华为云用户手册

  • 责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
  • 产品优势 DDoS高防为软件高防服务,与成本相对较高的传统硬件高防相比,业务接入DDoS高防后即可防护,且可以查看DDoS高防的防护日志,了解当前业务的网络安全状态。 DDoS高防可以防护海量DDoS攻击,具备精准、弹性、高可靠、高可用等优势。 海量带宽 15T以上DDoS高防总体防御能力,单IP最高1000G防御能力,抵御各类网络层、应用层的DDoS攻击。 高可用服务 全自动检测和攻击策略匹配,实时防护;业务流量采用集群分发,性能高,时延低,稳定性好。 弹性防护 通过基础带宽+弹性带宽的购买方式,DDoS防护阈值支持弹性调整,可随时升级更高级别的防护。 专业运营团队 7*24小时运营团队随时应对;专业的运营人员随时解答您的疑问,为您的业务保驾护航。 父主题: DDoS高防
  • 应用场景 DDoS高防服务 的主要使用场景包括:娱乐(游戏)、金融、政府、电商、媒资、教育(在线)等行业: 娱乐(游戏) 娱乐(游戏)行业是DDoS攻击的重灾区,高防IP能保证游戏的可用性和持续性,提高用户体验,在商家活动、节日游戏等旺季时段提供防护。 金融 满足金融行业的合规性要求,保证线上交易的实时性、安全稳定性。 政府 满足国家政务云建设标准的安全需求,为重大会议、活动、敏感时期提供安全保障,确保民生服务正常可用,维护政府公信力。 电商 为用户访问互联网提供防护,使业务正常不中断,在电商大促等活动时段提供防护功能。 企业 保证企业站点服务持续可用,避免DDoS攻击造成经济和企业形象损失问题,降低维护费用,节省安全成本。 父主题: DDoS高防
  • 产品优势 DDoS原生高级防护为软件DDoS防护服务,与成本相对较高的传统硬件防护相比,可一键提升华为云E CS 、ELB、WAF、EIP等云服务的DDoS防御能力,具有以下优势: 快速接入 无需配置转发规则,快速接入服务即可直接提升华为云上EIP的防护能力。 DDoS原生高级防护-全力防高级版只能防护专属EIP。 弹性防护能力 遭受大规模攻击时自动调用当前区域华为云最大DDoS防护能力提供全力防护。 海量清洗带宽 拥有多线BGP防护带宽,轻松抵御DDoS攻击,可以满足活动大促、活动上线等重要业务的安全稳定性保障需求。 卓越清洗能力 全自动检测和攻击策略匹配,实时防护;业务流量采用集群分发,性能高,时延低,稳定性好。 丰富的防护报表 提供多维度统计报表,通过查看流量信息,了解当前网络安全状态。 父主题: DDoS原生高级防护
  • 应用场景 DDoS原生高级防护适用于部署在华为云服务上,且华为云服务有公网IP资源的业务,能够满足业务规模大、对网络质量要求高的用户。 DDoS原生高级防护适用于具有以下特征的业务: 业务部署在华为云服务上,且云服务能提供公网IP资源 业务带宽或QPS较大 例如,在线视频、直播等对业务带宽要求比较高的领域。 IPv6类型业务防护需求 华为云上公网IP资源较多 业务中大量端口、 域名 、IP需要DDoS攻击防护 父主题: DDoS原生高级防护
  • 产品优势 DDoS原生基础防护(Anti-DDoS流量清洗)为华为云用户提供DDoS攻击防护,其产品优势如下: 优质防护 实时监测,及时发现DDoS攻击,丢弃攻击流量,将正常流量转发至目标IP。 提供优质带宽,保证业务连续性和稳定性,保障用户访问速度。 全面精准 海量IP黑名单库,精准有效;七层过滤的手术刀式清洗机制,动态流量基线智能学习。 秒级响应 先进的逐包检测机制,各类攻击威胁秒级响应;强大的清洗设备性能,极低的清洗时延。 自动开启 本服务在购买EIP时自动开启防护,无需采购昂贵清洗设备,无需安装。 免费使用 本服务是免费服务,使用时不需要购买资源,不产生任何费用,用户可放心使用。 父主题: DDoS原生基础防护
  • 为什么需要黑洞策略? DDoS攻击不仅影响受害者,也会对华为云高防机房造成严重影响。而且DDoS防御需要成本,其中最大的成本就是带宽费用。 带宽是华为云向各运营商购买所得,运营商计算带宽费用时不会把DDoS攻击流量清洗掉,而是直接收取华为云的带宽费用。华为云DDoS原生基础防护(Anti-DDoS流量清洗)服务为用户提供免费的DDoS攻击防御能力,但是当攻击流量超出Anti-DDoS流量清洗阈值时,华为云会采取黑洞策略封堵IP。
  • 如何解除黑洞 当服务器(云主机)进入黑洞后,您可以参考表1进行处理。 表1 解除黑洞方式 DDoS防护版本 解封策略 解除方法 DDoS原生基础防护(Anti-DDoS流量清洗) 说明: DDoS原生基础防护无需购买,默认开启。 当云主机进入黑洞24小时后,黑洞会自动解封。 如果系统监控到攻击流量没有停止,依然超过限定的阈值时,IP会再次被黑洞封堵。 等待自动解封。 DDoS原生高级防护 黑洞解封时间默认为24小时。 等待自动解封。 DDoS高防 联系华为云技术支持提前解封。 建议提升弹性带宽规格避免再次封堵。 可以通过升级规格提升弹性防护带宽上限以提前解封黑洞。
  • 自助解封规则说明 购买了DDoS防护(DDoS原生高级防护)的用户,每个月将免费赠送三次自助解封配额,解封配额当月如果未用完将在月底清零。 对于同一防护IP,当日首次解封时间必须大于封堵时间30分钟以上才能解封。解封时间=2(n-1)*30分钟(n表示解封次数)。 例如,当日第一次解封需要封堵开始后30分钟,第二次解封需要封堵开始后60分钟,第三次解封需要封堵开始后120分钟。 对于同一防护IP,如果上次解封时间和本次封堵时间间隔小于30分钟,则本次解封时间的间隔=2n*30分钟(n表示解封次数)。 例如,该IP已解封过一次,上次解封时间为10:20,本次发生封堵时间为10:40,两者时间间隔小于30分钟,则本次需要封堵开始后120分钟才能解封,即12:40可以解封(本次发生封堵时间10:40后120分钟)。 如果您在30分钟内解封过其他任一IP,即使满足以上条件,也不能对该IP进行解封。 DDoS防护会根据风控自动调整自助解封次数和间隔时长。
  • 华为云能提供什么相关证据? 您的报案在网监部门立案后,华为云将配合网监部门提供以下协助: 华为云会配合网监部门,向网监负责人提供您在华为云平台上的业务的流量日志、遭受攻击信息等。 由于相关数据将作为法律证据,因此无法直接提供给您。您可以在华为云管理控制台中自行查看攻击流量的相关信息。 华为云不能对流量日志和攻击信息等进行分析,直接给出谁是攻击者的结论。 由于华为云不是法官,无法判定谁有罪;不具有执法权,不能进行立案调查;华为云只能作为证据的提供者和证人。 华为云会及时响应网监部门的协助调查要求,配合开展工作。 建议您在遭受安全攻击时,参考当地网监部门的立案调查标准,积极请求网警进行立案调查。 自主查看攻击流量的相关信息: 您可以在华为云管理控制台查看流量、攻击事件等。
  • 什么是DDoS攻击 拒绝服务(Denial of Service,简称DoS)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时,称为分布式拒绝服务攻击(Distributed Denial of Service Attack,简称DDoS)。常见DDoS攻击类型如表1所示。 表1 常见DDoS攻击类型 攻击类型 说明 举例 网络层攻击 通过大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。 NTP Flood攻击。 传输层攻击 通过占用服务器的连接池资源,达到拒绝服务的目的。 SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击。 会话层攻击 通过占用服务器的SSL会话资源,达到拒绝服务的目的。 SSL连接攻击。 应用层攻击 通过占用服务器的应用处理资源,极大消耗服务器处理性能,达到拒绝服务的目的。 HTTP Get Flood攻击、HTTP Post Flood攻击。 父主题: 了解DDoS攻击
  • 服务伙伴认证专职团队及人员认证里需要在哪里考取哪些证书? 专业认证证书: 云学堂考取; 入门级证书: HCIA/HCCDA证书; 工作级证书:HCIP/HCCDP证书。 HCIA/P证书在华为人才在线平台考取; HCCDA/P证书在华为云云学堂考取; HCSA、HCSP 证书在华为云云学堂考取; 专业认证需要考试 HCSA+HCSP证书。要求需要一个个人账号考取HCSA+HCSP证书(基于华为云构建客户的业务体系考试,华为云合作伙伴销售基础课程考试),一个账号考取HCSA+HCSP证书后才会显示为1个; 可以用HCIP代替HCIA,角色认证没有HCIA的话就传四个HCIP。 父主题: 服务合作伙伴发展路径
  • 关于系统预置的客户经理角色权限的说明 预置的客户经理角色的权限是固定的,不支持修改此角色的权限范围,有查询子客户消费记录的权限,没有代金券管理的权限的,也没有伙伴账单权限; 客户经理默认只能管理自己名下的客户,当同时分配客户经理角色和其他角色后,客户经理将能管理全部客户; 通过给子客户分配客户经理,来达到操作员账号对指定子客户信息查看等权限管控的目的,其他角色均不支持做类似的权限控制。 父主题: 组织成员
  • 安全云脑 的数据来源是什么? 安全云脑基于云上威胁数据和华为云服务采集的威胁数据,通过大数据挖掘和机器学习,分析并呈现威胁态势,并提供防护建议。 一方面采集全网流量数据,以及安全防护设备日志等信息,通过大数据智能AI分析采集的信息,呈现资产的安全状况,并生成相应的威胁告警。 另一方面汇聚主机安全服务(Host Security Service,HSS)、DDoS高防(Advanced Anti-DDoS,AAD)、 Web应用防火墙 (Web Application Firewall,WAF)等安全防护服务上报的告警数据,从中获取必要的安全事件记录,进行大数据挖掘和机器学习,智能AI分析并识别出攻击和入侵,帮助用户了解攻击和入侵过程,并提供相关的防护措施建议。 安全云脑通过对多方面的安全数据的分析,为安全事件的处置决策提供依据,实时呈现完整的全网攻击态势。 接入数据详细操作请参见接入数据。 父主题: 产品咨询
  • 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单,如果发现暴力破解主机的行为,对发起攻击的源IP进行拦截,并上报告警事件。 当接收到来源于HSS的告警事件时,请登录HSS管理控制台确认并处理告警事件。 如果您的主机被爆破成功,检测到入侵者成功登录主机,账户下所有云服务器可能已被植入恶意程序,建议参考如下措施,立即处理告警事件,避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户,排查可疑账户并处理。 请及时执行恶意程序云查杀,排查系统恶意程序。 如果您的主机被暴力破解,攻击源IP被HSS拦截,请参考如下措施,加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统,全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。 详情请参见HSS如何处理账户暴力破解事件?。
  • AppStage运维中心首页介绍 AppStage运维中心首页如图2所示。 图2 运维中心首页 AppStage运维中心首页各模块功能如表1所示。 表1 首页功能说明 编号 功能区域 说明 1 顶部导航栏 :服务列表按钮,在服务列表可切换运维中心提供的服务。 AppStage:单击可访问AppStage首页。 运维中心:单击可切换至运维中心首页。 服务:可切换服务,即在AppStage页面创建的产品及服务。 EN/简体:可切换语言。 2 个人账号信息管理 审计日志:可查看登录账号在运维中心的所有操作日志,产品管理员可查看对应产品的所有操作日志。 我的信息:可以查看个人信息和已拥有的权限,也可以进行权限申请。 文档中心:可进入查看运维中心文档帮助。 工单管理:支持变更单与事件单的管理,具体介绍请参见管理运维中心工单。 服务环境配置:可以录入公有云账号、配置企业项目以及进行环境管理,具体介绍请参见配置服务环境。 租户管理:“我的租户”页面可以查看在业务控制台创建的组织(租户)、产品、服务和微服务信息。“订阅信息”页面可以查看已订阅的服务信息。“ WeLink 对接”页面可以配置对接的华为云Welink信息,对接后可以使用WeLink公众号收取监控服务的告警及事件通知,具体操作请参见运维中心对接华为云WeLink。 退出登录:退出当前登录账号。 3 运维接入一站式地图 按照指引完成运维接入,将华为云VPC、ECS、CCE等接入运维中心进行运维管理,具体操作请参见将资源接入AppStage运维中心。 4 运维常用功能 提供运维常用功能入口,可单击快速访问。 5 最近访问 展示最近访问的服务,可单击快速访问。 6 帮助文档 查看运维中心帮助文档。
  • AppStage运维中心使用前准备 使用AppStage运维中心前,需要先准备如表1所示内容。 表1 准备事项 准备事项 说明 购买AppStage运维中心 首次使用需要先购买运维中心专业版,具体操作请参见购买AppStage。 配置服务授权 购买运维中心后,系统将自动识别并弹框提示进行服务授权,同意服务授权后,AppStage将在 统一身份认证 服务 IAM 中为账号创建名称为appstage_admin_agency的委托。 关联组织 首次购买AppStage后,其账号需创建并关联使用AppStage的组织(仅可关联一个组织),才能使用AppStage服务及后续购买AppStage相关产品套餐或增量包等,具体操作请参见关联组织。关联组织完成后,该华为账号会自动成为组织管理员,拥有该组织的所有管理权限,同时可以审批其他用户的组织管理员角色权限申请。 添加部门/成员信息 为已关联的组织添加部门及成员,完善组织架构,具体操作请参见管理已关联组织的部门及成员。 录入产品/服务/微服务信息 企业资源接入AppStage前,需要先将企业产品/服务/微服务信息录入AppStage系统中,信息录入成功后,AppStage将同步产品/服务/微服务信息至运维中心,具体操作请参见管理产品与服务。 申请权限 已添加成员在使用运维中心前需要先申请运维中心权限,具体操作请参见申请权限。 说明: 运维中心操作指导基于已获取服务研发岗位权限进行介绍,如果部分具体功能需要其他权限会单独说明。
  • 软件仓库包类型介绍 AppStage运维中心支持对软件包、部署包、镜像包、SQL包等进行集中管理,用于升级变更服务的虚拟机。软件仓库不同软件包的说明如表1所示。 同时支持将镜像仓SWR(SoftWare Repository for Container)进行统一管理,可以绑定使用镜像仓中的镜像用于服务的容器升级变更,具体操作请参见录入并绑定华为云镜像仓SWR。 表1 包类型说明 包类型 说明 传包方式 使用方式 打包规范 软件包 应用软件包,可使用虚拟机部署和容器部署,一般用于虚拟机部署,包括软件包(虚拟机部署使用)、测试用例包、函数包(函数部署使用)。 使用开发中心推包/上传软件包 在IaC代码中定义需要使用的软件包,通过IaC变更完成应用部署。 软件包 部署包 用户部署虚拟机时使用的脚本包(playbook文件)。 运维中心发布/使用开发中心推包/上传部署包 使用部署包创建模板,根据模板创建虚拟机部署的变更任务,实现使用部署脚本完成软件的自动化部署。 部署包 镜像包 用户容器部署时使用的Docker的容器镜像包。 使用开发中心推包 在IaC代码中定义需要使用的镜像包,通过IaC变更完成容器化部署。 镜像包 SQL包 执行SQL变更的DDL、DML数据库脚本。 使用开发中心推包/上传SQL包 在WiseDBA中使用SQL包进行SQL变更,对数据库或数据库数据进行增删改查的操作。 SQL包 IaC 3.0包 描述IaC 3.0变更的执行过程及资源配置信息。 使用开发中心推包/上传IaC 3.0包 在变更环境部署应用时选择IaC包,完成资源配置及环境变更。 IaC 3.0包 Terraform包 描述Terraform引擎变更的执行过程及资源配置信息。 使用开发中心推包 在Terraform引擎的实例列表中使用代码包创建变更计划,完成资源配置及环境变更。 Terraform包 TF模板包 对接华为云 RFS 的模板包,包含package.json、main.tf、variables.tf,其中main.tf文件是一个HCL语法文本描述文件,用于定义需要创建的云服务资源。 上传TF模板包 使用TF模板包创建资源栈,并使用资源栈完成资源部署,具体操作请参见使用TF模板包创建并部署资源。 TF模板包 父主题: AppStage软件仓库全局管理
  • 支持采集的Windows主机监控指标 当前支持采集的监控指标如表2所示。 表2 Windows主机监控指标说明 指标名称 指标含义 取值范围 单位 ops_node_cpu_usage 该指标用于统计测量对象的CPU使用率。 0~100% 百分比(Percent) ops_node_cpu_limit_core 该指标用于统计测量对象申请的CPU核总量。 ≥1 核(Core) ops_node_cpu_used_core 该指标用于统计测量对象已经使用的CPU核个数。 ≥0 核(Core) ops_node_disk_capacity_megabytes 总的磁盘空间容量。 ≥0 兆字节(Megabytes) ops_node_disk_available_capacity_megabytes 还未经使用的磁盘空间。 ≥0 兆字节(Megabytes) ops_node_disk_usage 已使用的磁盘空间占总的磁盘空间容量百分比。 ≥0 百分比(Percent) ops_node_virtual_memory_total_megabytes 该指标用于统计测量对象上的虚拟内存总量。 ≥0 兆字节(Megabytes) ops_node_virtual_memory_usage 该指标用于统计测量对象已使用虚拟内存占虚拟内存总量的百分比。 0~100% 百分比(Percent) ops_node_memory_total_megabytes 该指标用于统计测量申请的物理内存总量。 ≥0 兆字节(Megabytes) ops_node_virtual_memory_free_megabytes 该指标用于统计测量对象上的尚未被使用的虚拟内存。 ≥0 兆字节(Megabytes) ops_node_memory_free_megabytes 该指标用于统计测量对象上的尚未被使用的物理内存。 ≥0 兆字节(Megabytes) ops_node_memory_usage 该指标用于统计测量对象已使用内存占申请物理内存总量的百分比。 0~100% 百分比(Percent) ops_node_process_number 该指标用于统计测量对象上的进程数量。 ≥0 无 ops_node_network_receive_bytes 该指标用于统计测试对象的入方向网络流速。 ≥0 字节/秒(Bytes/Second) ops_node_network_receive_packets 每秒网卡接收的数据包个数。 ≥0 个/秒(Packets/Second) ops_node_network_receive_error_packets 每秒网卡接收的错误包个数。 ≥0 个/秒(Packets/Second) ops_node_network_transmit_bytes 该指标用于统计测试对象的出方向网络流速。 ≥0 字节/秒(Bytes/Second) ops_node_network_transmit_packets 每秒网卡发送的数据包个数。 ≥0 个/秒(Packets/Second) ops_node_network_transmit_error_packets 每秒网卡发送的错误包个数。 ≥0 个/秒(Packets/Second) ops_node_network_total_bytes 该指标用于统计测试对象出方向和入方向的网络流速之和。 ≥0 字节/秒(Bytes/Second) ops_node_network_total_packets 每秒网卡处理的数据包个数。 ≥0 个/秒(Packets/Second) ops_node_disk_read_kilobytes 该指标用于统计每秒从磁盘读出的数据量。 ≥0 千字节/秒(Kilobytes/Second) ops_node_disk_write_kilobytes 该指标用于统计每秒写入磁盘的数据量。 ≥0 千字节/秒(Kilobytes/Second) ops_node_disk_read_io_num 该指标用于统计每秒从磁盘读的次数。 ≥0 个/秒(Packets/Second) ops_node_disk_write_io_num 该指标用于统计每秒向磁盘写的次数。 ≥0 个/秒(Packets/Second) ops_node_disk_kilobytes 该指标用于统计每秒磁盘的IO数据量。 ≥0 千字节/秒(Kilobytes/Second) ops_node_disk_util 该指标用于统计磁盘使用时间。 ≥0 百分比(Percent)
  • 云端高可用的优势 许多企业已经在公有云上部署了SAP HANA系统来运行它们的业务,为了保障SAP业务的连续性,SAP解决方案所提供的高可用(HA)和容灾(DR)方案是这些企业选择云上部署的重要因素。除了SAP软件本身提供的高可用机制外,公有云自身的高可用与容灾方案进一步加强了包括SAP在内的许多应用程序的高可用性,云端高可用跟传统高可用相比,有如下的优点: 敏捷性:在云端部署高可用系统,通过成熟的解决方案,能够快速有效的部署系统。但是使用传统的服务器,还需要采购硬件,完成硬件规划,委托可靠性工程师及应用工程师配合搭建高可用系统。 灵活扩展:通过云端的高可用系统,可以根据系统的压力及实施的系统访问情况,进行动态地扩展,以满足系统性能的需求。而传统的高可用系统架构已经固定,不容易实现动态地扩展。 运维:云端高可用系统不需要租户自己维护,在云端由服务提供商维护。传统的高可用需要建立本地的运维团队。 可靠性:云端高可用可以根据租户的需求,部署在不同的地区,以实现跨区域的高可用性,满足系统的安全。 成本:云端高可用相比于传统高可用,省去较多硬件的成本,节约很大的支出。
  • 场景1:AZ内部署SAP HANA高可用(SR sync + Preload on + Suse HAE)和跨AZ部署SAP HANA灾备(SR async + Preload on) 场景 在同一可用区(AZ)内,部署SAP HANA冗余节点,并配置SAP HANA自带的System Replication功能,配置Suse HAE可以实现高可用自动切换。在另一个可用区内,部署SAP HANA冗余节点,并配置Multitier System Replication,实现跨AZ容灾。该场景一般应用于SAP HANA单节点部署。 部署方案 AZ内SAP HANA高可用和跨AZ SAP HANA灾备部署方案如图1所示。 图1 AZ内SAP HANA高可用和跨AZ SAP HANA灾备
  • 场景2:AZ内部署SAP HANA高可用(SR sync + Preload on + Suse HAE)和跨Region部署SAP HANA灾备(SR async + Preload on) 场景 在同一可用区(AZ)内,部署SAP HANA冗余节点,并配置SAP HANA自带的System Replication功能,配置Suse HAE可以实现高可用自动切换。在另一个区域(Region)的可用区内,部署SAP HANA冗余节点,并配置Multitier System Replication,实现跨Region容灾。该场景一般应用于SAP HANA单节点部署。 部署方案 AZ内SAP HANA高可用和跨Region SAP HANA灾备部署方案如图2所示。 图2 AZ内SAP HANA高可用和跨Region SAP HANA灾备
  • 场景3:跨AZ部署SAP HANA高可用(SR sync + Preload on + Suse HAE)和跨Region部署SAP HANA容灾(SR async + Preload on) 场景 在同一区域(Region)的不同可用区(AZ)内,部署SAP HANA冗余节点,并配置SAP HANA自带的System Replication功能,配置Suse HAE可以实现跨AZ高可用自动切换。在另一个区域(Region)的可用区内,部署SAP HANA冗余节点,并配置Multitier System Replication,实现跨Region容灾。该场景一般应用于SAP HANA单节点部署。 部署方案 跨AZ部署SAP HANA高可用和跨Region部署SAP HANA容灾部署方案如图3所示。 图3 跨AZSAP HANA高可用和跨Region SAP HANA容灾
  • 扩展场景1: SAP HANA灾备(System Replication + Preload off + DEV/QAS) 公有云支持SAP HANA灾备,跨可用区部署SAP HANA冗余节点,并配置软件本身自带的System Replication实现数据复制,从而实现SAP HANA跨可用区灾备,同时关闭数据预加载功能,将备机节点用于非生产部署。 关闭System Replication中的Preload功能,此时备机只需要保留少部分资源(10%)用于接受主机的数据同步,同时可在备机上部署非生产系统。 按照SAP的最佳实践,备机上的非生产系统须挂载额外的存储资源,以避免备机切换后对生产系统的影响。 在系统切换时,需要先关闭备机上的非生产系统,保证备机的资源,之后手工触发切换。 方案优势 公有云VPC支持跨可用区部署,可以保证SAP HANA备机部署在同一个子网段内。网络不需要额外的配置。充分利用冗余资源,降低整体成本。 部署方案 部署方案如图2所示。 图2 SAP HANA灾备(System Replication + Preload off + DEV/QAS)
  • 场景 公有云支持SAP HANA灾备,跨可用区部署SAP HANA冗余节点,并配置SAP HANA自带的System Replication实现数据复制,从而实现SAP HANA跨可用区灾备。 根据可用区之间的网络状况,用户可选择数据同步的模式(同步/异步),以满足不同的RPO要求。 此时可选择打开或者关闭Preload功能,在Preload关闭状态下,备机资源可用于部署非生产系统(详见扩展场景1)。
  • 更多文档资源 为了保证SAP系统安装在公有云平台满足SAP支持要求的一致,建议首先参考标准的SAP文档和notes,如表1和表2所示。 表1 SAP帮助文档 描述 链接 SAP HANA管理员手册 SAP HANA Administration Guide SAP HANA System Replication搭建 Setting Up SAP HANA System Replication SAP HANA System Replication配置 Configuring SAP HANA System Replication SAP HANA System Replication监控 Monitoring SAP HANA System Replication SAP HANA System Replication Multitier SAP HANA Multitier System Replication SAP HANA System Replication操作 How to Perform System Replication for SAP HANA SAP HANA Replication详细介绍 SAP HANA System Replication Details 表2 SAP相关notes 描述 Note 链接 FAQ 1999880 FAQ: SAP HANA System Replication 配置说明 2369981 Required configuration steps for authentication with HANA System Replication 网络配置说明 1876398 Network configuration for System Replication in SAP HANA
  • 修订记录 修订记录 发布日期 进行了以下变更: 增加SAP HANA原生高可用场景描述。 2019-06-12 进行了以下变更: 增加跨Region容灾场景。 增加跨AZ HA场景。 2018-05-23 进行了以下变更: 删除了云硬盘备份的内容。 2018-02-25 第一次正式发布。 2018-02-01 修订记录 发布日期 第一次正式发布。 2018-04-20 修订记录 发布日期 进行了以下变更: 增加SAP HANA原生高可用场景描述。 2019-06-12 第一次正式发布。 2018-11-30
  • 场景对比 表1 场景总结及对比 场景 部署 适用范围 建议SAP应用场景 SAP HANA云弹性主机自动恢复 本地部署,高可用场景 单节点/集群 非生产场景(开发,测试,培训,沙箱...) SAP HANA集群高可用 (Host Auto-Failover) 本地部署,高可用场景 集群 生产场景 SAP HANA高可用 (SR + Preload on+ Suse HAE ) 本地部署,高可用场景 单节点/集群 生产场景 SAP HANA高可用 (SR + Preload off) 本地部署,高可用场景 单节点/集群 生产场景 + 非生产场景 SAP HANA灾备 (System Replication) 跨可用区部署,灾备场景 单节点/集群 生产场景 + 非生产场景 SAP HANA线上线下灾备 (System Replication) 跨区域部署,灾备场景 单节点/集群 生产场景 CSBS应用一致性备份恢复 跨可用区部署,灾备场景 单节点 非生产场景(开发,测试,培训,沙箱...)
  • 系统复制(HANA System Replication) SAP HANA系统复制(HANA System Replication,简称HSR)是SAP HANA提供的高可用和容灾解决方案,此方案需要创建备份系统(Secondary System),它会持续地从主系统(Primary System)同步数据和事务日志,一旦主系统出现灾难性的故障,我们就可以启用备份系统来代替主系统。此外,根据您对于恢复时间目标(RTO)和数据库的恢复点目标(RPO)的不同要求,HSR允许您有完全多种不同的设置,更多详细信息请参见SAP的官方文档 How to Perform System Replication for SAP HANA。
  • SAP HANA备份与恢复 虽然SAP HANA是内存数据库,但所有数据的修改都会被保存在持久存储系统中,因此即使遇到例如突然的停电导致停机,SAP HANA也能够恢复数据并确保数据不丢失。此外,为了在灾难发生后能够恢复数据,我们还必须定期将持久存储系统中的数据和数据库日志备份到远端,例如OBS桶中。关于SAP HANA数据库更多的备份和恢复细节,请参见SAP官方文档 Backup and Recovery - SAP HANA。
共100000条