本指南概要說明 SAP MaxDB 在 Google Cloud上的運作方式,並提供您在規劃實作新的 SAP MaxDB 系統時可以使用的詳細資訊。
如要進一步瞭解如何在 Google Cloud上部署 SAP MaxDB,請參閱:
如要進一步瞭解 SAP 提供的 SAP MaxDB 的資訊,請參閱 SAP MaxDB 資料庫,該資料庫可在 SAP 說明入口網站中找到。
Google Cloud 基本
Google Cloud 由許多以雲端為基礎的服務和產品組成。在 Google Cloud上執行 SAP 產品時,您主要使用的是透過 Compute Engine 和 Cloud Storage 提供的 IaaS 服務,以及平台的一些功能,例如工具。
如要瞭解重要概念和術語,請參閱 Google Cloud 平台總覽。為了方便您理解,本指南內容會與總覽中的一些資訊重複。
如需企業級機構在 Google Cloud上執行作業時應考量事項的總覽,請參閱Google Cloud 良好架構架構。
與 Google Cloud互動
Google Cloud 提供三種與該雲端平台及資源進行互動的方法:
- Google Cloud 控制台,這是一個網頁式使用者介面。
gcloud
指令列工具,可提供 Google Cloud 控制台提供的眾多功能。- 用戶端程式庫,提供用於存取服務和管理資源的 API。用戶端程式庫在建構自己的工具時很實用。
Google Cloud 項服務
SAP 部署作業一般需用到下列其中一部分或全部的 Google Cloud服務:
服務 | 說明 |
---|---|
虛擬私有雲網路 |
使 VM 執行個體相互連線並連線到網際網路。 每個 VM 執行個體都是舊版網路 (擁有單一全域 IP 範圍) 或建議子網路中的一員,也就是說,VM 執行個體屬於大型網路的子網路成員。 請注意,虛擬私有雲 (VPC) 網路不能跨越 Google Cloud 專案,但 Google Cloud 專案可以有多個 VPC 網路。 如要將多個專案的資源連結至通用的虛擬私有雲網路,您可以使用共用虛擬私有雲,讓各項資源透過該網路的內部 IP 位址,以安全又有效率的方式相互通訊。如要瞭解如何佈建共用虛擬私有雲 (包括相關規定、設定步驟和用途),請參閱「佈建共用虛擬私有雲」。 |
Compute Engine | 使用您選擇的作業系統和軟體堆疊建立及管理 VM。 |
Persistent Disk 和 Hyperdisk |
您可以使用 Persistent Disk 和 Google Cloud Hyperdisk:
|
Google Cloud 主控台 |
用於管理 Compute Engine 資源的瀏覽器工具。 使用範本描述您需要的所有 Compute Engine 資源和執行個體。您無須自行建立及設定資源或找出依附元件,因為 Google Cloud 主控台會為您代勞。 |
Cloud Storage | 您可以利用複製功能在 Cloud Storage 中儲存 SAP 資料庫備份,以增加其耐用性和可靠性。 |
Cloud Monitoring |
讓您能夠清楚掌握 Compute Engine、網路和永久儲存磁碟的部署作業、效能、運作時間和健康狀態。 Monitoring 會從 Google Cloud 收集指標、事件和中繼資料,並透過資訊主頁、圖表和快訊提供深入分析。您可以透過 Monitoring 免費監控運算指標。 |
IAM |
讓您能夠統一控管 Google Cloud 資源的權限。 您可以透過 IAM 控管誰可以在 VM 上執行控制層作業,包括建立、修改及刪除 VM 和永久儲存磁碟,以及建立及修改網路。 |
定價與配額
您可以使用 Pricing Calculator 來估算您的使用費用。如要進一步瞭解價格資訊,請參閱 Compute Engine 定價、Cloud Storage 定價和 Google Cloud 觀測功能定價。
Google Cloud 資源有配額限制。如果您打算使用高 CPU 或高記憶體的機器,您可能必須要求增加配額。詳情請參閱 Compute Engine 資源配額。
法規遵循和主權控管機制
如果您希望 SAP 工作負載能符合資料落地、存取權控管、支援人員或法規要求,就必須規劃使用 Assured Workloads。這項服務可協助您在 Google Cloud 上執行安全且符合法規要求的工作負載,且不會影響雲端體驗品質。詳情請參閱「在 Google Cloud上使用 SAP 的規範和主權控管措施」。
部署架構
Google Cloud 上的基本單一節點 SAP MaxDB 安裝包含下列元件:
- 一個執行 SAP MaxDB 資料庫的 Compute Engine VM。
三個或四個附加永久磁碟:
硬碟內容 Linux Windows 資料庫執行個體的根目錄 /sapdb/[DBSID]
MaxDB (D:)
資料庫資料檔案 /sapdb/[DBSID]/sapdata
MaxDB Data (E:)
資料庫交易記錄 /sapdb/[DBSID]/saplog
MaxDB Log (L:)
資料庫備份 (選用) /maxdbbackup
Backup (X:)
或者,您也可以展開安裝以同時包含下列項目:
NetWeaver 目錄,包括:
- Linux 上的
/usr/sap
或 Windows 上的SAP (S:)
- Linux 上的
/sapmnt
或 Windows 上的Pagefile (P:)
- Linux 上的
NAT 閘道。NAT 閘道可讓您在為 VM 提供網路連線能力的同時,拒絕網際網路直接連線到這些 VM。您也可以將此 VM 設為防禦主機,讓您可以建立與私人子網路上其他 VM 的 SSH 連線。詳情請參閱「NAT 閘道和防禦主機」。
依用途不同可能需要額外的裝置或資料庫。詳情請參閱 SAP Help Portal 中的 MaxDB 說明文件。
資源需求
從很多方面來說,在 Google Cloud 上執行 SAP MaxDB 與在您自己的資料中心執行很類似。您仍然需要考慮運算資源、儲存空間和網路連線等事項。詳情請參閱 SAP 注意事項 2456432: Google CloudGoogle Cloud Platform 上的 SAP 應用程式:支援的產品和 Google Cloud 機器類型。
VM 設定
SAP MaxDB 經認證可在所有 Compute Engine 機器類型上執行,包括自訂類型。但是,如果您在與 SAP NetWeaver 或 Application Server Central Services (ASCS) 相同的 VM 上執行 MaxDB,必須使用 SAP NetWeaver 支援的 VM。如需 SAP NetWeaver 支援的 VM 清單,請參閱 SAP NetWeaver 規劃指南。
如要瞭解 Google Cloud 中的所有可用機器類型及其用途,請參閱 Compute Engine 說明文件中的「機器類型」。
CPU 設定
您針對 MaxDB 選取的 vCPU 數取決於應用程式負載和效能目標。您應該至少為 SAP MaxDB 安裝分配兩個 vCPU。如要獲得最佳效能,請調整 vCPU 數以及永久磁碟的大小,直到符合效能目標為止。如要進一步瞭解 SAP 提供的 MaxDB 的資訊,請參閱 SAP 說明入口網站。
記憶體設定
分配給 SAP MaxDB 系統的記憶體取決於使用案例。最佳記憶體容量取決於查詢的複雜度、資料大小、使用的平行處理量,以及您期望的效能。
如要進一步瞭解 SAP 提供的 MaxDB 的資訊,請參閱 SAP 說明入口網站。
儲存空間設定
根據預設,每個 Compute Engine VM 都有一個包含作業系統的小型根永久磁碟。您可以針對資料庫資料、記錄或者資料庫備份佈建其他磁碟。
請使用高效能永久磁碟來儲存記錄檔磁碟區,並視效能目標而定,也將資料磁碟區儲存於永久磁碟。
如要進一步瞭解 SAP MaxDB 的永久磁碟選項,請參閱「永久磁碟」。
SAP 提供的詳細資訊:
支援的 SAP MaxDB 版本與功能
SAP MaxDB 7.9.09 版本與更新版本已通過 SAP 認證,可在Google Cloud上使用。
SAP 也認證了 Google Cloud中下列版本的 SAP liveCache 和 SAP Content Server:
- SAP liveCache 技術,至少為 SAP LC/LCAPPS 10.0 SP 39,包括 liveCache 7.9.09.09 和 LCA-Build 39 (針對 EhP 4 for SAP SCM 7.0 及更高版本發佈)。
- 使用 Internet Information Services 10 (IIS) 的 Windows 中的 SAP Content Server 6.50
- 使用 Apache Web Server 2.4.xx 的 Linux 中的 SAP Content Server 6.50
如要進一步瞭解支援的 liveCache 版本,請參閱 SAP 注意事項 2074842。
如要進一步瞭解Google Cloud支援的 SAP 產品,請參閱 SAP 注意事項 2456432 - Google Cloud上的 SAP 應用程式:支援的產品和 Google Cloud 機器類型。
支援的作業系統
您可以在 Google Cloud的下列作業系統上執行 SAP MaxDB:
- Red Hat Enterprise Linux (RHEL)
- SUSE Linux Enterprise Server (SLES)
- Windows Server
SAP 在 SAP 產品供應情形對照表中列出可搭配 MaxDB 使用的作業系統版本。
Compute Engine 提供 Linux 和 Windows 作業系統,做為包含 Google Cloud增強功能的公開映像檔。如要進一步瞭解 Compute Engine 映像檔,請參閱「映像檔」。
部署考量事項
地區與區域
在部署 VM 時,您必須選擇地區和區域。地區是指可供您執行資源的特定地理位置,並且會對應於一個資料中心位置。每個地區會有一或多個區域。
全球資源如預先設定的磁碟映像檔和磁碟快照,可以跨地區和區域存取。地區資源如靜態外部 IP 位址,只能由同個地區中的資源存取。區域資源 (例如 VM 和磁碟),只能由同個區域中的資源存取。
為您的 VM 選擇地區和區域時,請注意下列事項:
- 使用者和內部資源的位置,例如資料中心或公司網路的位置。如要縮短延遲時間,請選擇接近您的使用者和資源的位置。
- 其他 SAP 資源的位置。您的 SAP 應用程式和資料庫必須位於同個區域。
永久磁碟
永久磁碟是耐用的區塊儲存裝置,功能如同桌上型電腦或伺服器中的實體磁碟。
Compute Engine 提供不同類型的永久磁碟。每種類型的效能特性都不同。 Google Cloud會管理永久磁碟的基礎硬體,以確保資料備援並發揮最佳效能。
您可以使用下列任何一種 Compute Engine 永久磁碟類型:
- 標準永久磁碟 (
pd-standard
):採用 標準硬碟 (HDD) 的有效且經濟實惠的區塊儲存空間,可處理循序讀取/寫入作業,但並未針對處理每秒隨機輸入/輸出作業 (IOPS) 的高速率進行最佳化處理。 - SSD (
pd-ssd
):提供可靠且高效能的區塊儲存空間,並由固態硬碟 (SSD) 提供支援。 - 平衡 (
pd-balanced
):提供以 SSD 為基礎的區塊儲存空間,可提供經濟實惠且可靠的儲存空間。 - Extreme (
pd-extreme
):針對較大的 Compute Engine 機器類型,提供比pd-ssd
更高的最大 IOPS 和吞吐量選項。詳情請參閱「Extreme 永久磁碟」。
SSD 和平衡永久磁碟的效能會隨著大小自動調整,因此您可以調整現有永久磁碟的大小,或在 VM 中新增更多永久磁碟,以調整效能。
您使用的 VM 類型和其中包含的 vCPU 數量也會影響永久磁碟效能。
永久磁碟獨立於 VM,因此您可以中斷連接或移動永久磁碟,即使在刪除 VM 後,也能保留資料。
如要進一步瞭解不同類型的 Compute Engine 永久磁碟、其效能特性,以及如何使用這些磁碟,請參閱 Compute Engine 說明文件:
本機 SSD (非永久)
Google Cloud 也提供本機 SSD 硬碟。雖然本機 SSD 在某些方面的優勢勝過永久磁碟,但請勿將本機 SSD 當做 SAP MaxDB 系統的一部分使用。附加了本機 SSD 的 VM 執行個體無法停止然後再重新啟動。
NAT 閘道和防禦主機
如果您的安全政策要求真正的內部 VM,則必須在網路上手動設定 NAT Proxy 和對應的路徑,以便使 VM 連上網際網路。請特別注意,您無法使用 SSH 直接連線到完全內部的 VM 執行個體。如要連線到這類內部機器,您必須設定具有外部 IP 位址的防禦執行個體,然後再透過通道進行連線。當 VM 沒有外部 IP 位址時,只有網路上的其他 VM 或是透過代管 VPN 閘道才能存取這些 VM。您可以在網路中佈建 VM,將其做為傳入連線 (防禦主機) 或網路輸出 (NAT 閘道) 的信任轉送來源。如果是不需要設定這類連線的較透明化連線,您可以使用代管 VPN 閘道資源。
傳入連線使用防禦主機
防禦主機提供外部進入點,以進入包含私人網路 VM 的網路。這個主機可提供單一防禦或稽核點,您可啟動及停止該主機以啟用或停用來自網際網路的傳入 SSH 通訊。
您可以藉由先連線到防禦主機來讓 SSH 存取沒有外部 IP 位址的 VM。防禦主機的完整強化做法不在本指南的探討範圍內,但一些可執行的初始步驟包括:
- 限制可與防禦主機進行通訊的來源 IP 的 CIDR 範圍。
- 將防火牆規則設定為只允許來自防禦主機的私人 VM SSH 流量。
根據預設,VM 上的 SSH 會設定為使用私密金鑰進行驗證。使用防禦主機時,您可以先登入防禦主機,然後再登入目標私人 VM。由於採用了這種兩步驟登入機制,您應該透過 SSH 代理程式轉送來登入目標 VM,而不是將目標 VM 的私密金鑰儲存在防禦主機上。即使您將同一個金鑰組用於防禦主機和目標 VM,也必須這麼做,因為防禦主機只能直接存取金鑰組的公開部分。
使用 NAT 閘道輸出流量
當 VM 未分配到外部 IP 位址時,則無法直接連線到外部服務,包括其他 Google Cloud 服務。如要讓這些 VM 存取網際網路上的服務,您可以設定一個 NAT 閘道。NAT 閘道是一個可代替網路上任何其他 VM 轉送流量的 VM。您應該為每個網路都設定一個 NAT 閘道。但請注意,單一 VM NAT 閘道的可用性並不高,且無法支援多 VM 的高流量總處理量。如需設定 VM 做為 NAT 閘道的操作說明,請參閱 Linux 適用的 SAP MaxDB 部署指南或 Windows 適用的 SAP MaxDB 部署指南。
自訂映像檔
在系統開始運作後,您可以建立自訂映像檔。當您想要修改根永久磁碟的狀態,並希望能輕鬆復原新狀態時,您應該建立這些映像檔。並為其制定管理計畫。詳情請參閱「映像檔管理最佳做法」。
使用者身分識別和資源存取
規劃 Google Cloud上 SAP 部署的安全性時,您必須確認下列事項:
- 需要存取 Google Cloud 專案中Google Cloud 資源的使用者帳戶和應用程式
- 每位使用者需要存取的專案中特定 Google Cloud 資源
您必須將每位使用者的 Google 帳戶 ID 新增至專案,並將其設為實體。對於使用Google Cloud 資源的應用程式程式,您需要建立服務帳戶,為專案中的程式提供使用者身分。
Compute Engine VM 有各自的服務帳戶。只要 VM 服務帳戶具備應用程式所需的資源權限,在 VM 上執行的任何程式都可以使用 VM 服務帳戶。
找出每位使用者需要使用的 Google Cloud 資源後,您可以為使用者指派特定資源角色,授予使用者使用每項資源的權限。請查看 IAM 為每項資源提供的預先定義角色,並為每位使用者指派角色,只提供足夠的權限來完成使用者的任務或功能,不超過這個範圍。
如果您需要更精細或更嚴格的權限控管功能,而預先定義的 IAM 角色無法提供這類功能,您可以建立自訂角色。
如要進一步瞭解 SAP 程式在 Google Cloud上需要的 IAM 角色,請參閱「在 Google Cloud上管理 SAP 程式的身分和存取權」。
如要瞭解Google Cloud中的 SAP 身分與存取權管理總覽,請參閱「在 Google Cloud中管理 SAP 的使用者身分與存取權總覽」。
網路和網路安全性
在規劃網路和安全時,請考慮下列各節提供的資訊。
最低權限模式
保護系統安全的第一道防線是利用防火牆來限制誰可以存取您的網路和 VM。根據預設,所有通往 VM 的流量,即使是來自其他 VM,都會遭到防火牆封鎖,除非您建立允許存取的防火牆規則。如果預設網路由專案自動建立,且具有預設的防火牆規則,則不在此限。
透過建立防火牆規則,您可以將一組特定通訊埠上的所有流量限制在特定來源 IP 位址。您應依照最低權限模式將存取權限制在需要存取的特定 IP 位址、通訊協議和通訊埠。例如,您應該設定防禦主機,並且只允許 SSH 經由該主機進入您的 SAP NetWeaver 系統。
存取權管理
瞭解如何存取 Google Cloud 中的管理工作是您在規劃實作時的重點。您必須決定下列事項:
- 如何在 Google Cloud中整理資源。
- 哪些團隊成員可以存取及使用資源。
- 每個團隊成員可以擁有的權限。
- 哪些服務和應用程式需要使用哪些服務帳戶,以及您應該在各個情況下授予何種權限層級。
先從瞭解 Cloud Platform 資源階層著手。重點在於瞭解各種不同的資源容器和容器之間的關係,以及存取界線的劃定位置。
Identity and Access Management (IAM) 能讓您統一控管Google Cloud 資源的權限。您可以透過定義誰擁有何種資源存取權來管理存取權。例如,您可以控管誰可以在 SAP 執行個體上執行控制層作業,包括建立及修改 VM、永久磁碟和網路。
如要進一步瞭解身分與存取權管理 (IAM),請參閱身分與存取權管理總覽。
如需 Compute Engine 中的 IAM 總覽,請參閱「存取權控管選項」一節。
身分與存取權管理角色是為使用者授予權限的關鍵。如需角色及角色提供權限的參考資料,請參閱身分與存取權管理角色。
Google Cloud的服務帳戶為您提供了一種將權限授予應用程式和服務的方法。請務必瞭解服務帳戶如何與 Compute Engine 搭配使用。詳情請參閱「服務帳戶」。
自訂網路和防火牆規則
您可以使用網路來定義閘道 IP 以及與該網路連結的 VM 網路範圍。所有 Compute Engine 網路都使用 IPv4 通訊協定。每個 Google Cloud 專案都會提供具有預設設定和防火牆規則的預設網路,但您應依照最低權限模式新增自訂子網路和防火牆規則。根據預設,新建立的網路不具有防火牆規則,因此也沒有網路存取權。
根據您的需求,您可能會想新增額外的子網路以隔離網路的各個部分。詳情請參閱子網路說明。
防火牆規則會套用到整個網路及網路中的所有 VM。您可以新增防火牆規則,允許同個網路中及跨子網路的 VM 之間的流量。您還可以使用標記機制將防火牆套用到特定的目標 VM。
有些 SAP 產品,如 SAP NetWeaver,必須存取某些通訊埠。請務必新增防火牆規則以允許存取 SAP 要求存取的通訊埠。
路徑
路徑是與單個網路連結的全域資源。使用者建立的路徑會套用到網路中的所有 VM。這表示您可以新增一個無須透過外部 IP 位址,直接在同個網路及跨子網路中 VM 之間轉送流量的路徑。
如要存取外部的網際網路資源,請啟動一個不具外部 IP 位址的 VM,然後將另一個虛擬機器設為 NAT 閘道。使用此設定方法時,您必須另外將 NAT 閘道新增為 SAP 執行個體的路徑。詳情請參閱 NAT 閘道和防禦主機。
Cloud VPN
您可以利用 Cloud VPN,透過使用 IPsec 的 VPN 連線,安全地將現有網路連線到 Google Cloud 。在兩個網路之間傳輸的流量會由一個 VPN 閘道加密,然後由另一個 VPN 閘道解密,以確保您的資料在網際網路中傳輸時安全無虞。您可以使用路徑上的執行個體標記來動態控管哪些 VM 能經由 VPN 傳送流量。Cloud VPN 通道的計費方式為每月固定費率加上標準輸出費用。請注意,在同一個專案內連線兩個網路還是會產生標準輸出費用。詳情請參閱「Cloud VPN 總覽」和「建立 VPN」。
保護 Cloud Storage 值區安全
如要使用 Cloud Storage 來託管資料和記錄檔的備份,請務必在將資料從 VM 傳送到 Cloud Storage 時使用傳輸層安全標準 (TLS) (HTTPS),以保護傳輸資料的安全。Cloud Storage 會自動加密靜態資料。如果您有自己的金鑰管理系統,就可以自行指定加密金鑰。
相關安全文件
請參閱下列Google Cloud上適用於 SAP 環境的其他安全資源:
備份與還原
您必須制定計畫,以便在發生最糟糕的情況時將系統復原為可運作的狀態。如需使用 Google Cloud制定災難復原計畫的一般性指引,請參閱:
授權
本節提供授權需求的資訊。
SAP 授權
如要在 Google Cloud 上執行 SAP MaxDB,您必須自備授權 (BYOL)。如需詳細資訊,請參閱:
- SAP 注意事項 2446441 - Google Cloud Platform 上的 Linux (IaaS):採用您的 SAP 授權
- SAP 注意事項 2456953 - Google Cloud Platform 上的 Windows (IaaS):採用您的 SAP 授權
如要進一步瞭解 SAP 授權,請洽詢 SAP。
作業系統授權
在 Compute Engine 中,有兩種方法可以授權 SLES、RHEL 和 Windows Server:
「即付即用」授權方法,Compute Engine VM 的每小時費用已包含授權費。Google 會幫您管理授權後勤作業。雖然每小時的費用較高,但您可以視需求彈性調高或調低費用。這種授權方法是Google Cloud 公開映像檔 (包括 SLES、RHEL 和 Windows Server) 使用的授權模式。
自備授權方法,由於不含授權費,因此 Compute Engine VM 的費用較低。您必須移轉現有授權或自行購買授權,這表示您必須預繳費用,這種方法的彈性較低。
支援
如果是基礎架構或服務相關問題,請與客戶服務團隊聯絡。 Google Cloud 您可以在 Google Cloud 控制台的「支援總覽」頁面中找到聯絡資訊。如果客戶服務團隊判定問題出在 SAP 系統,就會將您轉介給 SAP 支援團隊。
如要進一步瞭解 SAP 產品相關問題,請使用 SAP 支援登錄您的支援要求。SAP 會評估支援票證,如確定為 Google Cloud基礎架構方面的問題,就會將票證轉移至系統中的適當Google Cloud 元件:BC-OP-LNX-GOOGLE
或 BC-OP-NT-GOOGLE
。
支援相關規定
您必須符合支援方案的最低需求,才能獲得 SAP 系統和Google Cloud基礎架構和服務的支援服務。
如要進一步瞭解Google Cloud上 SAP 的最低支援需求,請參閱:
- 取得 GCP 上的 SAP 支援 Google Cloud
- SAP 注意事項 2456406 - Google Cloud 平台上的 SAP:支援必要條件 (必須使用 SAP 使用者帳戶)
您也可以在 SAP 說明入口網站中瀏覽 SAP MaxDB 的相關資訊。
後續步驟
如要在 Linux 中部署 SAP MaxDB,請參閱 Linux 適用的 SAP MaxDB 部署指南。
如要在 Windows 中部署 SAP MaxDB,請參閱 Windows 適用的 SAP MaxDB 部署指南。