SAP MaxDB 操作指南
版本管理
版本 | 修订日期 | 变更类型 | 生效日期 |
---|---|---|---|
1.0 | 2018/7/19 |
简介
本指南提供运行已部署在阿里云上的 SAP MaxDB 系统的最佳实践。请注意,本指南并不能取代任何标准 SAP 文档。
管理
本节介绍如何执行在阿里云上运行 SAP MaxDB 系统通常需要的管理任务,包括有关启动、停止和克隆系统。
启动和停止 ECS 实例
您可以随时停止任何 SAP MaxDB 主机。作为最佳实践,您应该首先停止运行在阿里云 ECS 实例上的 SAP MaxDB,然后再停止该实例。在恢复实例时,ECS 实例将自动使用与以前相同的 IP 地址、网络和存储配置启动。
创建 SAP MaxDB 系统的自定义镜像
阿里云上的自定义镜像允许您创建多个具有相同 OS 和环境数据的 ECS 实例以满足扩展需求,从而可帮助您有效运行 ECS 实例。您可以使用阿里云管理控制台基于现有实例创建自己的自定义镜像。有关更多信息,请参阅阿里文档中的“使用快照创建自定义镜像”部分。您可以按以下方式使用镜像:
创建(OS、/usr/sap、数据、日志、备份文件的)完整离线 MaxDB 系统备份。
可以使用镜像创建 ECS 实例或更改 ECS 实例的系统盘;
将 SAP MaxDB 系统从一个地域移动到另一个地域 – 按照阿里云文档中的说明创建现有阿里云 ECS 实例的镜像并将其移动到另一个地域。您还可以将自定义镜像复制到另一个地域,以保持环境和应用的跨多个地域一致性部署。
克隆 SAP MaxDB 系统 – 您可以创建现有 SAP MaxDB 系统的镜像以创建系统的精确克隆。请参阅本文档的下一节。注意:要创建具有一致状态的 SAP Max 系统的镜像,您需要先停止 SAP MaxDB 实例,然后再创建。
克隆 SAP MaxDB 系统
创建 SAP MaxDB 系统的克隆,您可以在同一可用区中的阿里云 ECS 中创建 SAP MaxDB 系统的镜像。它一般包括操作系统和预装的 SAP MaxDB 软件,以及相同的存储系统布局。
帐户管理
在阿里云上的 SAP MaxDB 系统的管理过程中,有 3 种类型的管理员帐户,如下所示:
阿里云帐户 - 在使用阿里云产品和服务之前,您必须先在阿里云网站上创建阿里帐户。使用此帐户,您可以从阿里云网站管理 ECS、配置 VPC 以及管理 SAP MaxDB 系统的镜像或快照。
ECS 实例管理员帐户 - 在创建 ECS 实例时,将在 OS 级别创建管理员帐户(通常为根)。阿里云不会在操作系统中创建任何帐户;默认的 Linux 系统用户仅为根用户。在使用系统时,用户可以根据操作系统的需要创建或删除用户帐户。
SAP MaxDB 数据库系统管理员 - 在安装 SAP MaxDB 的过程中需要指定 SID,SAP MaxDB 将使用 [sid]adm 作为系统帐户并默认创建此帐户。
联网
您通过 ECS 虚拟网络使用 ECS 预置 SAP MaxDB 系统。我们强烈建议使用 VPC 作为 SAP MaxDB 的默认网络类型。阿里云 VPC 是在阿里云中建立的私网。它在逻辑上与阿里云中的其他虚拟网络隔离。VPC 使您能够在自己的 VPC 中启动并使用阿里云资源。您可以全面控制阿里云 VPC,例如,您可以选择其 IP 地址范围,将 VPC 进一步分段为子网,以及配置路由表和网关。请参阅阿里文档中的 VPC 用户指南。另外,您可以使用物理连接或 VPN 将 VPC 与本地网络相连接以形成可按需自定义的网络环境。这样,您可以毫不费力地将应用顺利迁移到阿里云。
安全隔离
默认情况下,不同用户的云服务器位于不同的 VPC 中。
不同的 VPC 之间通过隧道 ID 进行隔离。使用虚拟交换机和虚拟路由器,您可以将 VPC 分段为子网,就像在传统网络环境中那样。同一子网中的不同云服务器使用虚拟交换机相互通信,而 VPC 中不同子网中的云服务器使用虚拟路由器相互通信。
不同 VPC 之间的内网完全隔离,只能通过 IP 的外部映射(弹性 IP 和 NAT IP)互联。
因为使用隧道 ID 封装云服务器的 IP 数据包,所以云服务器的数据链路层(两层 MAC 地址)不会传输到物理网络。因此,不同云服务器的两层网络互相隔离。换句话说,不同 VPC 之间的两层网络互相隔离。
VPC 内的 ECS 实例使用安全组防火墙来控制网络访问。这是第三层隔离。
NAT 网关
如果您的安全策略需要真正内部的 VM,则需要在网络上手动设置 NAT 代理和相应的路由,以便 VM 可以访问外网。请务必注意,您无法使用 SSH 直接连接到完全内部的 VM 实例。要连接到此类内部虚拟机,您必须设置具有外部 IP 地址的堡垒实例,然后通过它建立隧道。有关用户如何设置堡垒实例的信息,请参阅阿里云指南上的“SAP MaxDB 部署指南”。
安全组
安全组是一个逻辑上的分组,这个分组是由同一个地域内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,创建实例时必须指定安全组。同一个安全组中的实例可以通过网络通信,但默认情况下,不同安全组中的实例无法通过内网通信。不过,可以授权两个安全组之间的相互访问。
安全组是可提供有状态数据包检查 (SPI) 的虚拟防火墙。安全组用于为一个或多个 ECS 设置网络访问控制。作为一种重要的安全隔离方法,安全组用于划分云上的安全域。请参阅阿里文档中的“安全组用户指南”。
使用 SAProuter 允许 SAP 支持访问
SAProuter 是在客户的网络和 SAP 之间提供远程连接的软件应用。在一些情况下,可能需要允许 SAP 支持工程师访问阿里云上的 SAP MaxDB 系统。使用 SAProuter 的唯一前提条件是从客户的网络到 SAP 网络的网络连接。在设置从阿里云上的 ECS 到 SAP 的直接支持连接时,请按照以下步骤操作:
启动 SAProuter 软件将安装在其上的 ECS 实例,购买弹性 IP (EIP) 资源并动态绑定到 VPC ECS 实例,而无需重启 ECS 实例。
创建并配置特定安全组,它只允许 SAProuter 实例和 TCP 端口 3299 对 SAP 支持网络进行所需的入站和出站访问。
按照 SAP Note 1628296 中的说明安装 SAProuter 软件,并创建允许从 SAP 访问阿里云上的 SAP MaxDB 系统的 saprouttab 文件。
设置与 SAP 的连接。对于外网连接,请使用安全网络通信 (SNC)。有关更多信息,请参阅 SAP 远程支持 – 帮助。
安全
对于 IaaS 部署和 SAP MaxDB 系统实施,阿里云负责维护支持云的基础设施的安全,而客户负责确保其使用的云资源和应用的安全。
访问控制 RAM
阿里云 RAM 是一项身份和访问控制服务,使您能够集中管理用户(包括员工、系统或应用)并安全控制其通过权限级别对您的资源的访问。因此,RAM 使您能够将阿里云资源的访问权限安全地只授予所选的具有高特权的用户、企业成员和合作伙伴。这有助于确保您的云资源的安全且适当的使用,并防止对您的帐户进行任何未经请求的访问。请参阅阿里文档中的“访问控制 RAM 用户指南”。
访问通知
阿里云消息中心允许用户订阅通知和配置通知通道,包括电子邮件和短信。如果用户的服务器上有 SSH 登录,则会通知用户。
安骑士
阿里云安骑士是可提供服务器和数据库的实时监控的可靠且安全的服务。全天候监控已暴露的漏洞可确保服务和应用的最佳可用性。请参阅阿里文档中的“安骑士用户指南”。有一些登录安全措施,如下所示:
实时监控整个网络中的常规 Web 软件漏洞。
允许用户访问云盾的紧急漏洞响应功能,包括漏洞补丁(在正式补丁发布之前提供)。
在漏洞暴露和发布正式补丁之间的那段时间里,让用户一键修复漏洞并拦截黑客攻击。
备份与恢复
备份对于保护记录系统来说非常重要。您应该创建在 SAP MaxDB 工作负载较低时运行的定期备份,并且您可以从意外系统故障恢复。下面是有关阿里云上的备份与恢复的一些要点。
阿里云上的 SAP MaxDB 备份的最终目标
备份阿里云上的 SAP MaxDB 与备份传统本地基础设施的主要区别是最终备份目标。用于本地基础设施的典型最终备份目标是磁带。在阿里云上,备份存储在 OSS 中。与磁带相比,将备份存储在阿里云 OSS 中有许多好处,例如您可以在 OSS 存储桶中读取、写入、删除和存储无限对象;OSS 在多个位置存储您的对象的三个副本以确保 99.999999999% 的数据可靠性;内置的安全机制,包括多层安全防护、监控未授权登录尝试、DDoS 攻击防护和数据访问策略等。
管理身份和对备份的访问
要允许访问 OSS 存储桶中的备份,您需要在 RAM 控制台中为用户配置访问规则。请参考以下步骤:
选择要为其指定 OSS 访问权的用户,单击“授权”
选择授权策略“AliyunOSSFullAccess”
作为帐户所有者,您将需要通过手机验证输入验证码
在手机验证之后,您可以在策略管理面板中查看访问权
如果您要创建自定义策略,也可以从策略管理面板创建它。
非生产 SAP MaxDB 数据库上的备份和恢复
本节提供了适用于非生产系统的备份选项。非生产系统的示例包括:
演示系统
培训系统
沙箱系统
概念验证系统
跟踪系统非生产系统的典型要求:
不经常备份
不请求时间点恢复
低成本
云盘快照提供了简单的低成本备份服务,可用于满足非生产系统的要求。它具有非常灵活的快照策略,例如,用户可以在整点时刻拍摄快照以及每天拍摄多次快照,用户可以选择星期几作为每周拍摄快照的重复日子,用户可以指定快照保留期或选择永久保留快照。请注意,当达到自动快照的最大数后,会删除最旧的自动快照。有关云盘快照的更多信息,请参考快照概述。同时,在使用云盘快照执行备份之前,请查看 SAP Note 1928060 - Data backup and recovery with file system backup。在做磁盘快照之前,必须满足一些特定前提条件。
备份方法
可以配置附加到 SAP MaxDB ECS 实例的云盘卷(包括系统盘 (/usr/sap)、数据文件系统和日志文件系统的数据盘)的自动快照以定期创建快照。
还原方法
快照可用于手动还原非生产系统的整个 SAP MaxDB ECS 实例。
生产 SAP MaxDB 数据库上的备份和恢复
本节中介绍的备份选项可满足生产系统共有的以下备份要求:
经常按计划备份
时间点数据库恢复
备份方法
默认情况下,在阿里云平台上,在附加到 SAP MaxDB ECS 实例的云盘卷上配置 SAP MaxDB 数据库的初始本地备份目标;
用户可以使用 SQL 命令或 SAP DBA Cockpit 启动或计划 SAP MaxDB 数据备份。除非禁用,否则会自动写入日志备份;
然后,用户可以将本地云盘上的 SAP MaxDB 数据库备份文件复制到阿里云 OSS 以进行长期存储;
如果需要跨地域冗余,则可以将 OSS 上的备份文件配置为复制到不同地域。
还原方法
将 OSS 中的备份文件复制到 SAP MaxDB ECS 实例的备份目录的云盘;
基于备份云盘的备份文件还原并恢复 SAP MaxDB 数据库。