本指南概要說明 SAP Adaptive Server Enterprise (ASE) 在 Google Cloud上的運作方式,並提供您在規劃實作新的 SAP ASE 系統時可以使用的詳細資訊。
如要瞭解如何在 Google Cloud上部署 SAP ASE,請參閱:
- Terraform:在 Linux 上為 SAP ASE 自動部署 VM
- Deployment Manager:在 Linux 上為 SAP ASE 自動部署 VM
- Deployment Manager:在 Windows 上為 SAP ASE 自動部署 VM
Google Cloud 基本
Google Cloud 由許多以雲端為基礎的服務和產品組成。在 Google Cloud上執行 SAP 產品時,您主要使用的是透過 Compute Engine 和 Cloud Storage 提供的 IaaS 服務,以及平台的一些功能,例如工具。
如要瞭解重要概念和術語,請參閱 Google Cloud 平台總覽。為了方便您理解,本指南內容會與總覽中的一些資訊重複。
如需企業級機構在 Google Cloud上執行作業時應考量事項的總覽,請參閱Google Cloud 良好架構架構。
與 Google Cloud互動
Google Cloud 提供三種與該雲端平台及資源進行互動的方法:
- Google Cloud 控制台,這是一個網頁式使用者介面。
gcloud指令列工具,可提供 Google Cloud 控制台提供的眾多功能。- 用戶端程式庫,提供用於存取服務和管理資源的 API。用戶端程式庫在建構自己的工具時很實用。
Google Cloud 項服務
SAP 部署作業一般需用到下列其中一部分或全部的 Google Cloud服務:
| 服務 | 說明 |
|---|---|
| 虛擬私有雲網路 |
使 VM 執行個體相互連線並連線到網際網路。 每個 VM 執行個體都是舊版網路 (擁有單一全域 IP 範圍) 或建議子網路中的一員,也就是說,VM 執行個體屬於大型網路的子網路成員。 請注意,虛擬私有雲 (VPC) 網路不能跨越 Google Cloud 專案,但 Google Cloud 專案可以有多個 VPC 網路。 如要將多個專案的資源連結至通用的虛擬私有雲網路,您可以使用共用虛擬私有雲,讓各項資源透過該網路的內部 IP 位址,以安全又有效率的方式相互通訊。如要瞭解如何佈建共用虛擬私有雲 (包括相關規定、設定步驟和用途),請參閱「佈建共用虛擬私有雲」。 |
| Compute Engine | 使用您選擇的作業系統和軟體堆疊建立及管理 VM。 |
| Persistent Disk 和 Hyperdisk |
您可以使用 Persistent Disk 和 Google Cloud Hyperdisk:
|
| Google Cloud 主控台 |
用於管理 Compute Engine 資源的瀏覽器工具。 使用範本描述您需要的所有 Compute Engine 資源和執行個體。您無須自行建立及設定資源或找出依附元件,因為 Google Cloud 主控台會為您代勞。 |
| Cloud Storage | 您可以利用複製功能在 Cloud Storage 中儲存 SAP 資料庫備份,以增加其耐用性和可靠性。 |
| Cloud Monitoring |
讓您能夠清楚掌握 Compute Engine、網路和永久儲存磁碟的部署作業、效能、運作時間和健康狀態。 Monitoring 會從 Google Cloud 收集指標、事件和中繼資料,並透過資訊主頁、圖表和快訊提供深入分析。您可以透過 Monitoring 免費監控運算指標。 |
| IAM |
讓您能夠統一控管 Google Cloud 資源的權限。 您可以透過 IAM 控管誰可以在 VM 上執行控制層作業,包括建立、修改及刪除 VM 和永久儲存磁碟,以及建立及修改網路。 |
定價與配額
您可以使用 Pricing Calculator 來估算您的使用費用。如要進一步瞭解價格資訊,請參閱 Compute Engine 定價、Cloud Storage 定價和 Google Cloud 觀測功能定價。
Google Cloud 資源有配額限制。如果您打算使用高 CPU 或高記憶體的機器,您可能必須要求增加配額。詳情請參閱 Compute Engine 資源配額。
法規遵循和主權控管機制
如果您希望 SAP 工作負載能符合資料落地、存取權控管、支援人員或法規要求,就必須規劃使用 Assured Workloads。這項服務可協助您在 Google Cloud 上執行安全且符合法規要求的工作負載,且不會影響雲端體驗品質。詳情請參閱「在 Google Cloud上使用 SAP 的規範和主權控管措施」。
部署架構
Google Cloud 上的基本單一節點 SAP ASE 安裝包含下列元件:
- 一個執行 SAP ASE 資料庫的 Compute Engine VM。
四個或五個附加永久磁碟:
硬碟內容 Linux Windows 資料庫執行個體的根目錄 sybase/[DBSID] ASE (D:) 資料庫資料檔案 /sybase/[DBSID]/sapdata ASE Data (E:) 資料庫交易記錄 /sybase/[DBSID]/logdir ASE Log (L:) 資料庫臨時資料表空間 /sybase/[DBSID]/saptmp ASE Temp (T:) SAPTOOLS 的診斷資料表空間 /sybase/[DBSID]/sapdiag 不適用
或者也可以擴大安裝範圍,加入以下項目:
- 用於備份的硬碟。Linux 上的備份硬碟為
/sybasebackup,Windows 上的備份硬碟則為Backup (X:)。 - NAT 閘道。NAT 閘道可讓您在為 VM 提供網際網路連線能力的同時,拒絕網際網路直接連線到這些 VM。您也可以將此 VM 設為防禦主機,讓您可以建立與私人子網路上其他 VM 的 SSH 連線。詳情請參閱「NAT 閘道和防禦主機」。
NetWeaver 目錄,包括:
- Linux 上的
/usr/sap或 Windows 上的SAP (S:) - Linux 上的
/sapmnt或 Windows 上的Pagefile (P:)
- Linux 上的
暖待命伺服器,如果使用的是 SAP ASE 的一律開啟高可用性災難復原 (HADR) 選項,則必須設定此伺服器。暖待命伺服器必須使用與基本 SAP ASE 安裝相同的磁碟設定。
如要瞭解 SAP ASE 一律開啟選項的重要軟體需求,請參閱支援的 SAP ASE 功能。
如要進一步瞭解如何設定 SAP ASE 的 HADR,請參閱 HADR 使用手冊。
Google Cloud上的 SAP ASE 目前不支援 Pacemaker 和其他類似的高可用性資源管理軟體。
依用途不同可能需要額外的裝置或資料庫。詳情請參閱適用於 UNIX 的 SAP ASE 設定指南 > 選用裝置與資料庫。
資源需求
從很多方面來說,在 Google Cloud 上執行 SAP ASE 與在您自己的資料中心執行很類似。您仍然需要考慮運算資源、儲存空間和網路連線等事項。詳情請參閱 SAP 注意事項 2537664:適用於 Google Cloud的 SAP ASE 16.0 認證報告。
VM 設定
SAP ASE 經認證可在所有 Compute Engine 機器類型上執行,包括自訂類型。如要瞭解不同的機器類型及其用途,請參閱 Compute Engine 說明文件中的「機器類型」。
CPU 設定
需要的 vCPU 數量取決於 SAP ASE 上的應用程式負載。您應該至少為 SAP ASE 安裝分配兩個 vCPU。請依照 SAP ASE 的效能與調整指南,充分運用現有的資源,然後再視需要增加運算資源。
記憶體設定
SAP ASE VM 的每個 vCPU 應該至少有 4 GB 的 RAM。其中約 80% 的 RAM 應該分配給 SAP ASE,其餘則分配給執行 SAP ASE 的 OS。
最佳記憶體容量取決於查詢的複雜度、資料大小、使用的平行處理量,以及您期望的效能。如需最佳化記憶體設定的進一步指引,請參閱 SAP ASE 效能與調整系列。
儲存空間設定
根據預設,每個 Compute Engine VM 都有一個包含作業系統的小型根永久磁碟。此外,我們建議您為資料庫、記錄檔和儲存程序建立、附加、格式化及掛載更多磁碟。
磁碟大小和效能需求視您的應用程式而定。請根據您的需求調整每個裝置的大小。
如要進一步瞭解 SAP ASE 的永久磁碟選項,請參閱「永久磁碟」。
如需 SAP 提供的磁碟大小指引,請參閱「適用於 UNIX 的設定指南 > 決定資料庫裝置的大小」。
支援的 SAP ASE 版本
SAP 在 Google Cloud上支援下列 SAP ASE 版本:
- SAP ASE 16.0 SP03
- SAP ASE 16.0 SP04
如要進一步瞭解 SAP 在 Google Cloud上支援的 ASE 版本,請參閱:
SAP ASE 功能支援
Google Cloud支援大多數 SAP ASE 功能。本節僅列出 SAP ASE 功能,說明哪些功能有條件支援,哪些功能不支援。
支援的 SAP ASE 功能
Google Cloud支援 SAP ASE 一律開啟高可用性和災難復原 (HADR) 選項。
如要進一步瞭解 SAP ASE 的 Always-On HADR 選項,請參閱:
不支援的 SAP ASE 功能
以下 SAP ASE 功能「不」支援 Google Cloud,這與 SAP 注意事項 2922454 和 2537664 一致:
- 即時資料服務
- 網路服務
- Kerberos
- IPv6
- 具有原生叢集管理員的 SAP ASE 高可用性選項
- 做為資料庫裝置的原始磁碟
- 核心程序模式
- Tivoli 儲存空間管理
如要進一步瞭解 Google Cloud支援的 SAP ASE 功能,請參閱 SAP 注意事項 2537664。
支援的作業系統
SAP 支援下列作業系統上的 SAP ASE:
- RHEL
- SLES
- Windows Server
Compute Engine 提供這些作業系統的最新版本供您使用。如要瞭解 Compute Engine 提供的作業系統版本,請參閱「映像檔」。
如要瞭解 SAP ASE 目前支援的作業系統版本,請參閱 SAP 注意事項 2489781。
部署考量事項
地區與區域
在部署 VM 時,您必須選擇地區和區域。地區是指可供您執行資源的特定地理位置,並且會對應於一個資料中心位置。每個地區會有一或多個區域。
全球資源如預先設定的磁碟映像檔和磁碟快照,可以跨地區和區域存取。地區資源如靜態外部 IP 位址,只能由同個地區中的資源存取。區域資源 (例如 VM 和磁碟),只能由同個區域中的資源存取。
為您的 VM 選擇地區和區域時,請注意下列事項:
- 使用者和內部資源的位置,例如資料中心或公司網路的位置。如要縮短延遲時間,請選擇接近您的使用者和資源的位置。
- 其他 SAP 資源的位置。您的 SAP 應用程式和資料庫必須位於同個區域。
永久磁碟
永久磁碟是耐用的區塊儲存裝置,功能如同桌上型電腦或伺服器中的實體磁碟。
Compute Engine 提供不同類型的永久磁碟。每種類型的效能特性都不同。 Google Cloud會管理永久磁碟的基礎硬體,以確保資料備援並發揮最佳效能。
您可以使用下列任何一種 Compute Engine 永久磁碟類型:
- 標準永久磁碟 (
pd-standard):採用 標準硬碟 (HDD) 的有效且經濟實惠的區塊儲存空間,可處理循序讀取/寫入作業,但並未針對處理每秒隨機輸入/輸出作業 (IOPS) 的高速率進行最佳化處理。 - SSD (
pd-ssd):提供可靠且高效能的區塊儲存空間,並由固態硬碟 (SSD) 提供支援。 - 平衡 (
pd-balanced):提供以 SSD 為基礎的區塊儲存空間,可提供經濟實惠且可靠的儲存空間。 - Extreme (
pd-extreme):針對較大的 Compute Engine 機器類型,提供比pd-ssd更高的最大 IOPS 和吞吐量選項。詳情請參閱「Extreme 永久磁碟」。
SSD 和平衡永久磁碟的效能會隨著大小自動調整,因此您可以調整現有永久磁碟的大小,或在 VM 中新增更多永久磁碟,以調整效能。
您使用的 VM 類型和其中包含的 vCPU 數量也會影響永久磁碟效能。
永久磁碟獨立於 VM,因此您可以中斷連接或移動永久磁碟,即使在刪除 VM 後,也能保留資料。
如要進一步瞭解不同類型的 Compute Engine 永久磁碟、其效能特性,以及如何使用這些磁碟,請參閱 Compute Engine 說明文件:
本機 SSD (非永久)
Google Cloud 也提供本機 SSD 硬碟。雖然本機 SSD 在某些方面的優勢勝過永久磁碟,但請勿將本機 SSD 當做 SAP ASE 系統的一部分使用。附加了本機 SSD 的 VM 執行個體無法停止然後再重新啟動。
NAT 閘道和防禦主機
如果您的安全政策要求真正的內部 VM,則必須在網路上手動設定 NAT Proxy 和對應的路徑,以便使 VM 連上網際網路。請特別注意,您無法使用 SSH 直接連線到完全內部的 VM 執行個體。如要連線到這類內部機器,您必須設定具有外部 IP 位址的防禦執行個體,然後再透過通道進行連線。當 VM 沒有外部 IP 位址時,只有網路上的其他 VM 或是透過代管 VPN 閘道才能存取這些 VM。您可以在網路中佈建 VM,將其做為傳入連線 (防禦主機) 或網路輸出 (NAT 閘道) 的信任轉送來源。如果是不需要設定這類連線的較透明化連線,您可以使用代管 VPN 閘道資源。
傳入連線使用防禦主機
防禦主機提供外部進入點,以進入包含私人網路 VM 的網路。這個主機可提供單一防禦或稽核點,您可啟動及停止該主機以啟用或停用來自網際網路的傳入 SSH 通訊。
您可以藉由先連線到防禦主機來讓 SSH 存取沒有外部 IP 位址的 VM。防禦主機的完整強化做法不在本指南的探討範圍內,但一些可執行的初始步驟包括:
- 限制可與防禦主機進行通訊的來源 IP 的 CIDR 範圍。
- 將防火牆規則設定為只允許來自防禦主機的私人 VM SSH 流量。
根據預設,VM 上的 SSH 會設定為使用私密金鑰進行驗證。使用防禦主機時,您可以先登入防禦主機,然後再登入目標私人 VM。由於採用了這種兩步驟登入機制,您應該透過 SSH 代理程式轉送來登入目標 VM,而不是將目標 VM 的私密金鑰儲存在防禦主機上。即使您將同一個金鑰組用於防禦主機和目標 VM,也必須這麼做,因為防禦主機只能直接存取金鑰組的公開部分。
使用 NAT 閘道輸出流量
當 VM 未分配到外部 IP 位址時,則無法直接連線到外部服務,包括其他 Google Cloud 服務。如要讓這些 VM 存取網際網路上的服務,您可以設定一個 NAT 閘道。NAT 閘道是一個可代替網路上任何其他 VM 轉送流量的 VM。您應該為每個網路都設定一個 NAT 閘道。但請注意,單一 VM NAT 閘道的可用性並不高,且無法支援多 VM 的高流量總處理量。如需設定 VM 做為 NAT 閘道的操作說明,請參閱 Linux 適用的 SAP ASE 部署指南或 Windows 適用的 SAP ASE 部署指南。
自訂映像檔
在系統開始運作後,您可以建立自訂映像檔。當您想要修改根永久磁碟的狀態,並希望能輕鬆復原新狀態時,您應該建立這些映像檔。並為其制定管理計畫。詳情請參閱「映像檔管理最佳做法」。
使用者身分識別和資源存取
規劃 Google Cloud上 SAP 部署的安全性時,您必須確認下列事項:
- 需要存取 Google Cloud 專案中Google Cloud 資源的使用者帳戶和應用程式
- 每位使用者需要存取的專案中特定 Google Cloud 資源
您必須將每位使用者的 Google 帳戶 ID 新增至專案,並將其設為實體。對於使用Google Cloud 資源的應用程式程式,您需要建立服務帳戶,為專案中的程式提供使用者身分。
Compute Engine VM 有各自的服務帳戶。只要 VM 服務帳戶具備應用程式所需的資源權限,在 VM 上執行的任何程式都可以使用 VM 服務帳戶。
找出每位使用者需要使用的 Google Cloud 資源後,您可以為使用者指派特定資源角色,授予使用者使用每項資源的權限。請查看 IAM 為每項資源提供的預先定義角色,並為每位使用者指派角色,只提供足夠的權限來完成使用者的任務或功能,不超過這個範圍。
如果您需要更精細或更嚴格的權限控管功能,而預先定義的 IAM 角色無法提供這類功能,您可以建立自訂角色。
如要進一步瞭解 SAP 程式在 Google Cloud上需要的 IAM 角色,請參閱「在 Google Cloud上管理 SAP 程式的身分和存取權」。
如要瞭解Google Cloud中的 SAP 身分與存取權管理總覽,請參閱「在 Google Cloud中管理 SAP 的使用者身分與存取權總覽」。
網路和網路安全性
在規劃網路和安全時,請考慮下列各節提供的資訊。
最低權限模式
保護系統安全的第一道防線是利用防火牆來限制誰可以存取您的網路和 VM。根據預設,所有通往 VM 的流量,即使是來自其他 VM,都會遭到防火牆封鎖,除非您建立允許存取的防火牆規則。如果預設網路由專案自動建立,且具有預設的防火牆規則,則不在此限。
透過建立防火牆規則,您可以將一組特定通訊埠上的所有流量限制在特定來源 IP 位址。您應依照最低權限模式將存取權限制在需要存取的特定 IP 位址、通訊協議和通訊埠。例如,您應該設定防禦主機,並且只允許 SSH 經由該主機進入您的 SAP NetWeaver 系統。
自訂網路和防火牆規則
您可以使用網路來定義閘道 IP 以及與該網路連結的 VM 網路範圍。所有 Compute Engine 網路都使用 IPv4 通訊協定。每個 Google Cloud 專案都會提供具有預設設定和防火牆規則的預設網路,但您應依照最低權限模式新增自訂子網路和防火牆規則。根據預設,新建立的網路不具有防火牆規則,因此也沒有網路存取權。
根據您的需求,您可能會想新增額外的子網路以隔離網路的各個部分。詳情請參閱子網路說明。
防火牆規則會套用到整個網路及網路中的所有 VM。您可以新增防火牆規則,允許同個網路中及跨子網路的 VM 之間的流量。您還可以使用標記機制將防火牆套用到特定的目標 VM。
有些 SAP 產品,如 SAP NetWeaver,必須存取某些通訊埠。請務必新增防火牆規則以允許存取 SAP 要求存取的通訊埠。
路徑
路徑是與單個網路連結的全域資源。使用者建立的路徑會套用到網路中的所有 VM。這表示您可以新增一個無須透過外部 IP 位址,直接在同個網路及跨子網路中 VM 之間轉送流量的路徑。
如要存取外部的網際網路資源,請啟動一個不具外部 IP 位址的 VM,然後將另一個虛擬機器設為 NAT 閘道。使用此設定方法時,您必須另外將 NAT 閘道新增為 SAP 執行個體的路徑。詳情請參閱 NAT 閘道和防禦主機。
Google Cloud VPN
您可以利用 Google Cloud VPN,透過使用 IPsec 的 VPN 連線,安全地將現有網路連線至 Google Cloud 。在兩個網路之間傳輸的流量會由一個 VPN 閘道加密,然後由另一個 VPN 閘道解密,以確保您的資料在網際網路中傳輸時安全無虞。您可以使用路徑上的執行個體標記來動態控管哪些 VM 能經由 VPN 傳送流量。Cloud VPN 通道的計費方式為每月固定費率加上標準輸出費用。請注意,在同一個專案內連線兩個網路還是會產生標準輸出費用。詳情請參閱「VPN 總覽」和「選擇 VPN 轉送選項」。
保護 Cloud Storage 值區安全
如要使用 Cloud Storage 來託管資料和記錄檔的備份,請務必在將資料從 VM 傳送到 Cloud Storage 時使用傳輸層安全標準 (TLS) (HTTPS),以保護傳輸資料的安全。Cloud Storage 會自動加密靜態資料。如果您有自己的金鑰管理系統,就可以自行指定加密金鑰。
相關安全文件
請參閱下列Google Cloud上適用於 SAP 環境的其他安全資源:
備份與還原
您必須制定計畫,以便在發生最糟糕的情況時將系統復原為可運作的狀態。如需使用 Google Cloud制定災難復原計畫的一般性指引,請參閱:
授權
本節提供授權需求的資訊。
SAP 授權
如要在 Google Cloud 上執行 SAP ASE,您必須自備授權 (BYOL)。如需詳細資訊,請參閱:
- SAP 注意事項 2446441 - Google Cloud Platform 上的 Linux (IaaS):採用您的 SAP 授權
- SAP 注意事項 2456953 - Google Cloud Platform 上的 Windows (IaaS):採用您的 SAP 授權
如要進一步瞭解 SAP 授權,請洽詢 SAP。
作業系統授權
在 Compute Engine 中,有兩種方法可以授權 SLES、RHEL 和 Windows Server:
「即付即用」授權方法,Compute Engine VM 的每小時費用已包含授權費。Google 會幫您管理授權後勤作業。雖然每小時的費用較高,但您可以視需求彈性調高或調低費用。這種授權方法是 Google Cloud公開映像檔 (包括 SLES、RHEL 和 Windows Server) 使用的授權模式。
自備授權方法,由於不含授權費,因此 Compute Engine VM 的費用較低。您必須移轉現有授權或自行購買授權,這表示您必須預繳費用,這種方法的彈性較低。
支援
如果是基礎架構或服務相關問題,請與客戶服務團隊聯絡。 Google Cloud 您可以在 Google Cloud 控制台的「支援總覽」頁面中找到聯絡資訊。如果客戶服務團隊判定問題出在 SAP 系統,就會將您轉介給 SAP 支援團隊。
如要進一步瞭解 SAP 產品相關問題,請使用 SAP 支援登錄您的支援要求。SAP 會評估支援票證,如確定為 Google Cloud基礎架構方面的問題,就會將票證轉移至系統中的適當Google Cloud 元件:BC-OP-LNX-GOOGLE 或 BC-OP-NT-GOOGLE。
支援相關規定
您必須符合支援方案的最低需求,才能獲得 SAP 系統和Google Cloud基礎架構和服務的支援服務。
如要進一步瞭解Google Cloud上 SAP 的最低支援需求,請參閱:
- 取得 GCP 上的 SAP 支援 Google Cloud
- SAP 注意事項 2456406 - Google Cloud 平台上的 SAP:支援必要條件 (必須使用 SAP 使用者帳戶)
後續步驟
如要在 Linux 上部署 SAP ASE,請參閱: + (建議) Terraform:在 Linux 上為 SAP ASE 自動部署 VM。+ Deployment Manager:在 Linux 上為 SAP ASE 自動部署 VM
如要在 Windows 中部署 SAP ASE,請參閱「Deployment Manager:在 Windows 上為 SAP ASE 自動部署 VM」一文。