• 管理你的 SAP HANA 系統

• 管理你的賬號

• 網絡設置

• 設置 SAProuter 接入 SAP技術支持

• 安全配置

• 高可用性以及災備

• 備份與恢復

本文檔著重介紹對于部署在阿里云云服務器 ECS 上的 SAP HANA 系統的推薦使用方法以及注意事項，更多 SAP HANA 使用方法，請參考 SAP 的官方文檔。

管理你的 SAP HANA 系統

本節介紹對于部署在云服務器 ECS上的SAP HANA 系統，如何進行典型的系統管理任務，如系統啟動、系統暫停、系統復制等。

啟動和停止你的 ECS 實例

你可以在任何時候停止一個或者多個 SAP HANA 主機，但是作為建議，請盡量先將 SAP HANA 停止運行，然后再將其所在云服務器 ECS 實例停止。當該實例重新啟動之后，其 IP 地址、網絡和存儲配置等保持不變。

創建你的 SAP HANA 自定義鏡像

云服務器 ECS 允許用戶根據現有的 ECS 實例創建自定義鏡像，使用自定義鏡像能夠幫助用戶快速創建多個操作系統和運行環境配置相同的 ECS 實例，以滿足客戶靈活擴容的需求。你可以通過云服務器 ECS 控制臺來為你現有的 ECS 實例創建自定義鏡像，具體信息和操作步驟請參見文檔 使用實例創建自定義鏡像。

你可以使用自定義鏡像

• 創建一個完整的 SAP HANA 系統離線備份，包括操作系統、HANA 程序 /usr/sap、共享程序和文件 /hana/shared、以及數據、日志和備份文件；

• 創建新的 ECS 實例或者 更改 ECS 實例的系統盤；

• 跨地域移動一個 SAP HANA 系統：用戶可以對已有 ECS 實例創建自定義鏡像，然后在另一個地域使用該鏡像創建新的 ECS 實例，復制過程請參見文檔 復制鏡像；鏡像復制可以使得用戶在跨地域部署應用時輕松達成部署環境的一致性；

• 復制 SAP HANA 系統：用戶可以為已有 SAP HANA 系統創建鏡像，并用它來復制出一個完全相同的 SAP HANA 系統，下節會具體進行介紹。

復制你的 SAP HANA 系統

單節點系統 – 克隆一個單節點的 SAP HANA 系統，可以通過在同一個可用區之內創建該系統的自定義鏡像，鏡像中既包含操作系統也包含安裝好的 SAP HANA 軟件。

多節點系統 – 多節點的 SAP HANA 系統雖然無法通過直接克隆得到，但是可以通過備份與恢復的方法創建出多個節點，如以下步驟：

• 創建一個與克隆目標配置一樣的 SAP HANA 系統

• 在源系統上做數據備份

• 在新系統上恢復備份數據

管理你的賬號

管理你在阿里云上的 SAP HANA 系統，需要3類管理員賬戶

• 阿里云賬戶 – 在使用任何阿里云產品和服務之前，需要先創建你的阿里云賬號。使用該賬號，你可以管理你的云服務器，對網絡進行配置，管理你的系統鏡像和磁盤快照等。

• 云服務器 ECS 實例的管理員賬戶 – 在云服務器 ECS 實例創建后，你需要在該實例的操作系統中創建一個管理員賬戶。Linux 系統默認的管理賬戶是 root。作為管理員，你可以按照操作系統的要求來創建和刪除用戶賬戶。

• HANA 數據庫管理賬戶 – 在 SAP HANA 安裝過程中，需要指定一個系統 ID（SID），而且 HANA 會使用 [sid]adm 作為 HANA 管理員用戶，并且默認在操作系統上創建該用戶。此外需要說明的是，在橫向擴展（scale-out）場景中，所有節點都會使用相同的管理員賬戶 [sid]adm，并且確保 UID 與 GID 一致。

網絡設置

我們強烈推薦你使用專有網絡 VPC 作為你在阿里云云服務器 ECS 上搭建你的 SAP HANA 系統時使用的默認網絡類型。專有網絡 VPC（Virtual Private Cloud）是基于阿里云構建的一個隔離的網絡環境，專有網絡之間邏輯上徹底隔離。你能夠在自己定義的虛擬網絡中使用阿里云資源。

你可以完全掌控自己的虛擬網絡，例如選擇自己的 IP 地址范圍、劃分網段、配置路由表和網關等，從而實現安全而輕松的資源訪問和應用程序訪問。更多產品信息，請參考文檔 專有網絡VPC。你也可以通過專線或 VPN 等連接方式將你的專有網絡與傳統數據中心相連，形成一個按需定制的網絡環境，實現應用的平滑遷移上云和對數據中心的擴展。

安全隔離

• 不同用戶的云服務器部署在不同的專有網絡里。

• 不同專有網絡之間通過隧道 ID 進行隔離。專有網絡內部由于交換機和路由器的存在，所以可以像傳統網絡環境一樣劃分子網，每一個子網內部的不同云服務器使用同一個交換機互聯，不同子網間使用路由器互聯。

• 不同專有網絡之間內部網絡完全隔離，只能通過對外映射的 IP（彈性公網 IP 和 NAT IP）互聯。

• 由于使用隧道封裝技術對云服務器的 IP 報文進行封裝，所以云服務器的數據鏈路層（二層 MAC 地址）信息不會進入物理網絡，實現了不同云服務器間二層網絡隔離，因此也實現了不同專有網絡間二層網絡隔離。

• 專有網絡內的 ECS 使用安全組防火墻進行三層網絡訪問控制。

訪問公網

如果用戶的企業安全策略要求所有的虛擬機要位于企業私網環境之內，這時對于必要的訪問公網能力可以通過以下方式達到：

• 在用戶私網中搭建 NAT 網關，提供 NAT 代理為私網環境提供一個公網流量的出入口。在 NAT 網關中配置對應的路由即可使你的虛擬機能夠訪問公網。關于 NAT 網關的搭建，請參考 附錄：如何創建 NAT 網關

• 由于用戶不允許使用 SSH 直接連接私網中的虛擬機，因此你需要搭建一臺堡壘機。該堡壘機具有公網 IP 地址，并可以對 SSH 運維協議的數據流進行全程記錄,堡壘機可以作為你連通私網中虛擬機的通道。搭建堡壘機的具體步驟，請參見 SAP HANA 部署指南

VPN 連接

阿里云也提供了 VPN 網關（VPN Gateway）服務，它是一款基于 Internet，通過加密通道將企業數據中心和阿里云專有網絡（VPC）安全可靠連接起來的服務。

安全組

安全組是一個邏輯上的分組，這個分組是由同一個地域（Region）內具有相同安全保護需求并相互信任的實例組成。每個實例至少屬于一個安全組，在創建的時候就需要指定。同一安全組內的實例之間網絡互通，不同安全組的實例之間默認內網不通。可以授權兩個安全組之間互訪。安全組是一種虛擬防火墻，具備狀態檢測包（SPI：Stateful Packet Inspection）過濾功能。安全組用于設置單臺或多臺云服務器的網絡訪問控制，它是重要的網絡安全隔離手段，用于在云端劃分安全域。

更多信息，請參見 安全組介紹。

設置 SAProuter 接入 SAP技術支持

SAProuter 是一個用來遠程連接客戶網絡和 SAP 網絡的軟件。由于在某些情況下，SAP 技術支持工程師需要訪問你在阿里云上的 SAP HANA 系統來進行必要的問題診斷，這時需要借助 SAProuter 來完成訪問連接。而使用 SAProuter 的一個先決條件是用戶和 SAP 之間的網絡連接可用。

你可以認為 SAProuter 是一條在 SAP 和阿里云云服務器 ECS 之間的技術支持連接通道，配置 SAProuter 請參見如下步驟：

• 啟動安裝有 SAProuter 軟件的云服務器 ECS 實例。由于該實例位于用戶的私有網絡（VPC）中，用戶需要購買彈性公網 IP (EIP）并動態綁定到該 ECS 實例上。綁定過程無需重新啟動 ECS 實例。

• 創建并配置一個安全組，該安全組僅允許該 SAProuter 實例和 SAP 技術支持網絡之間的，通過3299 TCP 端口的入站和出站訪問

• SAProuter 的安裝指南，請參見 SAP Note 1628296，安裝過程中還需要創建一個命名為 saprouttab 的文件。

• SAProuter 所需要的公網連接需要使用安全的網絡通信（Secure Network Communication），更多信息請參見 SAP Remote Support – Help。

安全配置

對于一個運行在阿里云上的 HANA 系統，阿里云會負責云基礎設施層面上的安全防護，而用戶需要負責他們使用的云資源、HANA 數據庫和其它相關應用的安全防護。

除了你常用的 SAP HANA 系統安全防護方法之外，阿里云還提供了下列一些額外的安全防護能力：

資源訪問控制

RAM (Resource Access Management) 是阿里云為客戶提供的用戶身份管理與資源訪問控制服務。使用 RAM，你可以創建、管理用戶賬號（比如員工、系統或應用程序），并可以控制這些用戶賬號對你名下資源具有的操作權限。你可以通過訪問控制安全地將阿里云資源的訪問及管理權限按需分配給你指定的企業成員或者合作伙伴，從而降低您的企業信息安全風險。更多信息請參見 訪問控制。

安騎士（服務器安全）

安騎士是一款主機安全軟件，通過安裝在云服務器上輕量級的軟件和云端安全中心的聯動，為您提供漏洞管理、基線檢查和入侵告警等功能。安騎士可以實時監控并精準捕獲服務器上各種安全事件，并對入侵和異常行為進行警告和提供解決方案。更多信息，請參見文檔 云安全中心。

安全消息通知

用戶可以在阿里云消息中心中設置自己的消息訂閱渠道，可以選擇郵件或者短信通知。請確保在安全消息中選擇接收云盾安全信息通知，你將收到服務器安全和基礎 DDoS 防護相關的安全通知。如果你購買了高級 DDoS 防護、Web 應用防火墻等服務，你也會收到相應的通知。

必要的配置變更

請參考推薦的安全設置來配置你的 SAP HANA 系統和你所使用的操作系統。例如，確保僅有必須使用的網絡端口被加入訪問限制白名單，對運行 SAP HANA 的操作系統進行安全防護加固，等等。

以下 SAP note 供你參考：

• 1944799: Guidelines for SLES SAP HANA installation

• 1730999: Recommended configuration changes

• 1731000: Unrecommended configuration changes

停用某些SAP HANA服務

SAP HANA的某些可選服務，在無需使用時可以停用，比如 HANA 擴展應用服務（HANA Extended Application Services）。

請參考 SAP Note 1697613: Remove XS Engine out of SAP HANA database了解具體操作步驟。在該服務被停用后，請將對該服務開放的所有 TCP 端口從安全組設置中移除。

更多與安全防護相關的信息，請參見 SAP HANA 在阿里云上的安全指南。

高可用性以及災備

對于運行在阿里云上的 SAP HANA 進行高可用方案和災備方案搭建，更多細節和最佳實踐請參見 SAP HANA同可用區高可用部署。

備份與恢復

備份對于保護你的系統數據至關重要。SAP HANA 作為內存數據庫，你可以為它創建定期的數據備份，其中備份時間點可以根據你的業務情況，選擇在工作負載量較小的時候進行備份。這樣當遇到意外的系統故障時，你可以從容恢復你的數據。

附錄：如何創建 NAT 網關

NAT 網關（NAT Gateway）是一款企業級的 VPC 公網網關，提供 NAT 代理（SNAT、DNAT）、10Gbps 級別的轉發能力、以及跨可用區的容災能力。NAT 網關與共享帶寬包配合使用，可以組合成為高性能、配置靈活的企業級網關。

1. 登錄 VPC 管理控制臺。

2. 在左側導航欄，單擊 NAT 網關。

3. 單擊創建 NAT 網關。

4. 選擇地域、VPC、規格和計費周期配，單擊立即購買，完成創建。

5. NAT 網關創建成功后，系統會自動為 NAT 網關創建一張端口轉發表和 SNAT 表。

6. 單擊購買帶寬包鏈接。

   注意：如果 NAT 網關已經配置了帶寬包，則單擊管理，然后在左側導航欄選擇帶寬包。

7. 在帶寬包頁面，再次單擊購買帶寬包。

8. 配置帶寬包，配置公網 IP 個數、帶寬、計費方式。

9. 單擊立即購買，完成創建。

10. 帶寬包創建后，系統會根據指定的 IP 個數分配公網 IP 供 NAT 網關使用。

11. 返回 NAT 網關頁面，單擊端口轉發表，設置 DNAT，然后單擊創建端口轉發條目。

12. 配置端口轉發條目, 選擇一個可用的公網 IP，指定要映射的專有網絡 EC S實例的私網 IP，選擇映射方式。

    • 所有端口：該方式屬于 IP 映射，等同于為所選的 ECS 實例配置了一個彈性公網 IP。該 ECS 實例可以接收來自公網任何端口、任何協議的請求。

      選擇所有端口后，無需再配置公網端口、私網端口和協議類型。

    • 具體端口：該方式屬于端口映射。配置后，NAT 網關會將收到的指定協議的 [私網 IP：私網端口] 的數據發向指定的 [公網 IP：公網端口]，并將來自 [公網 IP：公網端口] 指定協議的數據發送給指定的 [私網 IP：私網端口]。

      選擇具體端口后，需要配置公網端口、私網端口和協議類型。

13. 單擊確定，完成配置。

    端口轉發條目列表中會新增添加的轉發規則，顯示狀態為配置中。單擊刷新，當轉發條目的狀態顯示為可用，則表示該端口轉發規則創建成功。