本指南简要介绍 SAP MaxDB 如何在 Google Cloud 上运行,并提供一些详细信息供您在规划新 SAP MaxDB 系统实现时使用。
如需详细了解如何在 Google Cloud 上部署 SAP MaxDB,请参阅:
如需从 SAP 了解 SAP MaxDB,请参阅 SAP 帮助门户中的 SAP MaxDB 库。
Google Cloud 基础知识
Google Cloud 由许多云端服务和产品组成。在 Google Cloud 上运行 SAP 产品时,您主要使用通过 Compute Engine 和 Cloud Storage 提供的基于 IaaS 的服务,以及部分平台范围的功能(例如工具)。
如需了解重要概念和术语,请参阅 Google Cloud Platform 概览。为方便起见并根据上下文需要,本指南从该概览中复制了一些信息。
如需大致了解企业级组织在 Google Cloud 上运行相关产品时应考虑哪些注意事项,请参阅 Google Cloud 架构框架。
与 Google Cloud 交互
Google Cloud 提供了以下三种主要的交互方式,供您在云端与该平台以及您的资源进行交互:
- Google Cloud 控制台,一个基于网页的界面。
gcloud命令行工具 - 具备 Google Cloud 控制台所提供的一切功能。- 客户端库 - 提供可用于访问服务和管理资源的 API。在您构建自己的工具时,客户端库非常有用。
Google Cloud 服务
部署 SAP 时通常需要使用以下部分或全部 Google Cloud 服务:
| 服务 | 说明 |
|---|---|
| VPC 网络 | 将虚拟机实例相互连接并将其连接到互联网。各个实例要么是具有单个全局 IP 范围的旧式网络的成员,要么是推荐的子网网络的成员;对于后一种情况,实例是单个子网的成员,而该子网则为更大规模网络的成员。 请注意,一个网络不能跨越多个 Google Cloud 项目,但一个 Google Cloud 项目可以有多个网络。 |
| Compute Engine | 使用您选择的操作系统和软件堆栈创建并管理虚拟机。 |
| Persistent Disk 磁盘和 Hyperdisk 磁盘 |
您可以使用 Compute Engine Persistent Disk 磁盘和 Hyperdisk 磁盘:
|
| Google Cloud 控制台 | 基于浏览器的 Compute Engine 资源管理工具。您可以使用模板来描述所需的全部 Compute Engine 资源和实例。您无需单独创建和配置资源或找出依赖项,因为 Google Cloud 控制台会为您执行此类操作。 |
| Cloud Storage | 您可以将 SAP 数据库备份存储到 Cloud Storage 中,以通过复制提高耐用性和可靠性。 |
| Cloud Monitoring | 有助于您了解 Compute Engine、网络和永久性磁盘的部署情况、性能、正常运行时间和运行状况。 Monitoring 可从 Google Cloud 收集指标、事件和元数据,并利用这些信息通过信息中心、图表和提醒生成数据洞见。您可以通过 Monitoring 免费监控计算指标。 |
| IAM | 以统一的方式控制对 Google Cloud 资源的权限。控制哪些人可以在虚拟机上执行控制层面操作,包括创建、修改和删除虚拟机与永久性磁盘,以及创建和修改网络。 |
价格和配额
您可以使用价格计算器来估算您的使用费。如需详细了解价格信息,请参阅 Compute Engine 价格、Cloud Storage 价格和 Google Cloud Observability 价格。
Google Cloud 资源受配额约束。如果您计划使用高 CPU 或高内存机器,则可能需要申请增加配额。如需了解详情,请参阅 Compute Engine 资源配额。
合规性和主权控制
如果您需要 SAP 工作负载根据数据驻留、访问权限控制、支持人员或监管要求运行,则必须计划使用 Assured Workloads,此服务可帮助您在 Google Cloud 中运行安全且合规的工作负载,同时不影响云体验的质量。 如需了解详情,请参阅 SAP on Google Cloud 的合规性和主权控制。
部署架构
在 Google Cloud 上安装基本单节点 SAP MaxDB 时,包括以下组件:
- 一个运行 SAP MaxDB 数据库的 Compute Engine 虚拟机。
三或四个挂接的 Persistent Disk:
磁盘内容 Linux Windows 数据库实例的根目录 /sapdb/[DBSID]MaxDB (D:)数据库数据文件 /sapdb/[DBSID]/sapdataMaxDB Data (E:)数据库事务日志 /sapdb/[DBSID]/saplogMaxDB Log (L:)数据库备份(可选) /maxdbbackupBackup (X:)
(可选)您可以扩展安装以包括以下内容:
NetWeaver 目录,包括:
/usr/sap(在 Linux 上)或SAP (S:)(在 Windows 上)/sapmnt(在 Linux 上)或Pagefile (P:)(在 Windows 上)
NAT 网关。NAT 网关允许您为虚拟机提供互联网连接,同时拒绝通过互联网直接连接到这些虚拟机。您还可以将相应的虚拟机配置为堡垒主机,以便能够与专用子网上的其他虚拟机建立 SSH 连接。如需了解详情,请参阅 NAT 网关和堡垒主机。
其他用例可能需要额外的设备或数据库。如需了解详情,请参阅 SAP 帮助门户 中的 MaxDB 文档。
资源要求
在许多方面,在 Google Cloud 上运行 SAP MaxDB 类似于在您自己的数据中心运行 SAP MaxDB。您仍需考虑计算资源、存储和网络注意事项。如需了解详情,请参阅 SAP 说明 2456432 - Google Cloud 上的 SAP 应用:支持的产品和 Google Cloud 机器类型。
虚拟机配置
SAP MaxDB 经认证可在所有 Compute Engine 机器类型(包括自定义类型)上运行。但是,如果您在 SAP NetWeaver 或 Application Server Central Services (ASCS) 所在的虚拟机上运行 MaxDB,则必须使用 SAP NetWeaver 支持的虚拟机。如需 SAP NetWeaver 支持的虚拟机列表,请参阅 SAP NetWeaver 规划指南。
如需了解 Google Cloud 上可用的所有机器类型及其用例,请参阅 Compute Engine 文档中的机器类型。
CPU 配置
您为 MaxDB 选择的 vCPU 数量取决于您的应用负载和性能目标。安装 SAP MaxDB 时,您至少应该为其分配两个 vCPU。为了获得最佳性能,请调整 vCPU 的数量和永久性磁盘的大小,直到达到您的性能目标。 如需从 SAP 详细了解 MaxDB,请参阅 SAP 帮助门户。
内存配置
为 SAP MaxDB 系统分配的内存取决于您的用例。 具体用例的最优内存数量取决于所运行查询的复杂程度、数据大小、正在使用的并发运行数量以及所期望的性能水平。
如需从 SAP 了解关于 MaxDB 的更多信息,请参阅 SAP 帮助门户。
存储配置
默认情况下,每个 Compute Engine 虚拟机都有一个包含操作系统的小型根级永久性磁盘。您可以为数据库数据、日志和(可选)数据库备份预配更多磁盘。
对日志卷以及数据卷使用高性能永久性磁盘,具体取决于您的性能目标。
如需详细了解 SAP MaxDB 的永久性磁盘选项,请参阅永久性磁盘。
以下是来自 SAP 的更多信息:
受支持的 SAP MaxDB 版本和功能
SAP MaxDB 版本 7.9.09 和更高版本已经过 SAP 认证可在 Google Cloud 上使用。
SAP 还会在 Google Cloud 上认证以下版本的 SAP liveCache 和 SAP Content Server:
- 针对 EhP 4 for SAP SCM 7.0 及更高版本发布的 SAP liveCache 技术,最低为 SAP LC/LCAPPS 10.0 SP 39,包括 liveCache 7.9.09.09 和 LCA-Build 39。
- Windows 上的 SAP Content Server 6.50(使用 Internet Information Services 10 (IIS))
- 使用 Apache Web Server 2.4.xx 的 Linux 上的 SAP Content Server 6.50
如需详细了解受支持的 liveCache 版本,请参阅 SAP 说明 2074842。
如需详细了解 Google Cloud 支持的 SAP 产品,请参阅 SAP 说明 2456432 - Google Cloud 上的 SAP 应用:支持的产品和 Google Cloud 机器类型。
支持的操作系统
您可以在 Google Cloud 上的以下操作系统上运行 SAP MaxDB:
- Red Hat Entrprise Linux (RHEL)
- SUSE Linux Enterprise Server (SLES)
- Windows Server
SAP 在 SAP 产品可用性矩阵中列出了可与 MaxDB 搭配使用的操作系统版本。
Compute Engine 提供 Linux 和 Windows 操作系统,作为包含 Google Cloud 增强功能的公共映像。如需详细了解 Compute Engine 映像,请参阅映像。
部署考虑事项
区域和可用区
部署虚拟机时,您必须选择区域和可用区。区域是指您可以运行资源的特定地理位置,对应于数据中心位置。每个区域包含一个或多个可用区。
全局资源(例如预配置的磁盘映像和磁盘快照)可跨区域和可用区访问。区域级资源(例如静态外部 IP 地址)只能由位于同一区域的资源访问。可用区级资源(例如虚拟机和磁盘)只能由位于同一可用区的资源访问。
在为虚拟机选择区域和可用区时,请注意以下几点:
- 用户和内部资源的位置,例如数据中心或公司网络。为了缩短延迟时间,请选择临近用户和资源的位置。
- 其他 SAP 资源的位置。您的 SAP 应用和数据库必须位于同一可用区。
永久性磁盘
永久性磁盘是耐用的块存储设备,其功能类似于桌面设备或服务器中的物理磁盘。
Compute Engine 提供不同类型的永久性磁盘。每种类型都有不同的性能特征。Google Cloud 会管理永久性磁盘的底层硬件,以确保数据冗余并优化性能。
您可以使用以下任何 Compute Engine 永久性磁盘类型:
- 标准永久性磁盘 (
pd-standard):基于标准硬盘 (HDD) 的经济高效的块存储,用于处理有序读写操作,但并不适合处理高速率的随机每秒输入/输出操作 (IOPS)。 - SSD (
pd-ssd):基于固态硬盘 (SSD),提供可靠的高性能块存储。 - 平衡 (
pd-balanced):基于 SSD,提供经济实惠且可靠的块存储。 - 极端 (
pd-extreme):对于较大的 Compute Engine 机器类型,提供比pd-ssd更高的 IOPS 和吞吐量上限选项。如需了解详情,请参阅极端永久性磁盘。
SSD 永久性磁盘和平衡永久性磁盘的性能会随大小自动调节,因此您可以通过调整现有永久性磁盘的大小或将更多永久性磁盘添加到虚拟机来调整性能。
您使用的虚拟机类型及其包含的 vCPU 数量也会影响永久性磁盘性能。
永久性磁盘的位置与虚拟机无关,因此即使在删除虚拟机后,您也可以分离或移动永久性磁盘以保留数据。
如需详细了解不同类型的 Compute Engine 永久性磁盘、其性能特征以及如何使用它们,请参阅 Compute Engine 文档:
本地 SSD(非永久性)
Google Cloud 还提供了本地 SSD 磁盘。尽管本地 SSD 相比 Persistent Disk 具有某些优势,但请勿将其用作 SAP MaxDB 系统的一部分。挂接本地 SSD 的虚拟机实例无法在关停后重启。
NAT 网关和堡垒主机
如果您的安全政策要求使用真正的内部虚拟机,那么您需要在网络上手动设置 NAT 代理并设置相应的路由,以便此类虚拟机能够访问互联网。请务必注意,您无法使用 SSH 直接连接到完全属于内部的虚拟机实例。如需连接到此类内部机器,您必须设置具有外部 IP 地址的堡垒实例,然后通过该实例建立隧道。如果虚拟机没有外部 IP 地址,那么只有该网络上的其他虚拟机可以访问它们,或者只能通过代管 VPN 网关访问它们。您可以在网络中预配虚拟机,以充当入站连接(称作“堡垒主机”)或网络出口(称作“NAT 网关”)的可信中继。若要在不设置此类连接的前提下实现更透明的连接,您可以使用代管 VPN 网关资源。
使用堡垒主机进行入站连接
堡垒主机提供接入包含私有网络虚拟机的网络的外部入口点。这种主机可以提供单一防御或审核点,而且可以启动或停止以启用或停用来自互联网的入站 SSH 通信。
您可以首先连接到堡垒主机,从而对没有外部 IP 地址的虚拟机进行 SSH 访问。堡垒主机的全面安全强化超出了本指南的讨论范围,但您可以采取一些初始步骤,包括:
- 限制可与堡垒主机通信的源 IP 的 CIDR 范围。
- 配置防火墙规则,仅允许来自堡垒主机的 SSH 流量传输到专用虚拟机。
默认情况下,虚拟机上的 SSH 会配置为使用私钥执行身份验证。 使用堡垒主机时,您应该先登录堡垒主机,然后再登录目标专用虚拟机。鉴于这种两步登录方式,您应该使用 SSH 代理转发来访问目标虚拟机,而不是将目标虚拟机的私钥存储在堡垒主机上。即使为堡垒主机和目标虚拟机使用相同的密钥对,您也必须这样做,因为堡垒主机只能直接访问密钥对的公钥部分。
为出站流量使用 NAT 网关
如果没有为虚拟机分配外部 IP 地址,则虚拟机无法与外部服务(包括其他 Google Cloud 服务)建立直接连接。如需允许这些虚拟机访问互联网上的服务,您可以设置和配置一个 NAT 网关。 NAT 网关是一个可以代表网络中的任何其他虚拟机路由流量的虚拟机。每个网络都应该有一个 NAT 网关。请注意,单虚拟机 NAT 网关不应被视作具有高可用性,并且无法支持多个虚拟机的高流量吞吐量。如需了解如何设置虚拟机作为 NAT 网关,请参阅 Linux 版 SAP MaxDB 部署指南或 Windows 版 SAP MaxDB 部署指南。
自定义映像
在系统启动并运行后,您可以创建自定义映像。 如果您要修改根级永久性磁盘的状态并希望能够轻松恢复新状态,则应创建此类映像。您应该就如何管理您所创建的自定义映像制定一项计划。如需了解详情,请参阅映像管理最佳做法。
用户识别和资源访问权限
在为 Google Cloud 上的 SAP 部署规划安全措施时,您必须识别:
- 需要访问 Google Cloud 项目中的 Google Cloud 资源的用户账号和应用
- 在您的项目中每位用户需要访问的特定 Google Cloud 资源
您必须通过将每个用户的 Google 账号 ID 添加为项目中的主账号,来将相应用户添加到项目中。对于使用 Google Cloud 资源的应用,您需要创建一个服务账号,该账号会为您项目中的程序提供用户身份。
Compute Engine 虚拟机拥有自己的服务账号。只要某虚拟机服务账号拥有程序所需的资源权限,则在虚拟机上运行的该程序就可以使用该虚拟机服务账号。
确定各用户需要使用的 Google Cloud 资源后,您可以为各用户分配特定于资源的角色,以授予使用各资源相应的用户权限。查看 IAM 为各资源提供的预定义角色,并为各用户分配角色,以提供正好足以完成用户任务或职能的权限。
如果您需要对预定义 IAM 角色提供的权限进行更精细或更严格的控制,您可以创建自定义角色。
如需详细了解 SAP 程序在 Google Cloud 上所需的 IAM 角色,请参阅 Google Cloud 上的 SAP 程序的身份和访问权限管理。
如需大致了解 SAP on Google Cloud 的身份和访问权限管理,请参阅 SAP on Google Cloud 的身份和访问权限管理概览。
网络和网络安全
在进行网络和安全规划时,请考虑以下部分中的信息。
最小权限模式
您的第一道防线是使用防火墙限制哪些人可以访问您的网络和虚拟机。 除非您创建防火墙规则允许流量通过,否则防火墙会默认阻止通往虚拟机的所有流量(即使流量来自其他虚拟机)。随每个项目自动创建并具有默认防火墙规则的默认网络属于例外情况。
通过创建防火墙规则,您可以对一组给定端口上的所有流量进行限制,仅允许来自特定源 IP 地址的流量通过。您应该按照最小权限模式来限制访问权限,仅允许需要访问权限的特定 IP 地址、协议和端口进行访问。例如,您应始终设置堡垒主机,并且仅允许通过该主机对 SAP NetWeaver 系统进行 SSH 访问。
访问权限管理
了解 Google Cloud 中访问权限管理机制对规划您的实现至关重要。您需要就以下方面做出决策:
- 如何在 Google Cloud 中整理资源。
- 哪些团队成员可以访问和使用资源。
- 每个团队成员可以拥有哪些具体权限。
- 哪些服务和应用需要使用哪些服务账号,以及在每种情况下应授予哪个级别的权限。
首先了解 Cloud Platform 资源层次结构。 您有必要了解各种资源容器是什么、它们之间的相互关系,以及创建访问边界的位置。
Identity and Access Management (IAM) 可统一控制 Google Cloud 资源的权限。通过定义哪些人对资源拥有哪些权限,您可以管理访问权限控制机制。比如,您可以控制哪些人可以在 SAP 实例上执行控制平面操作,例如创建和修改虚拟机、永久性磁盘和网络。
如需详细了解 IAM,请参阅 IAM 概览。
如需大致了解 Compute Engine 中的 IAM,请参阅访问权限控制选项。
IAM 角色是向用户授予权限的关键。如需了解各种角色及其具备的权限,请参阅 Identity and Access Management 角色。
Google Cloud 的服务账号为您提供了一种向应用和服务授予权限的方式。您有必要了解服务账号在 Compute Engine 中的工作原理。如需了解详情,请参阅服务账号。
自定义网络和防火墙规则
您可以使用网络来定义网关 IP 以及挂接到该网络的虚拟机的网络范围。所有 Compute Engine 网络都使用 IPv4 协议。每个 Google Cloud 项目都具有带预设配置和防火墙规则的默认网络,但您应该根据最小权限模式添加自定义子网和防火墙规则。默认情况下,新创建的网络没有防火墙规则,因此没有网络访问。
根据您的要求,您可能需要额外添加子网,以隔离网络的各个部分。如需了解详情,请参阅子网。
防火墙规则适用于整个网络和网络中的所有虚拟机。 您可以添加防火墙规则,以允许流量在同一网络中的虚拟机之间以及子网之间通行。您也可以通过标记机制将防火墙配置为仅应用于特定的目标虚拟机。
部分 SAP 产品(例如 SAP NetWeaver)需要访问某些端口。请务必添加相关防火墙规则以允许访问 SAP 所述的端口。
路由
路由是挂接到单个网络的全局资源。用户创建的路由适用于网络中的所有虚拟机。这意味着您可以添加路由,以便在同一网络中的虚拟机之间以及子网之间转发流量,而无需外部 IP 地址。
为了实现从外部访问互联网资源,请启动不具备外部 IP 地址的虚拟机,并将另一个虚拟机配置为 NAT 网关。此配置需要您将 NAT 网关添加为 SAP 实例的路由。如需了解详情,请参阅 NAT 网关和堡垒主机。
Cloud VPN
您可以借助 Cloud VPN 通过使用 IPsec 的 VPN 连接,将现有网络安全地连接到 Google Cloud。两个网络之间的流量传输通过一个 VPN 网关加密,然后通过另一个 VPN 网关解密,此举可以保护您的数据在互联网上传输时的安全。通过路由上的实例标记,您可以动态控制哪些虚拟机可以向 VPN 发送流量。Cloud VPN 隧道的计费方式为固定月费率加标准出站流量费用。请注意,将同一项目中的两个网络相连仍然会产生标准出站流量费用。如需了解详情,请参阅 Cloud VPN 概览和创建 VPN。
保护 Cloud Storage 存储桶的安全
如果您使用 Cloud Storage 来托管数据和日志的备份,请确保在从虚拟机向 Cloud Storage 发送数据时使用 TLS (HTTPS),以保护传输中的数据。Cloud Storage 会自动加密静态数据。如果您有自己的密钥管理系统,则可以自行指定加密密钥。
相关安全文档
另请参阅针对 Google Cloud 上的 SAP 环境的以下安全资源:
备份与恢复
您必须就如何在发生最坏情况时将系统恢复到运行状态制定一项计划。如需获取有关如何使用 Google Cloud 规划灾难恢复的一般指导,请参阅:
许可
本部分提供了与许可要求有关的信息。
SAP 许可
如需在 Google Cloud 上运行 SAP MaxDB,您必须自带许可 (BYOL)。有关详情,请参阅:
- SAP 说明 2446441 - Google Cloud Platform 上的 Linux (IaaS):适配您的 SAP 许可
- SAP 说明 2456953 - Google Cloud Platform 上的 Windows (IaaS):适配您的 SAP 许可
如需详细了解 SAP 许可,请与 SAP 联系。
操作系统许可证
在 Compute Engine 中,有下面两种获取 SLES、RHEL 和 Windows Server 许可证的方式:
如果使用随用随付许可,那么您的 Compute Engine 虚拟机每小时费用包括许可费。Google 负责管理许可事宜。这种情况下,您的每小时费用较高,但您可以根据需要极其灵活地增加或降低费用。这种许可模式适用于包括 SLES、RHEL 和 Windows Server 在内的 Google Cloud 公共映像。
如果使用 BYOL,您的 Compute Engine 虚拟机费用会比较低,因为其中不包括许可费。您必须迁移现有许可或购买自己的许可,这意味着需要您预先付款,且灵活性较低。
支持
如有 Google Cloud 基础架构或服务方面的问题,请与 Customer Care 联系。您可以在 Google Cloud 控制台中的“支持概览”页面上找到联系信息。如果 Customer Care 确定问题在于您的 SAP 系统,会将您引荐给 SAP 支持。
对于与 SAP 产品有关的问题,请通过 SAP 支持记录您的支持请求。
SAP 会评估支持服务工单,如果该问题似乎是 Google Cloud 基础架构问题,则将工单转移到 Google Cloud 组成团队 BC-OP-LNX-GOOGLE 或 BC-OP-NT-GOOGLE。
支持要求
您必须满足最低支持方案要求,才能获得对 SAP 系统及其使用的 Google Cloud 基础架构和服务的支持。
如需详细了解 Google Cloud 上的 SAP 的最低支持要求,请参阅:
您还可以前往 SAP 帮助门户 浏览关于 SAP MaxDB 的信息。
后续步骤
要在 Linux 上部署 SAP MaxDB,请参阅适用于 Linux 的 SAP MaxDB 部署指南。
如需在 Windows 上部署 SAP MaxDB,请参阅 Windows 版 SAP MaxDB 部署指南。