本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SAP 谈 AWS 规划
如果你是一位经验丰富的 SAP Basis 或 SAP 管理 NetWeaver 员,那么有许多与计算配置、存储、安全、管理和监控相关的 AWS特定注意事项可以帮助你充分利用 SAP 环境。 AWS此部分提供指导,介绍在 AWS上运行 SAP 解决方案时,如何实现最佳的性能、可用性和可靠性以及降低总拥有成本(TCO)。
SAP Note
在迁移或实施 SAP 环境之前 AWS,应阅读并遵循相关的 SAP 注意事项。首先阅读 SAP Note 1656099
AWS 架构上的 SAP
本节介绍了 SAP 上的两种主要架构模式 AWS:所有系统开启 AWS 和混合模式。
全能架构AWS
借助 SAP All-on AWS 架构,您的 SAP 环境的所有系统和组件都托管在其上 AWS。此类架构的示例场景包括:
-
在上实施一个完整的、全新 SAP 环境 AWS
-
将完整的现有 SAP 环境迁移到 AWS
图 3 描绘了 SAP 全能架构。AWS 运行的 SAP 环境通过 VPN 连接或通过 Di AWS rect AWS s Connect 的专用网络连接与本地系统和用户集成。 SAProuter 部署在公有子网中,并分配了一个可从互联网访问的公有 IP 地址,以便能够通过安全网络通信 (SNC) 连接与 SAP OSS 网络集成。网络地址转换 (NAT) 网关使私有子网中的实例能够连接到 Internet 或其他 AWS 服务,但可以防止实例接收 Internet 上某人发起的入站流量。有关更多信息,请参阅配置网络和连接部分。
图 3:SAP 全能架构AWS
混合 AWS 架构
使用 SAP 混合 AWS 架构,一些 SAP 系统和组件托管在您的本地基础架构上,而另一些则托管在 AWS 基础架构上。此类架构的示例场景包括:
-
在上运行 SAP 测试、试用、培训 proof-of-concept (PoC) 和类似系统 AWS
-
在上面运行非生产 SAP 环境(例如 DEV 和 QAS) AWS,与本地运行的 SAP 生产环境集成
-
在现有的 SAP 本地环境上实施新的 SAP 应用程序 AWS 并将其集成到现有的 SAP 本地环境中
图 4 描绘了 SAP 混合 AWS 架构,其中包含 SAP 开发和 QAS 环境以及 SAP 测试、培训和 PoC 系统。 AWS这些系统与企业网络上的 SAP 系统和用户集成。VPC 和公司网络之间的连接通过 VPN 连接或 Directs Conn AWS ect 连接提供。企业网络上运行的现有 SAProuter 和 SAP 解决方案管理器用于管理在 VPC 中运行的 SAP 系统。
图 4:SAP 混合 AWS 架构
选择 AWS 区域和可用区
有关 AWS 区域和可用区的信息,请参阅本指南的AWS 全球基础设施部分。
选择区域
在选择要在 AWS 其中部署 SAP 环境的区域时,请考虑以下因素:
-
靠近您的本地数据中心、系统和最终用户,尽可能减少网络延迟。
-
数据驻留和监管合规性要求。
-
您计划在该地区使用的 AWS 产品和服务的可用性。有关按地区划分 AWS 的产品和服务的详细列表,请参阅 AWS 网站上的区域表
。 -
您计划在区域中使用的 EC2 实例类型的可用性。要查看特定实例类型的 AWS 区域可用性,请参阅适用于 SA P 的 Amazon EC2 实例类型
网页。
选择可用区
在为部署在 AWS云端的 SAP 选择可用区时,没有特别的注意事项。所有 SAP 应用程序(SAP ERP、CRM、SRM 等)和系统(SAP 数据库系统、SAP 中央服务系统和 SAP 应用程序服务器)应部署在同一个可用区中。如果具有高可用性(HA)要求,请使用多个可用区。有关更多信息,请参阅上的 SAP 可用性和可靠性架构指南 AWS。
网络和连接
Amazon VPC
Amazon VPC 使您能够在 AWS 云中自己的、逻辑上隔离的区域中定义虚拟网络。您可以将您的 AWS 资源(例如实例)启动到您的 VPC 中。您的 VPC 与您可能在自己的数据中心运行的传统网络非常相似,其优势在于使用 AWS 可扩展的基础架构。您可以配置您的 VPC;您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。您可以将您的 VPC 中的实例连接到网络。您可以将 VPC 连接到您自己的企业数据中心,并使 AWS 云成为数据中心的扩展。要保护各个子网中的资源,您可以利用多种安全层,包括安全组和网络访问控制列表。有关更多信息,请参阅《Amazon VPC 用户指南》。
有关设置和配置 VPC 以及您的网络与 VPC 之间连接的详细说明,请参阅 Amazon VPC 文档。
网络连接选项
有多种选项可用于在本地用户和运行 SAP 系统的系统之间提供网络连接 AWS,包括直接互联网连接、硬件 VPN 和专用网络连接。
专用网络连接
AWS Di@@ rects Connect
使用案例:建议相比硬件 VPN 提出了更高带宽和更低延迟要求的客户使用。
有关更多信息,请参阅 Amazon Virtual Private Cloud 连接选项。
直接互联网连接
连接到运行的 SAP 系统的最快、最简单的方法是使用具有单个公有子网和互联网网关的 VPC 来实现通过互联网进行通信。 AWS 有关更多信息,请参阅《Amazon VPC 用户指南》中的场景 1:仅带有公有子网的 VPC。
使用案例:非常适合不包含敏感数据的 SAP 演示、培训和测试类型的系统。
Site-to-Site /硬件 VPN
AWS Site-to-Site VPN
用例:建议用于需要与本地用户和系统集成的任何 SAP 环境。 AWS
Client VPN
AWS Client VPN
使用案例:为您的远程员工和业务合作伙伴提供简单快速的连接。
遵循安全最佳实践
为了提供 end-to-end安全和 end-to-end隐私,根据安全最佳实践 AWS 构建服务,在这些服务中提供适当的安全功能,并记录如何使用这些功能。此外, AWS 客户必须使用这些功能和最佳实践来构建适当安全的应用程序环境。让客户能够确保其数据的机密性、完整性和可用性对于保持信任和信心至关重要。 AWS
责任共担环境
作为客户的您与客户之间存在一种共担责任模式 AWS。 AWS 操作、管理和控制从主机操作系统和虚拟化层到服务运行设施的物理安全的组件。反过来,您负责并管理客户机操作系统(包括更新和安全补丁)、其他相关应用程序软件、Amazon VPC 设置和配置以及 AWS提供的安全组防火墙的配置。有关 AWS 安全性的更多信息,请访问AWS 云安全
Amazon VPC
SAP 环境安全的基础 AWS 是使用 Amazon VPC 提供整体隔离。Amazon VPC 提供了安全详细信息,您必须完成这些设置才能够为资源正确地设置访问和限制措施。Amazon VPC 提供三种功能,供您用来增强和监控 VPC 的安全性:
-
安全组用作关联 EC2 实例的防火墙,在实例级别控制入站和出站的流量。
-
网络访问控制列表 (ACLs) 充当关联子网的防火墙,在子网级别控制入站和出站流量。
-
路由表包含一组称为“路由”的规则,用于确定将网络流量发送到何处。在您的 VPC 中的每个子网必须与一个路由表关联;路由表控制子网的路由。
-
流日志可捕获有关在 VPC 中传入和传出网络接口的 IP 流量的信息。
有关如何在 VPC 内设置和管理安全的详细文档,请参阅《Amazon VPC 用户指南》的安全性部分。
用于 SAP 的 EC2 实例类型
Amazon EC2 提供各种不同的实例类型,这些实例类型经过优化,适合不同的使用案例。实例类型包括 CPU、内存、存储和网络容量的不同组合,便于您灵活选择适合应用程序的资源组合。每种实例类型都包含一个或多个实例大小,您可以根据目标工作负载的要求扩展资源。
部署在上面需要 AWS 来自 SAP 支持的 SAP 系统必须在已通过 SAP 认证的 EC2 实例类型上运行。此部分介绍在哪里可以找到有关已通过 SAP 认证的 EC2 实例类型的详细信息,以及特定 SAP 解决方案的其他信息。
NetWeaver基于 SAP 的解决方案
基于 SAP NetWeaver 平台且使用 SA P 应用程序性能标准 (SAPS)
SAP HANA
运行在 SAP HANA 数据库上的 SAP HANA 平台和 SAP 解决方案 [例如 HANA、SAP S/4HANA 上的 SAP Suite;HANA、SAP S/4HANA 上的 SAP Business Warehouse(BW)] 需要已通过 SAP HANA 认证的特定 EC2 实例类型。有关更多信息,请参阅适用于 SAP on AWS的 Amazon EC2 实例类型。
SAP Business One,适用于 SAP HANA 的版本
有关已通过 SAP Business One(适用于 SAP HANA 的版本)认证的 EC2 实例类型的信息,请参阅:
操作系统
受支持的操作系统
EC2 实例在基于 Intel x86 指令集的 64 位虚拟处理器上运行。以下 64 位操作系统和版本可用并支持上 AWS的 SAP 解决方案。
有关上支持 SAP 的操作系统的更多信息 AWS,请参阅 SAP Note
SLES for SAP 和 RHEL for SAP
SUSE 和 Red Hat 提供其特定于 SAP 的操作系统版本,具有以下优势:
-
SAP 的配置和优化
-
扩展版本支持
-
适用于 SAP 的高可用性扩展
-
专属支持渠道
注意
由于这些好处,我们强烈建议在部署时使用适用于 SAP 的 SLES 或具有高可用性 (HA) 和更新服务 (美国) 的 SAP 版 RHEL。 AWS
要了解有关 SUSE 和 Red Hat 适用于 SAP 的操作系统版本的更多信息,请参阅 SLES 和 Red Hat 网站上的以下信息。
SLES for SAP
RHEL for SAP
操作系统许可证
这些操作系统许可选项可用于 SAP 系统,网址 AWS为:
-
按需:操作系统软件和许可证捆绑在亚马逊机器映像(AMI)中。操作系统许可证的费用包含在按需型实例的小时费用或该实例类型的预留实例费用中。
-
自带 License/Subscription (BYOL) — 将您现有的操作系统许可证或订阅带到 AWS 云端。
-
AWS Marketplace — 从 Mark AWS etplace 购买操作系统许可证和订阅。
下表列出了适用于每个操作系统和版本的许可选项。要了解有关每个选项的更多信息,请点击表中的链接。
数据库
支持的数据库
SAP 在本地基础设施上支持的所有数据块平台和版本,在 SAP on AWS上同样受支持。有关上特定 SAP 解决方案支持的数据库的详细信息 AWS,请参阅 SA P Note 165
数据库安装和管理
Amazon EC2 上的客户托管数据库
大多数 SAP 解决方案在 Amazon EC2 上使用客户托管模式。数据库的安装、配置、管理、备份和恢复均由客户或合作伙伴完成。
以下 SAP 解决方案在 Amazon EC2 上使用自行管理数据库模式:
-
SAP 商务套件和 NetWeaver基于 SAP 的应用程序
-
SAP HANA
-
SAP S/4HANA
-
SAP BW/4HANA
-
SAP BusinessObjects BI
-
SAP Business One
Amazon RDS
Amazon Relational Database Service(Amazon RDS)
-
SAP BusinessObjects BI
-
SAP Commerce(以前称为 SAP Hybris Commerce)
Amazon Aurora
Amazon Aurora(Aurora)
-
SAP Commerce(以前称为 SAP Hybris Commerce)
数据库许可证
这些数据库许可选项可用于 SAP 系统,网址 AWS为:
-
按需:数据库软件和许可证捆绑在亚马逊机器映像(AMI)中。数据库许可证的费用包含在按需型实例的小时费用或该实例类型的预留实例费用中。
-
自带许可证 (BYOL)-将您现有的数据库许可证带到 AWS 云端。
-
AWS Marketplace — 从 Mar AWS ketplace 购买数据库软件和许可证。
下表列出了每个数据库 AWS 的可用许可选项。有关更多信息,请访问许可选项列中的链接。
-
从 SAP 购买的 SQL Server 运行时许可证,需要 Microsoft 软件保障或 Amazon EC2 专属主机才能将这些许可证自带到 AWS云端。有关更多信息,请参阅:
-
SAP Note 2139358 - Effect of changes in licensing terms of SQL Server
SAP 安装媒体
大多数 SAP 解决方案都 AWS 使用 bring-your-own-software模型。有两个主要选项可用于将 SAP 安装媒体复制到 AWS云端:
-
从 SAP Software Download Center 下载到 Amazon EC2。从您的 EC2 实例,连接到 SAP Software Download Center
并下载所需的安装媒体。此选项很可能是获取 SAP 安装媒体的最快方法 AWS,因为 EC2 实例与互联网的连接速度非常快。您可以创建专用 Amazon EBS 卷来存储安装媒体,然后根据需要将该卷连接到不同的实例。您还可以创建 Amazon EBS 卷的快照,并创建多个卷,可以用来并行连接到多个实例。 -
从您的网络复制到 Amazon EC2。如果您已经将所需的 SAP 安装媒体下载到自己网络上的某个位置,则可以将媒体从网络直接复制到 EC2 实例。
