SAP MaxDB 操作指南
版本管理
版本 | 修訂日期 | 變更類型 | 生效日期 |
|---|---|---|---|
1.0 | 2018/7/19 |
簡介
本指南提供運行已部署在阿里云上的 SAP MaxDB 系統的最佳實踐。請注意,本指南并不能取代任何標準 SAP 文檔。
管理
本節介紹如何執行在阿里云上運行 SAP MaxDB 系統通常需要的管理任務,包括有關啟動、停止和克隆系統。
啟動和停止 ECS 實例
您可以隨時停止任何 SAP MaxDB 主機。作為最佳實踐,您應該首先停止運行在阿里云 ECS 實例上的 SAP MaxDB,然后再停止該實例。在恢復實例時,ECS 實例將自動使用與以前相同的 IP 地址、網絡和存儲配置啟動。
創建 SAP MaxDB 系統的自定義鏡像
阿里云上的自定義鏡像允許您創建多個具有相同 OS 和環境數據的 ECS 實例以滿足擴展需求,從而可幫助您有效運行 ECS 實例。您可以使用阿里云管理控制臺基于現有實例創建自己的自定義鏡像。有關更多信息,請參閱阿里文檔中的“使用快照創建自定義鏡像”部分。您可以按以下方式使用鏡像:
創建(OS、/usr/sap、數據、日志、備份文件的)完整離線 MaxDB 系統備份。
可以使用鏡像創建 ECS 實例或更改 ECS 實例的系統盤;
將 SAP MaxDB 系統從一個地域移動到另一個地域 – 按照阿里云文檔中的說明創建現有阿里云 ECS 實例的鏡像并將其移動到另一個地域。您還可以將自定義鏡像復制到另一個地域,以保持環境和應用的跨多個地域一致性部署。
克隆 SAP MaxDB 系統 – 您可以創建現有 SAP MaxDB 系統的鏡像以創建系統的精確克隆。請參閱本文檔的下一節。注意:要創建具有一致狀態的 SAP Max 系統的鏡像,您需要先停止 SAP MaxDB 實例,然后再創建。
克隆 SAP MaxDB 系統
創建 SAP MaxDB 系統的克隆,您可以在同一可用區中的阿里云 ECS 中創建 SAP MaxDB 系統的鏡像。它一般包括操作系統和預裝的 SAP MaxDB 軟件,以及相同的存儲系統布局。
帳戶管理
在阿里云上的 SAP MaxDB 系統的管理過程中,有 3 種類型的管理員帳戶,如下所示:
阿里云帳戶 - 在使用阿里云產品和服務之前,您必須先在阿里云網站上創建阿里帳戶。使用此帳戶,您可以從阿里云網站管理 ECS、配置 VPC 以及管理 SAP MaxDB 系統的鏡像或快照。
ECS 實例管理員帳戶 - 在創建 ECS 實例時,將在 OS 級別創建管理員帳戶(通常為根)。阿里云不會在操作系統中創建任何帳戶;默認的 Linux 系統用戶僅為根用戶。在使用系統時,用戶可以根據操作系統的需要創建或刪除用戶帳戶。
SAP MaxDB 數據庫系統管理員 - 在安裝 SAP MaxDB 的過程中需要指定 SID,SAP MaxDB 將使用 [sid]adm 作為系統帳戶并默認創建此帳戶。
聯網
您通過 ECS 虛擬網絡使用 ECS 預置 SAP MaxDB 系統。我們強烈建議使用 VPC 作為 SAP MaxDB 的默認網絡類型。阿里云 VPC 是在阿里云中建立的私網。它在邏輯上與阿里云中的其他虛擬網絡隔離。VPC 使您能夠在自己的 VPC 中啟動并使用阿里云資源。您可以全面控制阿里云 VPC,例如,您可以選擇其 IP 地址范圍,將 VPC 進一步分段為子網,以及配置路由表和網關。請參閱阿里文檔中的 VPC 用戶指南。另外,您可以使用物理連接或 VPN 將 VPC 與本地網絡相連接以形成可按需自定義的網絡環境。這樣,您可以毫不費力地將應用順利遷移到阿里云。
安全隔離
默認情況下,不同用戶的云服務器位于不同的 VPC 中。
不同的 VPC 之間通過隧道 ID 進行隔離。使用虛擬交換機和虛擬路由器,您可以將 VPC 分段為子網,就像在傳統網絡環境中那樣。同一子網中的不同云服務器使用虛擬交換機相互通信,而 VPC 中不同子網中的云服務器使用虛擬路由器相互通信。
不同 VPC 之間的內網完全隔離,只能通過 IP 的外部映射(彈性 IP 和 NAT IP)互聯。
因為使用隧道 ID 封裝云服務器的 IP 數據包,所以云服務器的數據鏈路層(兩層 MAC 地址)不會傳輸到物理網絡。因此,不同云服務器的兩層網絡互相隔離。換句話說,不同 VPC 之間的兩層網絡互相隔離。
VPC 內的 ECS 實例使用安全組防火墻來控制網絡訪問。這是第三層隔離。
NAT 網關
如果您的安全策略需要真正內部的 VM,則需要在網絡上手動設置 NAT 代理和相應的路由,以便 VM 可以訪問外網。請務必注意,您無法使用 SSH 直接連接到完全內部的 VM 實例。要連接到此類內部虛擬機,您必須設置具有外部 IP 地址的堡壘實例,然后通過它建立隧道。有關用戶如何設置堡壘實例的信息,請參閱阿里云指南上的“SAP MaxDB 部署指南”。
安全組
安全組是一個邏輯上的分組,這個分組是由同一個地域內具有相同安全保護需求并相互信任的實例組成。每個實例至少屬于一個安全組,創建實例時必須指定安全組。同一個安全組中的實例可以通過網絡通信,但默認情況下,不同安全組中的實例無法通過內網通信。不過,可以授權兩個安全組之間的相互訪問。
安全組是可提供有狀態數據包檢查 (SPI) 的虛擬防火墻。安全組用于為一個或多個 ECS 設置網絡訪問控制。作為一種重要的安全隔離方法,安全組用于劃分云上的安全域。請參閱阿里文檔中的“安全組用戶指南”。
使用 SAProuter 允許 SAP 支持訪問
SAProuter 是在客戶的網絡和 SAP 之間提供遠程連接的軟件應用。在一些情況下,可能需要允許 SAP 支持工程師訪問阿里云上的 SAP MaxDB 系統。使用 SAProuter 的唯一前提條件是從客戶的網絡到 SAP 網絡的網絡連接。在設置從阿里云上的 ECS 到 SAP 的直接支持連接時,請按照以下步驟操作:
啟動 SAProuter 軟件將安裝在其上的 ECS 實例,購買彈性 IP (EIP) 資源并動態綁定到 VPC ECS 實例,而無需重啟 ECS 實例。
創建并配置特定安全組,它只允許 SAProuter 實例和 TCP 端口 3299 對 SAP 支持網絡進行所需的入站和出站訪問。
按照 SAP Note 1628296 中的說明安裝 SAProuter 軟件,并創建允許從 SAP 訪問阿里云上的 SAP MaxDB 系統的 saprouttab 文件。
設置與 SAP 的連接。對于外網連接,請使用安全網絡通信 (SNC)。有關更多信息,請參閱 SAP 遠程支持 – 幫助。
安全
對于 IaaS 部署和 SAP MaxDB 系統實施,阿里云負責維護支持云的基礎設施的安全,而客戶負責確保其使用的云資源和應用的安全。
訪問控制 RAM
阿里云 RAM 是一項身份和訪問控制服務,使您能夠集中管理用戶(包括員工、系統或應用)并安全控制其通過權限級別對您的資源的訪問。因此,RAM 使您能夠將阿里云資源的訪問權限安全地只授予所選的具有高特權的用戶、企業成員和合作伙伴。這有助于確保您的云資源的安全且適當的使用,并防止對您的帳戶進行任何未經請求的訪問。請參閱阿里文檔中的“訪問控制 RAM 用戶指南”。
訪問通知
阿里云消息中心允許用戶訂閱通知和配置通知通道,包括電子郵件和短信。如果用戶的服務器上有 SSH 登錄,則會通知用戶。
安騎士
阿里云安騎士是可提供服務器和數據庫的實時監控的可靠且安全的服務。全天候監控已暴露的漏洞可確保服務和應用的最佳可用性。請參閱阿里文檔中的“安騎士用戶指南”。有一些登錄安全措施,如下所示:
實時監控整個網絡中的常規 Web 軟件漏洞。
允許用戶訪問云盾的緊急漏洞響應功能,包括漏洞補丁(在正式補丁發布之前提供)。
在漏洞暴露和發布正式補丁之間的那段時間里,讓用戶一鍵修復漏洞并攔截黑客攻擊。
備份與恢復
備份對于保護記錄系統來說非常重要。您應該創建在 SAP MaxDB 工作負載較低時運行的定期備份,并且您可以從意外系統故障恢復。下面是有關阿里云上的備份與恢復的一些要點。
阿里云上的 SAP MaxDB 備份的最終目標
備份阿里云上的 SAP MaxDB 與備份傳統本地基礎設施的主要區別是最終備份目標。用于本地基礎設施的典型最終備份目標是磁帶。在阿里云上,備份存儲在 OSS 中。與磁帶相比,將備份存儲在阿里云 OSS 中有許多好處,例如您可以在 OSS 存儲桶中讀取、寫入、刪除和存儲無限對象;OSS 在多個位置存儲您的對象的三個副本以確保 99.999999999% 的數據可靠性;內置的安全機制,包括多層安全防護、監控未授權登錄嘗試、DDoS 攻擊防護和數據訪問策略等。
管理身份和對備份的訪問
要允許訪問 OSS 存儲桶中的備份,您需要在 RAM 控制臺中為用戶配置訪問規則。請參考以下步驟:
選擇要為其指定 OSS 訪問權的用戶,單擊“授權”
選擇授權策略“AliyunOSSFullAccess”
作為帳戶所有者,您將需要通過手機驗證輸入驗證碼
在手機驗證之后,您可以在策略管理面板中查看訪問權
如果您要創建自定義策略,也可以從策略管理面板創建它。
非生產 SAP MaxDB 數據庫上的備份和恢復
本節提供了適用于非生產系統的備份選項。非生產系統的示例包括:
演示系統
培訓系統
沙箱系統
概念驗證系統
跟蹤系統非生產系統的典型要求:
不經常備份
不請求時間點恢復
低成本
云盤快照提供了簡單的低成本備份服務,可用于滿足非生產系統的要求。它具有非常靈活的快照策略,例如,用戶可以在整點時刻拍攝快照以及每天拍攝多次快照,用戶可以選擇星期幾作為每周拍攝快照的重復日子,用戶可以指定快照保留期或選擇永久保留快照。請注意,當達到自動快照的最大數后,會刪除最舊的自動快照。有關云盤快照的更多信息,請參考快照概述。同時,在使用云盤快照執行備份之前,請查看 SAP Note 1928060 - Data backup and recovery with file system backup。在做磁盤快照之前,必須滿足一些特定前提條件。
備份方法
可以配置附加到 SAP MaxDB ECS 實例的云盤卷(包括系統盤 (/usr/sap)、數據文件系統和日志文件系統的數據盤)的自動快照以定期創建快照。
還原方法
快照可用于手動還原非生產系統的整個 SAP MaxDB ECS 實例。
生產 SAP MaxDB 數據庫上的備份和恢復
本節中介紹的備份選項可滿足生產系統共有的以下備份要求:
經常按計劃備份
時間點數據庫恢復
備份方法
默認情況下,在阿里云平臺上,在附加到 SAP MaxDB ECS 實例的云盤卷上配置 SAP MaxDB 數據庫的初始本地備份目標;
用戶可以使用 SQL 命令或 SAP DBA Cockpit 啟動或計劃 SAP MaxDB 數據備份。除非禁用,否則會自動寫入日志備份;
然后,用戶可以將本地云盤上的 SAP MaxDB 數據庫備份文件復制到阿里云 OSS 以進行長期存儲;
如果需要跨地域冗余,則可以將 OSS 上的備份文件配置為復制到不同地域。
還原方法
將 OSS 中的備份文件復制到 SAP MaxDB ECS 實例的備份目錄的云盤;
基于備份云盤的備份文件還原并恢復 SAP MaxDB 數據庫。