如需了解如何在运行 SAP 系统的 Oracle Linux 上部署 Oracle Database 19c 或更高版本,请参阅部署适用于 SAP NetWeaver 的 Oracle 数据库。 Google Cloud
许可
如需在 Google Cloud上运行与 SAP 系统搭配使用的 Oracle 数据库,您需要自带 Oracle Database 19c 或更高版本的许可 (BYOL)。
您还需要购买 Oracle Linux Premier Support。如需了解详情,请参阅 SAP 备注 3408032 - Oracle Linux:操作系统支持流程。
如需了解如何在基于 SAP NetWeaver 的产品和解决方案中运行 Oracle Database 19c,请参阅 SAP 备注 2799900 - Oracle Database 19c 的中央技术备注。
Google Cloud basics
Google Cloud 由许多云端服务和产品组成。在 Google Cloud上运行 SAP 产品时,您主要使用通过 Compute Engine 和 Cloud Storage 提供的基于 IaaS 的服务,以及整个平台共通的一些特性(例如工具)。
如需了解重要概念和术语,请参阅 Google Cloud 平台概览。为方便起见并根据上下文需要,本指南从该概览中复制了一些信息。
如需大致了解企业级组织在 Google Cloud上运行相关产品时应考虑哪些注意事项,请参阅 Google Cloud 良好架构框架。
与 Google Cloud交互
Google Cloud 提供了以下三种主要的交互方式,供您在云端与该平台以及您的资源进行交互:
- Google Cloud Console,一个基于网页的界面。
gcloud命令行工具 - 具备 Google Cloud 控制台所提供的一切功能。- 客户端库 - 提供可用于访问服务和管理资源的 API。在您构建自己的工具时,客户端库非常有用。
Google Cloud 服务
部署 SAP 时通常需要使用以下部分或全部 Google Cloud服务:
| 服务 | 说明 |
|---|---|
| VPC 网络 |
将虚拟机实例相互连接并将其连接到互联网。 各个虚拟机实例要么是具有单个全局 IP 范围的旧版网络的成员,要么是推荐的子网网络的成员;对于后一种情况,虚拟机实例是单个子网的成员,而该子网则为更大规模网络的成员。 请注意,一个虚拟私有云 (VPC) 网络不能跨越多个 Google Cloud 项目,但一个 Google Cloud 项目可以有多个 VPC 网络。 如需将多个项目中的资源连接到一个公用 VPC 网络,您可以使用共享 VPC,以便资源可以使用该网络中的内部 IP 地址安全高效地相互通信。如需了解如何预配共享 VPC(包括要求、配置步骤和用法),请参阅预配共享 VPC。 |
| Compute Engine | 使用您选择的操作系统和软件堆栈创建并管理虚拟机。 |
| 永久性磁盘和 Hyperdisk |
您可以使用永久性磁盘和 Google Cloud Hyperdisk:
|
| Google Cloud 控制台 |
基于浏览器的 Compute Engine 资源管理工具。 您可以使用模板来描述所需的全部 Compute Engine 资源和实例。您无需单独创建和配置资源或找出依赖项,因为 Google Cloud 控制台会为您执行此类操作。 |
| Cloud Storage | 您可以将 SAP 数据库备份存储在 Cloud Storage 中,以通过复制提高耐用性和可靠性。 |
| Cloud Monitoring |
有助于您了解 Compute Engine、网络和永久性存储磁盘的部署情况、性能、正常运行时间和运行状况。 Monitoring 可从 Google Cloud 收集指标、事件和元数据,并利用这些信息通过信息中心、图表和提醒生成数据洞见。您可以通过 Monitoring 免费监控计算指标。 |
| IAM |
以统一的方式控制对 Google Cloud 资源的权限。 借助 IAM,您可以控制哪些人可以在虚拟机上执行控制平面操作,包括创建、修改和删除虚拟机与永久性存储磁盘,以及创建和修改网络。 |
价格和配额
您可以使用价格计算器来估算您的使用费。如需详细了解价格信息,请参阅 Compute Engine 价格、Cloud Storage 价格和 Google Cloud Observability 价格。
Google Cloud 资源受配额约束。如果您计划使用高 CPU 或高内存机器,则可能需要申请增加配额。如需了解详情,请参阅 Compute Engine 资源配额。
合规性和主权控制
如果您需要 SAP 工作负载根据数据驻留、访问权限控制、支持人员或监管要求运行,则必须计划使用 Assured Workloads。这项服务可帮助您在 Google Cloud 上运行安全合规的工作负载, Google Cloud 而不会降低云体验质量。 如需了解详情,请参阅 SAP on Google Cloud的合规性和主权控制。
部署架构
对于在 Google Cloud上运行的基于 SAP NetWeaver 的应用,传统的单节点 Oracle 数据库实例由以下组件组成:
- 用于运行 Oracle 数据库的 Compute Engine 实例。
以下驱动器的永久性磁盘或 Hyperdisk 卷。我们强烈建议您使用 Hyperdisk 卷。
磁盘内容 Linux 目录 Oracle 安装 /oracle/DB_SID
/oracle/DB_SID/origlogA
/oracle/DB_SID/origlogB
/oracle/DB_SID/sapdata1
/oracle/DB_SID/sapdata2Oracle 镜像 /oracle/DB_SID/mirrlogA
/oracle/DB_SID/mirrlogB
/oracle/DB_SID/sapreorg
/oracle/DB_SID/saptrace
/oracle/DB_SID/saparch
/oracle/DB_SID/sapbackup
/oracle/DB_SID/sapcheck
/oracle/DB_SID/sapdata3
/oracle/DB_SID/sapdata4
/oracle/DB_SID/sapprof离线 Redolog 文件的备份 /oracle/DB_SID/oraarchSAP NetWeaver 安装 /usr/sap包含共享文件系统装载点的 SAP NetWeaver 目录 /sapmnt(可选)您可以扩展部署以添加 NAT 网关,以便为计算实例提供互联网连接,同时拒绝通过互联网直接连接到这些实例。您还可以将计算实例配置为堡垒主机,以便能够与专用子网上的其他计算实例建立 SSH 连接。如需了解详情,请参阅 NAT 网关和堡垒主机。
其他用例可能需要额外的设备。如需了解详情,请参阅 SAP 文档 SAP on Oracle。
资源要求
在许多方面,在基于 SAP NetWeaver 的系统中运行 Oracle 数据库与在您自己的数据中心运行 Oracle 数据库类似。您仍需考虑计算资源、存储和网络注意事项。
如需从 SAP 了解运行 Oracle 数据库的资源要求,请参阅 SAP 备注 2799900 - Oracle 数据库 19c 的中央技术备注。
计算实例配置
为了在Google Cloud上运行适用于 SAP NetWeaver 的 Oracle 数据库应用,SAP 已认证使用所有 Compute Engine 机器类型(包括自定义机器类型)。但是,如果您在 SAP NetWeaver 或 Application Server Central Services (ASCS) 所在的计算实例上运行 Oracle 数据库,则必须使用 SAP 认证可与 SAP NetWeaver 搭配使用的计算实例。如需了解可用于运行 SAP NetWeaver 的 Compute Engine 机器类型,请参阅 SAP NetWeaver 规划指南。
如需了解 Google Cloud上可用的所有机器类型及其用例,请参阅 Compute Engine 文档中的机器系列资源和比较指南。
CPU 配置
您运行 Oracle 数据库所需的 vCPU 数量取决于 SAP 应用负载和性能目标。您必须为 Oracle 数据库安装分配至少 2 个 vCPU。为了获得最佳性能,请调整 vCPU 的数量和块存储的大小,直到达到您的性能目标。
内存配置
您为 Oracle 数据库分配的内存取决于您的用例。具体用例的最优内存数量取决于所运行查询的复杂程度、数据大小、正在使用的并发运行数量以及所期望的性能水平。
存储配置
默认情况下,当您创建实例时,Compute Engine 会自动创建启动磁盘。您可以为数据库数据、日志和(可选)数据库备份预配更多磁盘。
对于 Oracle 数据库实例的卷,请使用符合性能要求的磁盘。如需了解决定磁盘性能的因素,请参阅配置磁盘以满足性能要求。
对于关键任务型工作负载,我们强烈建议您使用 Hyperdisk 卷。如需详细了解 Oracle 数据库的块存储,请参阅块存储。
受支持的 Oracle 数据库版本和功能
为了将 Oracle 数据库与在Google Cloud上运行的基于 SAP NetWeaver 的应用搭配使用,SAP 已认证以下产品:
- Oracle Database 19c 或更高版本
- 数据库必须使用 Unicode 字符集。
- 数据库必须使用经过 Oracle 验证的文件系统。
- 您必须为 Oracle 数据库订阅 Premier Support。
不支持 Real Application Clusters (RAC) 和基于 Pacemaker 的高可用性 (HA) 解决方案。
如需了解详情,请参阅 SAP 说明 3559536。
支持的操作系统
为了将 Oracle 数据库与在Google Cloud上运行的基于 SAP NetWeaver 的应用搭配使用,SAP 已认证以下操作系统:
- Oracle Linux 9 或 Oracle Linux 8,内核如下:
- UEK 7:5.15.0-1.43.4.2.el9uek.x86_64 或更高版本
- UEK 7:5.15.0-202.135.2.el8uek.x86_64 或更高版本
请确保您已购买 Oracle Linux Premier Support。
部署考虑事项
本部分提供了有关规划 Oracle 数据库的部署位置、块存储、用户身份识别和访问控制、网络以及备份和恢复等方面的信息。
规划区域和可用区
部署 Compute Engine 实例时,您必须选择区域和可用区。区域是指您可以在其中运行自己的资源的特定地理位置,对应于一个或多个彼此位置相对临近的数据中心位置。每个区域都包含一个或多个具有冗余连接、电源和冷却功能的可用区。
全局资源(例如预配置的磁盘映像和磁盘快照)可跨区域和可用区访问。区域级资源(例如区域级静态外部 IP 地址)只能由位于同一区域的资源访问。可用区级资源(例如计算实例和磁盘)只能由位于同一可用区的资源访问。如需了解详情,请参阅全球、区域和可用区级资源。
为计算实例选择区域和可用区时,请考虑以下事项:
- 用户和内部资源(例如数据中心或公司网络)的位置。为了缩短延迟时间,请选择临近用户和资源的位置。
- 可用于该区域和可用区的 CPU 平台。例如, Google Cloud上的 SAP NetWeaver 工作负载支持 Intel Broadwell、Haswell、Skylake 和 Ice Lake 处理器。
- 如需了解详情,请参阅 SAP 备注 SAP 备注 2456432 - Google Cloud上的 SAP 应用:支持的产品和 Google Cloud 机器类型。
- 如需详细了解 Haswell、Broadwell、Skylake 和 Ice Lake 处理器适用于 Compute Engine 的区域,请参阅可用区域和可用区。
- 确保您的 SAP 应用服务器和数据库位于同一区域。
块存储
对于永久性块存储,您可以将 Hyperdisk 卷和永久性磁盘卷挂接到 Compute Engine 实例。
Compute Engine 提供不同类型的 Hyperdisk 和永久性磁盘。每种类型都有不同的性能特征。Google Cloud 会管理这些磁盘的底层硬件,以确保数据冗余并优化性能。
对于 SAP NetWeaver,您可以使用以下任何 Hyperdisk 或永久性磁盘类型:
- Hyperdisk 类型:Hyperdisk Balanced (
hyperdisk-balanced) 和 Hyperdisk Extreme (hyperdisk-extreme)- 与永久性磁盘类型相比,Hyperdisk Extreme 磁盘可提供更高的 IOPS 和吞吐量上限选项。
- 对于 Hyperdisk Extreme,您可以通过预配 IOPS 来选择所需的性能,而 IOPS 同样也决定了您的吞吐量。如需了解详情,请参阅吞吐量。
- 对于 Hyperdisk Balanced,您可以通过预配 IOPS 和吞吐量来选择所需的性能。如需了解详情,请参阅关于 Hyperdisk 的 IOPS 和吞吐量预配。
- 如需了解支持使用 Hyperdisk 的机器类型,请参阅机器类型支持。
- 永久性磁盘类型:性能或 SSD (
pd-ssd)- SSD 永久性磁盘由固态硬盘 (SSD) 提供支持。它提供经济实惠、可靠的块存储。
- SSD 永久性磁盘支持永久性磁盘异步复制。您可以将此功能用于跨区域主动-被动灾难恢复。如需了解详情,请参阅永久性磁盘异步复制简介。
- SSD 永久性磁盘卷的性能会随大小自动调节。因此,您可以通过调整现有永久性磁盘卷的大小或向 Compute Engine 实例添加更多永久性磁盘卷来调整性能。
您使用的计算实例类型及其包含的 vCPU 数量也会影响或限制永久性磁盘性能。
永久性磁盘和 Hyperdisk 卷的位置独立于计算实例,因此即使在删除计算实例后,您也可以分离或移动磁盘以保留数据。
在 Google Cloud 控制台的虚拟机实例页面中,您可以在每个虚拟机实例的虚拟机实例详情页面上的额外磁盘下方查看挂接到虚拟机实例的磁盘。
如需详细了解 Compute Engine 提供的不同类型的块存储、其性能特征以及如何使用它们,请参阅 Compute Engine 文档:
NAT 网关和堡垒主机
如果您的安全政策要求使用真正的内部计算实例,那么您需要在网络上手动设置 NAT 代理并设置相应的路由,以便此类计算实例能够访问互联网。请务必注意,您无法使用 SSH 直接连接到完全内部的计算实例。如需连接到此类内部实例,您必须设置具有外部 IP 地址的堡垒实例,然后通过该实例建立隧道。如果计算实例没有外部 IP 地址,那么只有该网络上的其他实例可以访问它们,或者只能通过托管 VPN 网关访问它们。您可以在网络中预配计算实例,将其用作入站连接(称作“堡垒主机”)或网络出口(称作“NAT 网关”)的可信中继。若要在不设置此类连接的前提下实现更透明的连接,您可以使用托管 VPN 网关资源。
使用堡垒主机进行入站连接
堡垒主机提供接入包含专用网络计算实例的网络的外部入口点。这种主机可以提供单一防御或审核点,而且可以启动或停止以启用或停用来自互联网的入站 SSH 通信。
下图展示了连接外部和内部计算实例的堡垒主机如何使用 SSH 进行连接:
如需使用 SSH 连接到没有外部 IP 地址的计算实例,您首先需要连接到堡垒主机。堡垒主机的全面安全强化超出了本指南的讨论范围,但您可以采取一些初始步骤,包括:
- 限制可与堡垒主机通信的源 IP 的 CIDR 范围。
- 配置防火墙规则,仅允许来自堡垒主机的 SSH 流量传输到私有计算实例。
默认情况下,Compute Engine 实例上的 SSH 会配置为使用私钥执行身份验证。使用堡垒主机时,您应该先登录堡垒主机,然后再登录目标专用计算实例。鉴于这种两步登录方式,您必须使用 SSH 代理转发来访问目标实例,而不是将目标实例的私钥存储在堡垒主机上。即使为堡垒主机和目标实例使用相同的密钥对,您也必须这样做,因为堡垒主机只能直接访问密钥对的公钥部分。
为出站流量使用 NAT 网关
如果没有为 Compute Engine 实例分配外部 IP 地址,则实例无法与外部服务(包括其他Google Cloud 服务)建立直接连接。如需允许这些实例访问互联网上的服务,您可以设置和配置 NAT 网关。NAT 网关是一个实例,可以代表网络中的任何其他实例路由流量。每个网络都必须只有一个 NAT 网关。请注意,单实例 NAT 网关不得被视为具有高可用性,也无法支持多个实例的高流量吞吐量。如需了解如何设置计算实例以用作 NAT 网关,请参阅设置 NAT 网关。
自定义映像
在系统启动并运行后,您可以创建自定义映像。 如果您要修改启动磁盘的状态并希望能够恢复新状态,我们建议您创建此类映像。您还需要就如何管理您所创建的自定义映像制定一项计划。如需了解详情,请参阅映像管理最佳实践。
用户识别和资源访问权限
在为 Google Cloud上的 SAP 部署规划安全措施时,您必须识别:
- 需要访问Google Cloud 项目 Google Cloud 中的资源的用户账号和应用
- 在您的项目中每位用户需要访问的特定 Google Cloud 资源
您必须通过将每个用户的 Google 账号 ID 添加为项目中的主账号,来将相应用户添加到项目中。对于使用Google Cloud 资源的应用程序,您需要创建一个服务账号,该账号会为您项目中的程序提供用户身份。
Compute Engine 虚拟机拥有自己的服务账号。只要某虚拟机服务账号拥有程序所需的资源权限,则在虚拟机上运行的该程序就可以使用该虚拟机服务账号。
确定各用户需要使用的 Google Cloud 资源后,您可以为各用户分配特定于资源的角色,以授予使用各资源相应的用户权限。查看 IAM 为各资源提供的预定义角色,并为各用户分配角色,以提供正好足以完成用户任务或职能的权限。
如果您需要对预定义 IAM 角色提供的权限进行更精细或更严格的控制,您可以创建自定义角色。
如需详细了解 SAP 程序在 Google Cloud上所需的 IAM 角色,请参阅 Google Cloud上的 SAP 程序的身份和访问权限管理。
如需大致了解Google Cloud上的 SAP 的身份和访问权限管理,请参阅 Google Cloud上的 SAP 的身份和访问权限管理概览。
网络和网络安全
在规划网络和安全时,请考虑以下部分中的信息。
最小权限模式
您的第一道防线是使用防火墙限制哪些人可以访问您的网络和虚拟机。 除非您创建防火墙规则允许流量通过,否则防火墙会默认阻止通往虚拟机的所有流量(即使流量来自其他虚拟机)。随每个项目自动创建并具有默认防火墙规则的默认网络属于例外情况。
通过创建防火墙规则,您可以对一组给定端口上的所有流量进行限制,仅允许来自特定源 IP 地址的流量通过。我们建议您按照最小权限模式来限制访问权限,仅允许需要访问权限的特定 IP 地址、协议和端口进行访问。例如,我们建议您始终设置堡垒主机,并且仅允许通过该主机对 SAP NetWeaver 系统进行 SSH 连接。
访问权限管理
了解 Google Cloud 中访问权限管理机制的运作方式对规划您的实现至关重要。您需要就以下方面做出决策:
- 如何在 Google Cloud中整理资源。
- 哪些团队成员可以访问和使用资源。
- 每个团队成员可以拥有哪些具体权限。
- 哪些服务和应用需要使用哪些服务账号,以及在每种情况下应授予哪个级别的权限。
首先了解 Cloud Platform 资源层次结构。 您有必要了解各种资源容器是什么、它们之间的相互关系,以及创建访问边界的位置。
Identity and Access Management (IAM) 可统一控制Google Cloud 资源的权限。通过定义哪些人对资源拥有哪些权限,您可以管理访问权限控制机制。比如,您可以控制哪些人可以在 SAP 实例上执行控制平面操作,例如创建和修改虚拟机、永久性磁盘和网络。
如需详细了解 IAM,请参阅 IAM 概览。
如需大致了解 Compute Engine 中的 IAM,请参阅访问权限控制选项。
IAM 角色是向用户授予权限的关键。如需了解各种角色及其具备的权限,请参阅 Identity and Access Management 角色。
Google Cloud的服务账号为您提供了一种向应用和服务授予权限的方式。您有必要了解服务账号在 Compute Engine 中的工作原理。如需了解详情,请参阅服务账号。
自定义网络和防火墙规则
您可以使用网络来定义网关 IP 以及挂接到该网络的虚拟机的网络范围。所有 Compute Engine 网络都使用 IPv4 协议。每个 Google Cloud 项目都具有带预设配置和防火墙规则的默认网络,但我们建议您根据最小权限模式添加自定义子网和防火墙规则。默认情况下,新创建的网络没有防火墙规则,因此没有网络访问。
根据您的要求,您可能需要额外添加子网,以隔离网络的各个部分。如需了解详情,请参阅子网。
防火墙规则适用于整个网络和网络中的所有虚拟机。 您可以添加防火墙规则,以允许流量在同一网络中的虚拟机之间以及子网之间通行。您也可以通过标记机制将防火墙配置为仅应用于特定的目标虚拟机。
部分 SAP 产品(例如 SAP NetWeaver)需要访问某些端口。请务必添加相关防火墙规则以允许访问 SAP 所述的端口。
路由
路由是挂接到单个网络的全局资源。用户创建的路由适用于网络中的所有虚拟机。这意味着您可以添加路由,以便在同一网络中的虚拟机之间以及子网之间转发流量,而无需外部 IP 地址。
为了实现从外部访问互联网资源,请启动不具备外部 IP 地址的虚拟机,并将另一个虚拟机配置为 NAT 网关。此配置需要您将 NAT 网关添加为 SAP 实例的路由。如需了解详情,请参阅 NAT 网关和堡垒主机。
Cloud VPN
您可以借助 Cloud VPN 通过使用 IPsec 的 VPN 连接,将现有网络安全地连接到 Google Cloud 。两个网络之间的流量传输通过一个 VPN 网关加密,然后通过另一个 VPN 网关解密,此举可以保护您的数据在互联网上传输时的安全。通过路由上的实例标记,您可以动态控制哪些虚拟机可以向 VPN 发送流量。Cloud VPN 隧道的计费方式为固定月费率加标准出站流量费用。请注意,将同一项目中的两个网络相连仍然会产生标准出站流量费用。如需了解详情,请参阅 Cloud VPN 概览和创建 VPN。
保护 Cloud Storage 存储分区的安全
如果您使用 Cloud Storage 来托管数据和日志的备份,请确保在从虚拟机向 Cloud Storage 发送数据时使用 TLS (HTTPS),以保护传输中的数据。Cloud Storage 会自动加密静态数据。如果您有自己的密钥管理系统,则可以自行指定加密密钥。
相关安全文档
如需针对Google Cloud上的 SAP 环境的其他安全资源,请参阅以下内容:
备份与恢复
您必须就如何在发生最坏情况时将系统恢复到运行状态制定一项计划。如需获取有关如何使用 Google Cloud规划灾难恢复的一般指导,请参阅灾难恢复规划指南。
支持
如有 Google Cloud 基础设施或服务方面的问题,请与 Customer Care 联系。您可以在 Google Cloud 控制台中的“支持概览”页面上找到联系信息。如果 Customer Care 确定问题在于您的 SAP 系统,会将您引荐给 SAP 支持。
对于与 SAP 产品有关的问题,请通过 SAP 支持记录您的支持请求。
SAP 会评估支持服务工单,如果该问题似乎是 Google Cloud基础设施问题,则 SAP 会将工单转移到其系统中的相应Google Cloud 组成团队:BC-OP-LNX-GOOGLE 或 BC-OP-NT-GOOGLE。
支持要求
如需从 Oracle 和 SAP 获得基于 Oracle Linux 的 Oracle 数据库支持,请确保您已购买 Oracle Linux Premier Support。您必须满足最低支持方案要求,才能获得对 SAP 系统及其使用的Google Cloud基础设施和服务的支持。
如需详细了解Google Cloud上的 SAP 的最低支持要求,请参阅:
后续步骤
- 如需部署适用于在 Oracle Linux 上运行的基于 SAP NetWeaver 的应用的 Oracle 数据库,请参阅部署适用于 SAP NetWeaver 的 Oracle 数据库。 Google Cloud