全部產品
Search

搜尋本產品

    :SAP MaxDB 操作指南

    文件中心

    :SAP MaxDB 操作指南

    更新時間:Jun 30, 2024

    版本管理

    版本

    修訂日期

    變更類型

    生效日期

    1.0

    2018/7/19

    簡介

    本指南提供運行已部署在阿里雲上的 SAP MaxDB 系統的最佳實務。請注意,本指南並不能取代任何標準 SAP 文檔。

    管理

    本節介紹如何執行在阿里雲上運行 SAP MaxDB 系統通常需要的管理工作,包括有關啟動、停止和複製系統。

    啟動和停止 ECS 執行個體

    您可以隨時停止任何 SAP MaxDB 主機。作為最佳實務,您應該首先停止運行在阿里雲 ECS 執行個體上的 SAP MaxDB,然後再停止該執行個體。在恢複執行個體時,ECS 執行個體將自動使用與以前相同的 IP 位址、網路和儲存配置啟動。

    建立 SAP MaxDB 系統的自訂鏡像

    阿里雲上的自訂鏡像允許您建立多個具有相同 OS 和環境資料的 ECS 執行個體以滿足擴充需求,從而可協助您有效運行 ECS 執行個體。您可以使用阿里雲管理主控台基於現有執行個體建立自己的自訂鏡像。有關更多資訊,請參閱阿里文檔中的“使用快照建立自訂鏡像”部分。您可以按以下方式使用鏡像:

    • 建立(OS、/usr/sap、資料、日誌、備份檔案的)完整離線 MaxDB 系統備份。

    • 可以使用鏡像建立 ECS 執行個體或更改 ECS 執行個體的系統硬碟;

    • 將 SAP MaxDB 系統從一個地區移動到另一個地區 – 按照阿里雲文檔中的說明建立現有阿里雲 ECS 執行個體的鏡像並將其移動到另一個地區。您還可以將自訂鏡像複製到另一個地區,以保持環境和應用的跨多個地區一致性部署。

    • 複製 SAP MaxDB 系統 – 您可以建立現有 SAP MaxDB 系統的鏡像以建立系統的精確複製。請參閱本文檔的下一節。注意:要建立具有一致狀態的 SAP Max 系統的鏡像,您需要先停止 SAP MaxDB 執行個體,然後再建立。

    複製 SAP MaxDB 系統

    建立 SAP MaxDB 系統的複製,您可以在同一可用性區域中的阿里雲 ECS 中建立 SAP MaxDB 系統的鏡像。它一般包括作業系統和預裝的 SAP MaxDB 軟體,以及相同的儲存系統布局。

    帳戶管理

    在阿里雲上的 SAP MaxDB 系統的管理過程中,有 3 種類型的系統管理員帳戶,如下所示:

    • 阿里雲帳戶 - 在使用阿里雲產品和服務之前,您必須先在阿里雲網站上建立阿里帳戶。使用此帳戶,您可以從阿里雲網站管理 ECS、配置 VPC 以及管理 SAP MaxDB 系統的鏡像或快照。

    • ECS 執行個體系統管理員帳戶 - 在建立 ECS 執行個體時,將在 OS 層級建立系統管理員帳戶(通常為根)。阿里雲不會在作業系統中建立任何帳戶;預設的 Linux 系統使用者僅為根使用者。在使用系統時,使用者可以根據作業系統的需要建立或刪除使用者帳戶。

    • SAP MaxDB 資料庫系統管理員 - 在安裝 SAP MaxDB 的過程中需要指定 SID,SAP MaxDB 將使用 [sid]adm 作為系統帳戶並預設建立此帳戶。

    連網

    您通過 ECS 虛擬網路使用 ECS 預置 SAP MaxDB 系統。我們強烈建議使用 VPC 作為 SAP MaxDB 的預設網路類型。阿里雲 VPC 是在阿里雲中建立的私網。它在邏輯上與阿里雲中的其他虛擬網路隔離。VPC 使您能夠在自己的 VPC 中啟動並使用阿里雲資源。您可以全面控制阿里雲 VPC,例如,您可以選擇其 IP 位址範圍,將 VPC 進一步分段為子網,以及配置路由表和網關。請參閱阿里文檔中的 VPC 使用者指南。另外,您可以使用物理串連或 VPN 將 VPC 與本網相串連以形成可按需自訂的網路環境。這樣,您可以毫不費力地將應用順利遷移到阿里雲。

    安全隔離

    • 預設情況下,不同使用者的雲端服務器位於不同的 VPC 中。

    • 不同的 VPC 之間通過隧道 ID 進行隔離。使用虛擬交換器和虛擬路由器,您可以將 VPC 分段為子網,就像在傳統網路環境中那樣。同一子網中的不同雲端服務器使用虛擬交換器相互連信,而 VPC 中不同子網中的雲端服務器使用虛擬路由器相互連信。

    • 不同 VPC 之間的內網完全隔離,只能通過 IP 的外部映射(彈性 IP 和 NAT IP)互聯。

    • 因為使用隧道 ID 封裝雲端服務器的 IP 資料包,所以雲端服務器的資料連結層(兩層 MAC 位址)不會傳輸到物理網路。因此,不同雲端服務器的兩層網路互相隔離。換句話說,不同 VPC 之間的兩層網路互相隔離。

    • VPC 內的 ECS 執行個體使用安全性群組防火牆來控制網路訪問。這是第三層隔離。

    NAT Gateway

    如果您的安全性原則需要真正內部的 VM,則需要在網路上手動設定 NAT 代理和相應的路由,以便 VM 可以訪問外網。請務必注意,您無法使用 SSH 直接連接到完全內部的 VM 執行個體。要串連到此類內部虛擬機器,您必須設定具有外部 IP 位址的堡壘執行個體,然後通過它建立隧道。有關使用者如何設定堡壘執行個體的資訊,請參閱阿里雲指南上的“SAP MaxDB 部署指南”。

    當 VM 沒有外部 IP 位址時,它們只能由網路上的其他 VM 訪問或通過託管 VPN 閘道進行訪問。您可以在網路中預置 VM 來充當入站串連的可信中繼(稱為Bastionhost)或網路出口(稱為 NAT Gateway)。要獲得沒有設定此類串連的更加透明的串連,可以使用託管 VPN 閘道資源。

    安全性群組

    安全性群組是一個邏輯上的分組,這個分組是由同一個地區內具有相同安全保護需求並相互信任的執行個體組成。每個執行個體至少屬於一個安全性群組,建立執行個體時必須指定安全性群組。同一個安全性群組中的執行個體可以通過網路通訊,但預設情況下,不同安全性群組中的執行個體無法通過內網通訊。不過,可以授權兩個安全性群組之間的相互訪問。

    安全性群組是可提供有狀態資料包檢查 (SPI) 的虛擬防火牆。安全性群組用於為一個或多個 ECS 設定網路存取控制。作為一種重要的安全隔離方法,安全性群組用於劃分雲上的安全域。請參閱阿里文檔中的“安全性群組使用者指南”。

    使用 SAProuter 允許 SAP 支援訪問

    SAProuter 是在客戶的網路和 SAP 之間提供遠端連線的軟體應用。在一些情況下,可能需要允許 SAP 支援工程師訪問阿里雲上的 SAP MaxDB 系統。使用 SAProuter 的唯一前提條件是從客戶的網路到 SAP 網路的網路連接。在設定從阿里雲上的 ECS 到 SAP 的直接支援串連時,請按照以下步驟操作:

    • 啟動 SAProuter 軟體將安裝在其上的 ECS 執行個體,購買彈性 IP (EIP) 資源並動態綁定到 VPC ECS 執行個體,而無需重啟 ECS 執行個體。

    • 建立並配置特定安全性群組,它只允許 SAProuter 執行個體和 TCP 通訊埠 3299 對 SAP 支援網路進行所需的入站和出站訪問。

    • 按照 SAP Note 1628296 中的說明安裝 SAProuter 軟體,並建立允許從 SAP 訪問阿里雲上的 SAP MaxDB 系統的 saprouttab 檔案。

    • 設定與 SAP 的串連。對於外網串連,請使用安全網路通訊 (SNC)。有關更多資訊,請參閱 SAP 遠程支援 – 協助。

    安全

    對於 IaaS 部署和 SAP MaxDB 系統實施,阿里雲負責維護支援雲的基礎設施的安全,而客戶負責確保其使用的雲資源和應用的安全。

    下面是可協助您實現阿里雲上的 SAP MaxDB 環境所需的安全層級的其他阿里雲安全資源。

    存取控制 RAM

    阿里雲 RAM 是一項身份和存取控制服務,使您能夠集中系統管理使用者(包括員工、系統或應用)並安全控制其通過權限等級對您的資源的訪問。因此,RAM 使您能夠將阿里雲資源的存取權限安全地只授予所選的具有高特權的使用者、企業成員和夥伴。這有助於確保您的雲資源的安全且適當的使用,並防止對您的帳戶進行任何未經請求的訪問。請參閱阿里文檔中的“存取控制 RAM 使用者指南”。

    訪問通知

    阿里雲訊息中心允許使用者訂閱通知和配置通知通道,包括電子郵件和簡訊。如果使用者的伺服器上有 SSH 登入,則會通知使用者。

    Server Guard

    阿里雲Server Guard是可提供伺服器和資料庫的即時監控的可靠且安全的服務。全天候監控已暴露的漏洞可確保服務和應用的最佳可用性。請參閱阿里文檔中的“Server Guard使用者指南”。有一些登入安全措施,如下所示:

    • 即時監控整個網路中的常規 Web 軟體漏洞。

    • 允許使用者訪問Apsara Stack Security的緊急漏洞響應功能,包括漏洞補丁(在正式補丁發布之前提供)。

    • 在漏洞暴露和發布正式補丁之間的那段時間裡,讓使用者一鍵修複漏洞並攔截駭客攻擊。

    備份與恢複

    備份對於保護記錄系統來說非常重要。您應該建立在 SAP MaxDB 工作負載較低時啟動並執行定期備份,並且您可以從意外系統故障恢複。下面是有關阿里雲上的備份與恢複的一些要點。

    阿里雲上的 SAP MaxDB 備份的最終目標

    備份阿里雲上的 SAP MaxDB 與備份傳統本地基礎設施的主要區別是最終備份目標。用於本地基礎設施的典型最終備份目標是磁帶。在阿里雲上,備份儲存在 OSS 中。與磁帶相比,將備份儲存在阿里雲 OSS 中有許多好處,例如您可以在 OSS 儲存桶中讀取、寫入、刪除和儲存無限對象;OSS 在多個位置儲存您的對象的三個副本以確保 99.999999999% 的資料可靠性;內建的安全機制,包括多層安全防護、監控未授權登入嘗試、DDoS 攻擊防護和資料存取原則等。

    預設情況下,在阿里雲上,將 SAP MaxDB ECS 執行個體配置為使用雲端硬碟作為 SAP MaxDB 資料庫的初始本地備份目標。SAP MaxDB 備份首先儲存在這些本地雲端硬碟卷上,然後複製到 OSS 以進行長期儲存。

    管理身份和對備份的訪問

    要允許訪問 OSS 儲存桶中的備份,您需要在 RAM 控制台中為使用者配置訪問規則。請參考以下步驟:

    1. 選擇要為其指定 OSS 訪問權的使用者,單擊“授權”

    2. 選擇授權策略“AliyunOSSFullAccess”

    3. 作為帳戶所有者,您將需要通過手機驗證輸入驗證碼

    4. 在手機驗證之後,您可以在策略管理面板中查看訪問權

    5. 如果您要建立自訂策略,也可以從策略管理面板建立它。

    非生產 SAP MaxDB 資料庫上的備份和恢複

    本節提供了適用於非生產系統的備份選項。非生產系統的樣本包括:

    • 示範系統

    • 培訓系統

    • 沙箱系統

    • 概念驗證系統

    • 跟蹤系統非生產系統的典型要求:

    • 不經常備份

    • 不請求時間點恢複

    • 低成本

    雲端硬碟快照提供了簡單的低成本備份服務,可用於滿足非生產系統的要求。它具有非常靈活的快照策略,例如,使用者可以在整點時刻拍攝快照以及每天拍攝多次快照,使用者可以選擇星期幾作為每周拍攝快照的重複日子,使用者可以指定快照保留期或選擇持續保留快照。請注意,當達到自動快照的最大數後,會刪除最舊的自動快照。有關雲端硬碟快照的更多資訊,請參考快照概述。同時,在使用雲端硬碟快照執行備份之前,請查看 SAP Note 1928060 - Data backup and recovery with file system backup。在做磁碟快照之前,必須滿足一些特定前提條件。

    備份方法

    可以配置附加到 SAP MaxDB ECS 執行個體的雲端硬碟卷(包括系統硬碟 (/usr/sap)、資料檔案系統和記錄檔系統的資料盤)的自動快照以定期建立快照。

    還原方法

    快照可用於手動還原非生產系統的整個 SAP MaxDB ECS 執行個體。

    生產 SAP MaxDB 資料庫上的備份和恢複

    本節中介紹的備份選項可滿足生產系統共有的以下備份要求:

    • 經常按計劃備份

    • 時間點資料庫恢複

    備份方法

    • 預設情況下,在阿里雲平台上,在附加到 SAP MaxDB ECS 執行個體的雲端硬碟卷上配置 SAP MaxDB 資料庫的初始本地備份目標;

    • 使用者可以使用 SQL 命令或 SAP DBA Cockpit 啟動或計劃 SAP MaxDB 資料備份。除非禁用,否則會自動寫入記錄備份;

    • 然後,使用者可以將本地雲端硬碟上的 SAP MaxDB Database Backup檔案複製到阿里雲 OSS 以進行長期儲存;

    • 如果需要跨地區冗餘,則可以將 OSS 上的備份檔案配置為複製到不同地區。

    還原方法

    • 將 OSS 中的備份檔案複製到 SAP MaxDB ECS 執行個體的備份目錄的雲端硬碟;

    • 基於備份雲端硬碟的備份檔案還原並恢複 SAP MaxDB 資料庫。