASE 系统实现时使用。

如需了解如何在 Google Cloud 上部署 SAP ASE,请参阅:

Google Cloud 基础知识

Google Cloud 由许多云端服务和产品组成。在 Google Cloud 上运行 SAP 产品时,您主要使用通过 Compute EngineCloud Storage 提供的基于 IaaS 的服务,以及部分平台范围的功能(例如工具)。

如需了解重要概念和术语,请参阅 Google Cloud Platform 概览。为方便起见并根据上下文需要,本指南从该概览中复制了一些信息。

如需大致了解企业级组织在 Google Cloud 上运行相关产品时应考虑哪些注意事项,请参阅 Google Cloud 架构框架

与 Google Cloud 交互

Google Cloud 提供了以下三种主要的交互方式,供您在云端与该平台以及您的资源进行交互:

  • Google Cloud 控制台,一个基于网页的界面。
  • gcloud 命令行工具 - 具备 Google Cloud 控制台所提供的一切功能。
  • 客户端库 - 提供可用于访问服务和管理资源的 API。在您构建自己的工具时,客户端库非常有用。

Google Cloud 服务

部署 SAP 时通常需要使用以下部分或全部 Google Cloud 服务:

服务 说明
VPC 网络

将虚拟机实例相互连接并将其连接到互联网。

各个虚拟机实例要么是具有单个全局 IP 范围的旧版网络的成员,要么是推荐的子网网络的成员;对于后一种情况,虚拟机实例是单个子网的成员,而该子网则为更大规模网络的成员。

请注意,一个虚拟私有云 (VPC) 网络不能跨越多个 Google Cloud 项目,但一个 Google Cloud 项目可以有多个 VPC 网络。

如需将多个项目中的资源连接到一个公用 VPC 网络,您可以使用共享 VPC,以便资源可以使用该网络中的内部 IP 地址安全高效地相互通信。如需了解如何预配共享 VPC(包括要求、配置步骤和用法),请参阅预配共享 VPC

Compute Engine 使用您选择的操作系统和软件堆栈创建并管理虚拟机。
永久性磁盘和 Hyperdisk

您可以使用永久性磁盘和 Google Cloud Hyperdisk:

  • 永久性磁盘卷可以标准硬盘驱动器 (HDD) 或固态硬盘 (SSD) 的形式提供。对于平衡永久性磁盘和 SSD 永久性磁盘,PD 异步复制功能可在两个 Google Cloud 区域之间异步复制 SAP 数据。
  • 与 SSD 永久性磁盘卷相比,Hyperdisk Extreme 卷提供更高的 IOPS 和吞吐量上限选项。
  • 默认情况下,Compute Engine 会对静态客户内容进行加密,包括永久性磁盘和 Hyperdisk 卷中的内容。如需详细了解磁盘加密和可能的加密选项,请参阅磁盘加密简介
Google Cloud 控制台

基于浏览器的 Compute Engine 资源管理工具。

您可以使用模板来描述所需的全部 Compute Engine 资源和实例。您无需单独创建和配置资源或找出依赖项,因为 Google Cloud 控制台会为您执行此类操作。

Cloud Storage 您可以将 SAP 数据库备份存储在 Cloud Storage 中,以通过复制提高耐用性和可靠性。
Cloud Monitoring

有助于您了解 Compute Engine、网络和永久性存储磁盘的部署情况、性能、正常运行时间和运行状况。

Monitoring 可从 Google Cloud 收集指标、事件和元数据,并利用这些信息通过信息中心、图表和提醒生成数据洞见。您可以通过 Monitoring 免费监控计算指标。

IAM

以统一的方式控制对 Google Cloud 资源的权限。

借助 IAM,您可以控制哪些人可以在虚拟机上执行控制平面操作,包括创建、修改和删除虚拟机与永久性存储磁盘,以及创建和修改网络。

价格和配额

您可以使用价格计算器来估算您的使用费。如需详细了解价格信息,请参阅 Compute Engine 价格Cloud Storage 价格Google Cloud Observability 价格

Google Cloud 资源受配额约束。如果您计划使用高 CPU 或高内存机器,则可能需要申请增加配额。如需了解详情,请参阅 Compute Engine 资源配额

合规性和主权控制

如果您需要 SAP 工作负载根据数据驻留、访问权限控制、支持人员或监管要求运行,则必须计划使用 Assured Workloads,此服务可帮助您在 Google Cloud 中运行安全且合规的工作负载,同时不影响云体验的质量。 如需了解详情,请参阅 SAP on Google Cloud 的合规性和主权控制

部署架构

Google Cloud 上的基本单节点 SAP ASE 安装包括以下组件:

  • 一个运行 SAP ASE 数据库的 Compute Engine 虚拟机。
  • 四个或五个挂接的永久性磁盘驱动器:

    驱动器内容 Linux Windows
    数据库实例的根目录 sybase/[DBSID] ASE (D:)
    数据库数据文件 /sybase/[DBSID]/sapdata ASE Data (E:)
    数据库事务日志 /sybase/[DBSID]/logdir ASE Log (L:)
    数据库临时表空间 /sybase/[DBSID]/saptmp ASE Temp (T:)
    SAPTOOLS 的诊断表空间 /sybase/[DBSID]/sapdiag 不适用

(可选)您可以对安装进行扩展,纳入以下各项:

  • 备份驱动器。在 Linux 上,备份驱动器是 /sybasebackup。在 Windows 上,备份驱动器是 Backup (X:)
  • NAT 网关。利用 NAT 网关,您可以为虚拟机提供互联网连接,同时拒绝通过互联网直接连接到这些虚拟机。您还可以将相应的虚拟机配置为堡垒主机,以便能够与专用子网上的其他虚拟机建立 SSH 连接。如需了解详情,请参阅 NAT 网关和堡垒主机
  • NetWeaver 目录,包括:

    • /usr/sap(在 Linux 上)或 SAP (S:)(在 Windows 上)
    • /sapmnt(在 Linux 上)或 Pagefile (P:)(在 Windows 上)
  • 热备用服务器,如果您使用的是 SAP ASE 始终开启的高可用性灾难恢复 (HADR) 选项,则需要设置热备用服务器。热备用服务器所需的磁盘配置与安装基本 SAP ASE 时相同。

    如需了解 SAP ASE 始终开启的选项的重要软件要求,请参阅受支持的 SAP ASE 功能

    如需详细了解如何为 SAP ASE 设置 HADR,请参阅 HADR 用户指南

Google Cloud 上的 SAP ASE 目前不支持 Pacemaker 以及其他此类高可用性资源管理软件。

其他用例可能需要额外的设备或数据库。如需了解详情,请参阅适用于 UNIX 的 SAP ASE 配置指南 > 可选设备和数据库

资源要求

从许多方面来看,在 Google Cloud 上运行 SAP ASE 类似于在您自己的数据中心运行 SAP ASE。您仍需考虑计算资源、存储和网络注意事项。如需了解详情,请参阅《SAP 说明 2537664:面向 Google Cloud 的 SAP ASE 16.0 认证报告》

虚拟机配置

SAP ASE 经认证可在所有 Compute Engine 机器类型(包括自定义类型)上运行。如需了解不同的机器类型及其用例,请参阅 Compute Engine 文档中的机器类型

CPU 配置

所需的 vCPU 数量取决于 SAP ASE 上的应用负载。您应为 SAP ASE 安装分配至少两个 vCPU。为了让 SAP ASE 充分利用现有资源,请遵循性能和调整指南,然后根据需要增加您的计算资源。

内存配置

在您的 SAP ASE 虚拟机中,每个 vCPU 至少应该对应 4 GB 的 RAM。其中 80% 的 RAM 空间应分配给 SAP ASE,其余的空间分配给运行 SAP ASE 的操作系统。

具体用例的最优内存数量取决于所运行查询的复杂程度、数据大小、正在使用的并行数量以及所期望的性能水平。如需有关如何优化内存配置方面的更多指导信息,请参阅 SAP ASE 性能和调整系列

存储配置

默认情况下,每个 Compute Engine 虚拟机都有一个包含操作系统的小型根级永久性磁盘。此外,您应该为数据库、日志和存储过程创建、挂接、格式化和装载其他磁盘。

磁盘大小和性能要求取决于您的应用。您可以根据需求调整每个设备的容量。

如需详细了解 SAP ASE 的永久性磁盘选项,请参阅永久性磁盘

如需查看 SAP 提供的关于调整磁盘大小的指南,请参阅适用于 UNIX 的配置指南 > 确定数据库设备的容量

支持的 SAP ASE 版本

SAP 支持 Google Cloud 上的以下 SAP ASE 版本:

  • SAP ASE 16.0 SP03
  • SAP ASE 16.0 SP04

如需详细了解 SAP 在 Google Cloud 上支持的 ASE 版本,请参阅:

SAP ASE 功能支持

Google Cloud 支持大多数 SAP ASE 功能。本部分仅列出了有条件支持或不支持的 SAP ASE 功能。

支持的 SAP ASE 功能

Google Cloud 支持 SAP ASE 始终开启的高可用性和灾难恢复 (HADR) 选项。

如需详细了解 SAP ASE always-on HADR 选项,请参阅:

不支持的 SAP ASE 功能

Google Cloud 支持以下 SAP ASE 功能(这一点与 SAP 说明 29224542537664 一致):

  • 实时数据服务
  • 网络服务
  • Kerberos
  • IPv6
  • 具有原生集群管理器的 SAP ASE 高可用性选项
  • 作为数据库设备的原始磁盘
  • 内核进程模式
  • Tivoli 存储管理

如需详细了解 Google Cloud 上受支持的 SAP ASE 功能,请参阅 SAP 说明 2537664

支持的操作系统

SAP 支持在以下操作系统上运行 SAP ASE:

  • RHEL
  • SLES
  • Windows Server

Compute Engine 提供了这些操作系统的当前版本供您使用。如需了解 Compute Engine 提供的操作系统版本,请参阅映像

如需了解 SAP ASE 支持的当前操作系统版本,请参阅 SAP 说明 2489781

部署考虑事项

区域和可用区

部署虚拟机时,您必须选择区域和可用区。区域是指您可以运行资源的特定地理位置,对应于数据中心位置。每个区域包含一个或多个可用区。

全局资源(例如预配置的磁盘映像和磁盘快照)可跨区域和可用区访问。区域级资源(例如静态外部 IP 地址)只能由位于同一区域的资源访问。可用区级资源(例如虚拟机和磁盘)只能由位于同一可用区的资源访问。

Google Cloud 区域和可用区

在为虚拟机选择区域和可用区时,请注意以下几点:

  • 用户和内部资源的位置,例如数据中心或公司网络。为了缩短延迟时间,请选择临近用户和资源的位置。
  • 其他 SAP 资源的位置。您的 SAP 应用和数据库必须位于同一可用区。

永久性磁盘

永久性磁盘是耐用的块存储设备,其功能类似于桌面设备或服务器中的物理磁盘。

Compute Engine 提供不同类型的永久性磁盘。每种类型都有不同的性能特征。Google Cloud 会管理永久性磁盘的底层硬件,以确保数据冗余并优化性能。

您可以使用以下任何 Compute Engine 永久性磁盘类型:

  • 标准永久性磁盘 (pd-standard):基于标准硬盘 (HDD) 的经济高效的块存储,用于处理有序读写操作,但并不适合处理高速率的随机每秒输入/输出操作 (IOPS)。
  • SSD (pd-ssd):基于固态硬盘 (SSD),提供可靠的高性能块存储。
  • 平衡 (pd-balanced):基于 SSD,提供经济实惠且可靠的块存储。
  • 极端 (pd-extreme):对于较大的 Compute Engine 机器类型,提供比 pd-ssd 更高的 IOPS 和吞吐量上限选项。如需了解详情,请参阅极端永久性磁盘

SSD 永久性磁盘和平衡永久性磁盘的性能会随大小自动调节,因此您可以通过调整现有永久性磁盘的大小或将更多永久性磁盘添加到虚拟机来调整性能。

您使用的虚拟机类型及其包含的 vCPU 数量也会影响永久性磁盘性能。

永久性磁盘的位置与虚拟机无关,因此即使在删除虚拟机后,您也可以分离或移动永久性磁盘以保留数据。

如需详细了解不同类型的 Compute Engine 永久性磁盘、其性能特征以及如何使用它们,请参阅 Compute Engine 文档:

本地 SSD(非永久性)

Google Cloud 还提供了本地 SSD 磁盘。尽管本地 SSD 相比永久性磁盘具有某些优势,但请勿将其用作 SAP ASE 系统的一部分。挂接本地 SSD 的虚拟机实例无法在关停后重启。

NAT 网关和堡垒主机

如果您的安全政策需要真正的内部虚拟机,那么您需要在网络上手动设置 NAT 代理并设置相应的路由,以便此类虚拟机能够访问互联网。请务必注意,您无法使用 SSH 直接连接到完全属于内部的虚拟机实例。如需连接到此类内部机器,您必须设置具有外部 IP 地址的堡垒实例,然后通过该实例建立隧道。如果虚拟机没有外部 IP 地址,那么只有该网络上的其他虚拟机可以访问它们,或者只能通过代管 VPN 网关访问它们。您可以在网络中预配虚拟机,以充当入站连接(称作“堡垒主机”)或网络出口(称作“NAT 网关”)的可信中继。若要在不设置此类连接的前提下实现更透明的连接,您可以使用代管 VPN 网关资源。

使用堡垒主机进行入站连接

堡垒主机提供面向外部的入口点以接入包含专用网络虚拟机的网络。这种主机可以提供单一防御或审核点,而且可以启动或停止以启用或停用来自互联网的入站 SSH 通信。

SSH 场景中显示的堡垒主机

您可以首先连接到堡垒主机,从而对没有外部 IP 地址的虚拟机进行 SSH 访问。堡垒主机的全面安全强化超出了本指南的讨论范围,但您可以采取一些初始步骤,包括:

  • 限制可与堡垒主机通信的源 IP 的 CIDR 范围。
  • 配置防火墙规则,仅允许来自堡垒主机的 SSH 流量传输到专用虚拟机。

默认情况下,虚拟机上的 SSH 会配置为使用私钥执行身份验证。 使用堡垒主机时,您应该先登录堡垒主机,然后再登录目标专用虚拟机。鉴于这种两步登录方式,您应该使用 SSH 代理转发来访问目标虚拟机,而不是将目标虚拟机的私钥存储在堡垒主机上。即使为堡垒主机和目标虚拟机使用相同的密钥对,您也必须这样做,因为堡垒主机只能直接访问密钥对的公钥部分。

为出站流量使用 NAT 网关

如果没有为虚拟机分配外部 IP 地址,则虚拟机无法与外部服务(包括其他 Google Cloud 服务)建立直接连接。如需允许这些虚拟机访问互联网上的服务,您可以设置并配置一个 NAT 网关。NAT 网关是一个可以代表网络中的任何其他虚拟机路由流量的虚拟机。 每个网络都应该有一个 NAT 网关。请注意,单虚拟机 NAT 网关不应被视作具有高可用性,并且无法支持多个虚拟机的高流量吞吐量。如需了解如何设置虚拟机作为 NAT 网关,请参阅适用于 Linux 的 SAP ASE 部署指南适用于 Windows 的 SAP ASE 部署指南

自定义映像

在系统启动并运行后,您可以创建自定义映像。 如果您要修改根级永久性磁盘的状态并希望能够轻松恢复新状态,则应创建此类映像。您应该就如何管理您所创建的自定义映像制定一项计划。如需了解详情,请参阅映像管理最佳做法

用户识别和资源访问权限

在为 Google Cloud 上的 SAP 部署规划安全措施时,您必须识别:

  • 需要访问 Google Cloud 项目中的 Google Cloud 资源的用户账号和应用
  • 在您的项目中每位用户需要访问的特定 Google Cloud 资源

您必须通过将每个用户的 Google 账号 ID 添加为项目中的主账号,来将相应用户添加到项目中。对于使用 Google Cloud 资源的应用,您需要创建一个服务账号,该账号会为您项目中的程序提供用户身份。

Compute Engine 虚拟机拥有自己的服务账号。只要某虚拟机服务账号拥有程序所需的资源权限,则在虚拟机上运行的该程序就可以使用该虚拟机服务账号。

确定各用户需要使用的 Google Cloud 资源后,您可以为各用户分配特定于资源的角色,以授予使用各资源相应的用户权限。查看 IAM 为各资源提供的预定义角色,并为各用户分配角色,以提供正好足以完成用户任务或职能的权限。

如果您需要对预定义 IAM 角色提供的权限进行更精细或更严格的控制,您可以创建自定义角色。

如需详细了解 SAP 程序在 Google Cloud 上所需的 IAM 角色,请参阅 Google Cloud 上的 SAP 程序的身份和访问权限管理

如需大致了解 SAP on Google Cloud 的身份和访问权限管理,请参阅 SAP on Google Cloud 的身份和访问权限管理概览

网络和网络安全

在进行网络和安全规划时,请考虑以下部分中的信息。

最小权限模式

您的第一道防线是使用防火墙限制哪些人可以访问您的网络和虚拟机。 除非您创建防火墙规则允许流量通过,否则防火墙会默认阻止通往虚拟机的所有流量(即使流量来自其他虚拟机)。随每个项目自动创建并具有默认防火墙规则的默认网络属于例外情况。

通过创建防火墙规则,您可以对一组给定端口上的所有流量进行限制,仅允许来自特定源 IP 地址的流量通过。您应该按照最小权限模式来限制访问权限,仅允许需要访问权限的特定 IP 地址、协议和端口进行访问。例如,您应始终设置堡垒主机,并且仅允许通过该主机对 SAP NetWeaver 系统进行 SSH 访问。

自定义网络和防火墙规则

您可以使用网络来定义网关 IP 以及挂接到该网络的虚拟机的网络范围。所有 Compute Engine 网络都使用 IPv4 协议。每个 Google Cloud 项目都具有带预设配置和防火墙规则的默认网络,但您应该根据最小权限模式添加自定义子网和防火墙规则。默认情况下,新创建的网络没有防火墙规则,因此没有网络访问。

根据您的要求,您可能需要额外添加子网,以隔离网络的各个部分。如需了解详情,请参阅子网

防火墙规则适用于整个网络和网络中的所有虚拟机。 您可以添加防火墙规则,以允许流量在同一网络中的虚拟机之间以及子网之间通行。您也可以通过标记机制将防火墙配置为仅应用于特定的目标虚拟机。

部分 SAP 产品(例如 SAP NetWeaver)需要访问某些端口。请务必添加相关防火墙规则以允许访问 SAP 所述的端口

路由

路由是挂接到单个网络的全局资源。用户创建的路由适用于网络中的所有虚拟机。这意味着您可以添加路由,以便在同一网络中的虚拟机之间以及子网之间转发流量,而无需外部 IP 地址。

为了实现从外部访问互联网资源,请启动不具备外部 IP 地址的虚拟机,并将另一个虚拟机配置为 NAT 网关。此配置需要您将 NAT 网关添加为 SAP 实例的路由。如需了解详情,请参阅 NAT 网关和堡垒主机

Google Cloud VPN

您可以借助 Google Cloud VPN 通过使用 IPsecVPN 连接,将现有网络安全地连接到 Google Cloud。两个网络之间的流量传输通过一个 VPN 网关加密,然后通过另一个 VPN 网关解密,这样可以保护您的数据在互联网上传输时的安全。通过路由上的实例标记,您可以动态控制哪些虚拟机可以向 VPN 发送流量。Cloud VPN 隧道的计费方式为固定月费率加标准出站流量费用。请注意,将同一项目中的两个网络相连仍然会产生标准出站流量费用。如需了解详情,请参阅 VPN 概览选择 VPN 路由选项

保护 Cloud Storage 存储分区的安全

如果您使用 Cloud Storage 来托管数据和日志的备份,请确保在从虚拟机向 Cloud Storage 发送数据时使用 TLS (HTTPS),以保护传输中的数据。Cloud Storage 会自动加密静态数据。如果您有自己的密钥管理系统,则可以自行指定加密密钥。

另请参阅针对 Google Cloud 上的 SAP 环境的以下安全资源:

备份与恢复

您必须就如何在发生最坏情况时将系统恢复到运行状态制定一项计划。如需获取有关如何使用 Google Cloud 规划灾难恢复的一般指导,请参阅:

许可

本部分提供了与许可要求有关的信息。

SAP 许可

如需在 Google Cloud 上运行 SAP ASE,您必须自备许可 (BYOL)。有关详情,请参阅:

如需详细了解 SAP 许可,请与 SAP 联系。

操作系统许可证

在 Compute Engine 中,有下面两种获取 SLES、RHEL 和 Windows Server 许可证的方式:

  • 如果使用随用随付许可,那么您的 Compute Engine 虚拟机每小时费用包括许可费。Google 负责管理许可事宜。这种情况下,您的每小时费用较高,但您可以根据需要极其灵活地增加或降低费用。这种许可模式适用于包括 SLES、RHEL 和 Windows Server 在内的 Google Cloud 公共映像。

  • 如果使用 BYOL,您的 Compute Engine 虚拟机费用会比较低,因为其中不包括许可费。您必须迁移现有许可或购买自己的许可,这意味着需要您预先付款,且灵活性较低。

支持

如有 Google Cloud 基础架构或服务方面的问题,请与 Customer Care 联系。您可以在 Google Cloud 控制台中的“支持概览”页面上找到联系信息。如果 Customer Care 确定问题在于您的 SAP 系统,会将您引荐给 SAP 支持。

对于与 SAP 产品有关的问题,请通过 SAP 支持记录您的支持请求。 SAP 会评估支持服务工单,如果该问题似乎是 Google Cloud 基础架构问题,则 SAP 会将工单转移到其系统中的相应 Google Cloud 组成团队:BC-OP-LNX-GOOGLEBC-OP-NT-GOOGLE

支持要求

您必须满足最低支持方案要求,才能获得对 SAP 系统及其使用的 Google Cloud 基础架构和服务的支持。

如需详细了解 Google Cloud 上的 SAP 的最低支持要求,请参阅:

后续步骤

如需在 Linux 上部署 SAP ASE,请参阅:+(推荐)“Terraform:为 Linux 上的 SAP ASE 自动部署虚拟机”。+“Deployment Manager:为 Linux 上的 SAP ASE 自动部署虚拟机”

如需在 Windows 上部署 SAP ASE,请参阅“Deployment Manager:为 Windows 上的 SAP ASE 自动部署虚拟机