SAP HANA 操作指南

• 管理你的 SAP HANA 系统
  • 启动和停止你的 ECS 实例
  • 创建你的 SAP HANA 自定义镜像
  • 复制你的 SAP HANA 系统
• 管理你的账号
• 网络设置
  • 安全隔离
  • 访问公网
  • VPN 连接
  • 安全组
• 设置 SAProuter 接入 SAP 技术支持
• 安全配置
  • 资源访问控制
  • 安骑士（服务器安全）
  • 安全消息通知
  • 必要的配置变更
  • 停用某些 SAP HANA 服务
• 高可用性以及灾备
• 备份与恢复
• 附录：如何创建 NAT 网关

本文档着重介绍对于部署在阿里云云服务器 ECS 上的 SAP HANA 系统的推荐使用方法以及注意事项，更多 SAP HANA 使用方法，请参考 SAP 的官方文档。

管理你的 SAP HANA 系统

本节介绍对于部署在云服务器 ECS上 的 SAP HANA 系统，如何进行典型的系统管理任务，如系统启动、系统暂停、系统复制等。

启动和停止你的 ECS 实例

你可以在任何时候停止一个或者多个 SAP HANA 主机，但是作为建议，请尽量先将 SAP HANA 停止运行，然后再将其所在云服务器 ECS 实例停止。当该实例重新启动之后，其 IP 地址、网络和存储配置等保持不变。

创建你的 SAP HANA 自定义镜像

云服务器 ECS 允许用户根据现有的 ECS 实例创建自定义镜像，使用自定义镜像能够帮助用户快速创建多个操作系统和运行环境配置相同的 ECS 实例，以满足客户灵活扩容的需求。你可以通过云服务器 ECS 控制台来为你现有的 ECS 实例创建自定义镜像，具体信息和操作步骤请参见文档 使用实例创建自定义镜像。

你可以使用自定义镜像

• 创建一个完整的 SAP HANA 系统离线备份，包括操作系统、HANA 程序 /usr/sap、共享程序和文件 /hana/shared、以及数据、日志和备份文件；
• 创建新的 ECS 实例 或者 更改 ECS 实例的系统盘；
• 跨地域移动一个 SAP HANA 系统：用户可以对已有 ECS 实例创建自定义镜像，然后在另一个地域使用该镜像创建新的 ECS 实例，复制过程请参见文档 复制镜像；镜像复制可以使得用户在跨地域部署应用时轻松达成部署环境的一致性；
• 复制 SAP HANA 系统：用户可以为已有 SAP HANA 系统创建镜像，并用它来复制出一个完全相同的 SAP HANA 系统，下节会具体进行介绍。

注意：为了保证创建的自定义镜像与 SAP HANA 系统保持一致的状态，你需要在创建镜像之前先停止你的 SAP HANA 实例，或者按照 SAP Note 1703435 来操作。

复制你的 SAP HANA 系统

单节点系统 – 克隆一个单节点的 SAP HANA 系统，可以通过在同一个可用区之内创建该系统的自定义镜像，镜像中既包含操作系统也包含安装好的 SAP HANA 软件。

多节点系统 – 多节点的 SAP HANA 系统虽然无法通过直接克隆得到，但是可以通过备份与恢复的方法创建出多个节点，如以下步骤:

• 创建一个与克隆目标配置一样的 SAP HANA 系统
• 在源系统上做数据备份
• 在新系统上恢复备份数据

管理你的账号

管理你在阿里云上的 SAP HANA 系统，需要3类管理员账户

• 阿里云账户 – 在使用任何阿里云产品和服务之前，需要先创建你的阿里云账号。使用该账号，你可以管理你的云服务器，对网络进行配置，管理你的系统镜像和磁盘快照等。
• 云服务器 ECS 实例的管理员账户 – 在云服务器 ECS 实例创建后，你需要在该实例的操作系统中创建一个管理员账户。Linux 系统默认的管理账户是 root。作为管理员，你可以按照操作系统的要求来创建和删除用户账户。
• HANA 数据库管理账户 – 在 SAP HANA 安装过程中，需要指定一个系统 ID（SID），而且 HANA 会使用 [sid]adm 作为 HANA 管理员用户，并且默认在操作系统上创建该用户。此外需要说明的是，在横向扩展（scale-out）场景中，所有节点都会使用相同的管理员账户 [sid]adm，并且确保 UID 与 GID 一致。

网络设置

我们强烈推荐你使用专有网络 VPC 作为你在阿里云云服务器 ECS 上搭建你的 SAP HANA 系统时使用的默认网络类型。专有网络 VPC（Virtual Private Cloud）是基于阿里云构建的一个隔离的网络环境，专有网络之间逻辑上彻底隔离。你能够在自己定义的虚拟网络中使用阿里云资源。

你可以完全掌控自己的虚拟网络，例如选择自己的 IP 地址范围、划分网段、配置路由表和网关等，从而实现安全而轻松的资源访问和应用程序访问。更多产品信息，请参考文档 专有网络VPC。你也可以通过专线或 VPN 等连接方式将你的专有网络与传统数据中心相连，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。

安全隔离

• 不同用户的云服务器部署在不同的专有网络里。
• 不同专有网络之间通过隧道 ID 进行隔离。专有网络内部由于交换机和路由器的存在，所以可以像传统网络环境一样划分子网，每一个子网内部的不同云服务器使用同一个交换机互联，不同子网间使用路由器互联。
• 不同专有网络之间内部网络完全隔离，只能通过对外映射的 IP（弹性公网 IP 和 NAT IP）互联。
• 由于使用隧道封装技术对云服务器的 IP 报文进行封装，所以云服务器的数据链路层（二层 MAC 地址）信息不会进入物理网络，实现了不同云服务器间二层网络隔离，因此也实现了不同专有网络间二层网络隔离。
• 专有网络内的 ECS 使用安全组防火墙进行三层网络访问控制。

访问公网

如果用户的企业安全策略要求所有的虚拟机要位于企业私网环境之内，这时对于必要的访问公网能力可以通过以下方式达到：

• 在用户私网中搭建 NAT 网关，提供 NAT 代理为私网环境提供一个公网流量的出入口。在 NAT 网关中配置对应的路由即可使你的虚拟机能够访问公网。关于 NAT 网关的搭建，请参考 附录：如何创建 NAT 网关
• 由于用户不允许使用 SSH 直接连接私网中的虚拟机，因此你需要搭建一台堡垒机。该堡垒机具有公网 IP 地址，并可以对 SSH 运维协议的数据流进行全程记录,堡垒机可以作为你连通私网中虚拟机的通道。搭建堡垒机的具体步骤，请参见 阿里云上 SAP HANA 实施指南

VPN 连接

阿里云也提供了 VPN 网关（VPN Gateway）服务，它是一款基于 Internet，通过加密通道将企业数据中心和阿里云专有网络（VPC）安全可靠连接起来的服务。

安全组

安全组是一个逻辑上的分组，这个分组是由同一个地域（Region）内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组，在创建的时候就需要指定。同一安全组内的实例之间网络互通，不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。安全组是一种虚拟防火墙，具备状态检测包（SPI：Stateful Packet Inspection）过滤功能。安全组用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。

更多信息，请参见 安全组介绍，ECS 安全组实践（一），ECS 安全组实践（二），ECS 安全组实践（三）。

设置 SAProuter 接入 SAP技术支持

SAProuter 是一个用来远程连接客户网络和 SAP 网络的软件。由于在某些情况下，SAP 技术支持工程师需要访问你在阿里云上的 SAP HANA 系统来进行必要的问题诊断，这时需要借助 SAProuter 来完成访问连接。而使用 SAProuter 的一个先决条件是用户和 SAP 之间的网络连接可用。

你可以认为 SAProuter 是一条在 SAP 和阿里云云服务器 ECS 之间的技术支持连接通道，配置 SAProuter 请参见如下步骤：

• 启动安装有 SAProuter 软件的云服务器 ECS 实例。由于该实例位于用户的私有网络（VPC）中，用户需要购买弹性公网 IP (EIP）并动态绑定到该 ECS 实例上。绑定过程无需重新启动 ECS 实例。
• 创建并配置一个安全组，该安全组仅允许该 SAProuter 实例和 SAP 技术支持网络之间的，通过3299 TCP 端口的入站和出站访问
• SAProuter 的安装指南，请参见 SAP Note 1628296，安装过程中还需要创建一个命名为 saprouttab 的文件。
• SAProuter 所需要的公网连接需要使用安全的网络通信（Secure Network Communication），更多信息请参见 SAP Remote Support – Help 。

安全配置

对于一个运行在阿里云上的 HANA 系统，阿里云会负责云基础设施层面上的安全防护，而用户需要负责他们使用的云资源、HANA 数据库和其它相关应用的安全防护。

除了你常用的 SAP HANA 系统安全防护方法之外，阿里云还提供了下列一些额外的安全防护能力：

资源访问控制

RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与资源访问控制服务。使用 RAM，你可以创建、管理用户账号（比如员工、系统或应用程序），并可以控制这些用户账号对你名下资源具有的操作权限。你可以通过访问控制安全地将阿里云资源的访问及管理权限按需分配给你指定的企业成员或者合作伙伴，从而降低您的企业信息安全风险。更多信息请参见 访问控制。

安骑士（服务器安全）

安骑士是一款主机安全软件，通过安装在云服务器上轻量级的软件和云端安全中心的联动，为您提供漏洞管理、基线检查和入侵告警等功能。安骑士可以实时监控并精准捕获服务器上各种安全事件，并对入侵和异常行为进行警告和提供解决方案。更多信息，请参见文档 安骑士。

安全消息通知

用户可以在阿里云消息中心中设置自己的消息订阅渠道，可以选择邮件或者短信通知。请确保在安全消息中选择接收云盾安全信息通知，你将收到服务器安全和基础 DDoS 防护相关的安全通知。如果你购买了高级 DDoS 防护、Web 应用防火墙等服务，你也会收到相应的通知。

必要的配置变更

请参考推荐的安全设置来配置你的 SAP HANA 系统和你所使用的操作系统。例如，确保仅有必须使用的网络端口被加入访问限制白名单，对运行 SAP HANA 的操作系统进行安全防护加固，等等。

以下 SAP note 供你参考:

• 1944799: Guidelines for SLES SAP HANA installation
• 1730999: Recommended configuration changes
• 1731000: Unrecommended configuration changes

停用某些SAP HANA服务

SAP HANA的某些可选服务，在无需使用时可以停用，比如 HANA 扩展应用服务（HANA Extended Application Services）。

请参考 SAP Note 1697613: Remove XS Engine out of SAP HANA database 了解具体操作步骤。在该服务被停用后，请将对该服务开放的所有 TCP 端口从安全组设置中移除。

更多与安全防护相关的信息，请参见 SAP HANA 在阿里云上的安全指南。

高可用性以及灾备

对于运行在阿里云上的 SAP HANA 进行高可用方案和灾备方案搭建，更多细节和最佳实践请参见 SAP HANA 在阿里云上的高可用和灾备指南。

备份与恢复

备份对于保护你的系统数据至关重要。SAP HANA 作为内存数据库，你可以为它创建定期的数据备份，其中备份时间点可以根据你的业务情况，选择在工作负载量较小的时候进行备份。这样当遇到意外的系统故障时，你可以从容恢复你的数据。

更多细节和最佳实践请参见 SAP HANA 在阿里云上的备份和恢复指南。

附录：如何创建 NAT 网关

NAT 网关（NAT Gateway）是一款企业级的 VPC 公网网关，提供 NAT 代理（SNAT、DNAT）、10Gbps 级别的转发能力、以及跨可用区的容灾能力。NAT 网关与共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级网关。

1. 登录 VPC 管理控制台。
2. 在左侧导航栏，单击 NAT 网关。
3. 单击创建 NAT 网关。
4. 选择地域、VPC、规格和计费周期配，单击立即购买，完成创建。
5. NAT 网关创建成功后，系统会自动为 NAT 网关创建一张端口转发表和 SNAT 表。
6. 单击购买带宽包链接。
   注意：如果 NAT 网关已经配置了带宽包，则单击管理，然后在左侧导航栏选择带宽包。
7. 在带宽包页面，再次单击购买带宽包。
8. 配置带宽包，配置公网 IP 个数、带宽、计费方式。
9. 单击立即购买，完成创建。
10. 带宽包创建后，系统会根据指定的 IP 个数分配公网 IP 供 NAT 网关使用。
11. 返回 NAT 网关页面，单击端口转发表，设置 DNAT，然后单击创建端口转发条目。
12. 配置端口转发条目, 选择一个可用的公网 IP，指定要映射的专有网络 EC S实例的私网 IP，选择映射方式。
    • 所有端口：该方式属于 IP 映射，等同于为所选的 ECS 实例配置了一个弹性公网 IP。该 ECS 实例可以接收来自公网任何端口、任何协议的请求。
      选择所有端口后，无需再配置公网端口、私网端口和协议类型。
    • 具体端口：该方式属于端口映射。配置后，NAT 网关会将收到的指定协议的 [私网 IP:私网端口] 的数据发向指定的 [公网 IP:公网端口]，并将来自 [公网 IP:公网端口] 指定协议的数据发送给指定的 [私网 IP:私网端口]。
      选择具体端口后，需要配置公网端口、私网端口和协议类型。
13. 单击确定，完成配置。
    端口转发条目列表中会新增添加的转发规则，显示状态为配置中。单击刷新，当转发条目的状态显示为可用，则表示该端口转发规则创建成功。