更新时间:2018-05-22 11:14
本文档着重介绍对于部署在阿里云云服务器 ECS 上的 SAP HANA 系统的推荐使用方法以及注意事项,更多 SAP HANA 使用方法,请参考 SAP 的官方文档。
本节介绍对于部署在云服务器 ECS上 的 SAP HANA 系统,如何进行典型的系统管理任务,如系统启动、系统暂停、系统复制等。
你可以在任何时候停止一个或者多个 SAP HANA 主机,但是作为建议,请尽量先将 SAP HANA 停止运行,然后再将其所在云服务器 ECS 实例停止。当该实例重新启动之后,其 IP 地址、网络和存储配置等保持不变。
云服务器 ECS 允许用户根据现有的 ECS 实例创建自定义镜像,使用自定义镜像能够帮助用户快速创建多个操作系统和运行环境配置相同的 ECS 实例,以满足客户灵活扩容的需求。你可以通过云服务器 ECS 控制台来为你现有的 ECS 实例创建自定义镜像,具体信息和操作步骤请参见文档 使用实例创建自定义镜像。
你可以使用自定义镜像
注意:为了保证创建的自定义镜像与 SAP HANA 系统保持一致的状态,你需要在创建镜像之前先停止你的 SAP HANA 实例,或者按照 SAP Note 1703435 来操作。
单节点系统 – 克隆一个单节点的 SAP HANA 系统,可以通过在同一个可用区之内创建该系统的自定义镜像,镜像中既包含操作系统也包含安装好的 SAP HANA 软件。
多节点系统 – 多节点的 SAP HANA 系统虽然无法通过直接克隆得到,但是可以通过备份与恢复的方法创建出多个节点,如以下步骤:
管理你在阿里云上的 SAP HANA 系统,需要3类管理员账户
[sid]adm
作为 HANA 管理员用户,并且默认在操作系统上创建该用户。此外需要说明的是,在横向扩展(scale-out)场景中,所有节点都会使用相同的管理员账户 [sid]adm
,并且确保 UID 与 GID 一致。我们强烈推荐你使用专有网络 VPC 作为你在阿里云云服务器 ECS 上搭建你的 SAP HANA 系统时使用的默认网络类型。专有网络 VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。你能够在自己定义的虚拟网络中使用阿里云资源。
你可以完全掌控自己的虚拟网络,例如选择自己的 IP 地址范围、划分网段、配置路由表和网关等,从而实现安全而轻松的资源访问和应用程序访问。更多产品信息,请参考文档 专有网络VPC。你也可以通过专线或 VPN 等连接方式将你的专有网络与传统数据中心相连,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。
如果用户的企业安全策略要求所有的虚拟机要位于企业私网环境之内,这时对于必要的访问公网能力可以通过以下方式达到:
阿里云也提供了 VPN 网关(VPN Gateway)服务,它是一款基于 Internet,通过加密通道将企业数据中心和阿里云专有网络(VPC)安全可靠连接起来的服务。
安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。安全组是一种虚拟防火墙,具备状态检测包(SPI:Stateful Packet Inspection)过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。
更多信息,请参见 安全组介绍,ECS 安全组实践(一),ECS 安全组实践(二),ECS 安全组实践(三)。
SAProuter 是一个用来远程连接客户网络和 SAP 网络的软件。由于在某些情况下,SAP 技术支持工程师需要访问你在阿里云上的 SAP HANA 系统来进行必要的问题诊断,这时需要借助 SAProuter 来完成访问连接。而使用 SAProuter 的一个先决条件是用户和 SAP 之间的网络连接可用。
你可以认为 SAProuter 是一条在 SAP 和阿里云云服务器 ECS 之间的技术支持连接通道,配置 SAProuter 请参见如下步骤:
对于一个运行在阿里云上的 HANA 系统,阿里云会负责云基础设施层面上的安全防护,而用户需要负责他们使用的云资源、HANA 数据库和其它相关应用的安全防护。
除了你常用的 SAP HANA 系统安全防护方法之外,阿里云还提供了下列一些额外的安全防护能力:
RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与资源访问控制服务。使用 RAM,你可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对你名下资源具有的操作权限。你可以通过访问控制安全地将阿里云资源的访问及管理权限按需分配给你指定的企业成员或者合作伙伴,从而降低您的企业信息安全风险。更多信息请参见 访问控制。
安骑士是一款主机安全软件,通过安装在云服务器上轻量级的软件和云端安全中心的联动,为您提供漏洞管理、基线检查和入侵告警等功能。安骑士可以实时监控并精准捕获服务器上各种安全事件,并对入侵和异常行为进行警告和提供解决方案。更多信息,请参见文档 安骑士。
用户可以在阿里云消息中心中设置自己的消息订阅渠道,可以选择邮件或者短信通知。请确保在安全消息中选择接收云盾安全信息通知,你将收到服务器安全和基础 DDoS 防护相关的安全通知。如果你购买了高级 DDoS 防护、Web 应用防火墙等服务,你也会收到相应的通知。
请参考推荐的安全设置来配置你的 SAP HANA 系统和你所使用的操作系统。例如,确保仅有必须使用的网络端口被加入访问限制白名单,对运行 SAP HANA 的操作系统进行安全防护加固,等等。
以下 SAP note 供你参考:
SAP HANA的某些可选服务,在无需使用时可以停用,比如 HANA 扩展应用服务(HANA Extended Application Services)。
请参考 SAP Note 1697613: Remove XS Engine out of SAP HANA database 了解具体操作步骤。在该服务被停用后,请将对该服务开放的所有 TCP 端口从安全组设置中移除。
更多与安全防护相关的信息,请参见 SAP HANA 在阿里云上的安全指南。
对于运行在阿里云上的 SAP HANA 进行高可用方案和灾备方案搭建,更多细节和最佳实践请参见 SAP HANA 在阿里云上的高可用和灾备指南。
备份对于保护你的系统数据至关重要。SAP HANA 作为内存数据库,你可以为它创建定期的数据备份,其中备份时间点可以根据你的业务情况,选择在工作负载量较小的时候进行备份。这样当遇到意外的系统故障时,你可以从容恢复你的数据。
更多细节和最佳实践请参见 SAP HANA 在阿里云上的备份和恢复指南。
NAT 网关(NAT Gateway)是一款企业级的 VPC 公网网关,提供 NAT 代理(SNAT、DNAT)、10Gbps 级别的转发能力、以及跨可用区的容灾能力。NAT 网关与共享带宽包配合使用,可以组合成为高性能、配置灵活的企业级网关。
[私网 IP:私网端口]
的数据发向指定的 [公网 IP:公网端口]
,并将来自 [公网 IP:公网端口]
指定协议的数据发送给指定的 [私网 IP:私网端口]
。
在文档使用中是否遇到以下问题
更多建议
匿名提交