华为云用户手册

华为技术支持通道安全方案 图1 华为技术支持通道安全方案 如涉及华为技术人员场景，需要单独部署华为技术人员专用 堡垒机 ，保障运维通道安全，方案详见图1 华为技术支持通道安全方案。 该方案与企业内部堡垒机对比有如下几点区别： 华为专用堡垒机需配置双网卡，分别属于PRD管理区与DEV管理区。 华为专用堡垒机需配置一个EIP，以便华为技术人员接入。 由于华为专用堡垒机需Internet可访问，EIP绑定的网卡所属的子网需增加网络ACL入站策略，出站策略无需变动，放通Internet对专用堡垒的访问。 以EIP网卡属于DEV-管理区子网为例，增加如下入站ACL策略： 本节中提到的IP地址及端口号仅为示例。如有特殊情况，需新增临时策略放通其它源IP。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对华为技术人员 2.2.2.0/24 TCP 8443 允许 允许华为技术支持人员(固定源IP范围)中的管理员访问专用堡垒机。

安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示，网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网，对于由IDC发起的对生产环境的入方向策略(管理员)，可限制能够访问管理区主机的22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例。管理员也可设置具备End Uesr角色相应的策略，使管理员可访问开发测试环境业务端口。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a TCP 22 允许 允许客户数据中心某子网-a中的管理员访问开发测试环境管理区的VM。 对管理员 客户数据中心某子网-a TCP 3389 允许 允许客户数据中心某子网-a中的管理员访问开发测试环境管理区的VM。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表2 网络ACL“NACL-DEV-MGMT”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 1 0.0.0.0/0 ANY ANY 允许 对于由管理区发起的出方向流量不做限制。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 安全组策略请见2.1节中相关内容。

安全评估 对于Web站点及关键主机，建议定期进行安全评估(安全体检服务-专业安全评估)，以及时发现、规避安全风险。 服务测试范围包括： 网站类：SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类：远程 漏洞扫描 、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核，引导专业机构提高服务质量，给客户更佳的用户体验。 提供准确的漏洞信息和对应的修复建议，并可为用户定制整体安全解决方案，帮助用户构筑完善的安全防御机制。

网站监控 非法篡改监控(监测网页篡改行为，特别是一些越权篡改、暗链篡改等)。 坏链检测（如链接目的页面已经删除或转移;网站搬家导致链接无效，设置静态链接导致原内文章链接地址无法访问等）。 脆弱性检测（SQL注入、XSS跨站、文件包含、敏感信息泄露、任意文件下载等）。 可用性检测（通过全国多地监测和DNS解析监测监控网站的可用性）。 对外服务开放监测（定期对网站开放服务进行扫描，检测是否开放多余服务）。 敏感内容审计（定期对网站内容进行检测，对出现敏感内容页面进行告警）。 协同预警（协同技术小组根据最新漏洞与威胁跟踪结果提供预警）。

安全评估 对于Web站点及关键主机，建议定期进行安全评估(安全体检服务-专业安全评估)，以及时发现、规避安全风险。 服务测试范围包括： 网站类：SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类：远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核，引导专业机构提高服务质量，给客户更佳的用户体验。 提供准确的漏洞信息和对应的修复建议，并可为用户定制整体安全解决方案，帮助用户构筑完善的安全防御机制。

网站监控 非法篡改监控(监测网页篡改行为，特别是一些越权篡改、暗链篡改等)。 坏链检测（如链接目的页面已经删除或转移，网站搬家导致链接无效，设置静态链接导致原内文章链接地址无法访问等）。 脆弱性检测（SQL注入、XSS跨站、文件包含、敏感信息泄露、任意文件下载等）。 可用性检测（通过全国多地监测和DNS解析监测监控网站的可用性）。 对外服务开放监测（定期对网站开放服务进行扫描，检测是否开放多余服务）。 敏感内容审计（定期对网站内容进行检测，对出现敏感内容页面进行告警）。 协同预警（协同技术小组根据最新漏洞与威胁跟踪结果提供预警）。

安全服务 Anti-DDoS 根据业务特点，由于生产环境有公网访问需求，需要针对SAP Router、SRM、Hybrids服务器部署Anti-DDoS防护，推荐使用华为云Anti-DDoS流量清洗服务，对相应的EIP进行DDoS防护。 Web应用防火墙 -WAF 根据业务特点，由于生产环境需向互联网提供Web应用服务，需要部署Web应用防火墙，应对诸如OWASP TOP10 Web攻击，推荐华为云Web应用防火墙服务，创建WAF实例防护相应EIP/ELB。 虚拟下一代防火墙-vNGFW 根据业务特点，SAP Router会提供给第三方使用并接入内部系统，开发测试环境SRM/Hybrids会对外方开放用于模拟测试。以上入口均面临网络攻击入侵风险，建议部署虚拟下一代防火墙对后端进行防护。

安全策略 由于开发环境同时需要与企业内部通信，还需提供互联网的业务访问，综合考虑通过网络ACL进行相应的访问控制策略。 网络ACL “NACL-DMZ-SAP-Router”关联生产环境相应子网，需严格控制互联网访问的入方向策略，限制特定外网网段能够访问特定的[IP]:[PORT]。 本节中提到的IP地址及端口号仅为示例，如公网IP不固定的场景，可根据业务需要(如技术支持)，临时放通特定源IP，相应事务完成后删除策略。如有其它业务流，可根据实际情况增加策略。 表1 网络ACL“NACL-DMZ-SAP-Router” 出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的入站数据流。 表2 网络ACL“NACL-DMZ-SAP-Router”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对SAP技术支持人员，SAP GU/软件服务器I等 123.123.123.0/24 TCP 3299 允许 允许互联网SAP技术支持人员(特定源IP)，SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router，进而访问后端业务。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 网络ACL “NACL-PRD-DMZ”关联生产环境相应子网，需严格控制互联网/IDC访问的入方向策略，限制外部网络仅能访问开发测试环境特定的[IP]:[PORT]。 表3 网络ACL“NACL-PRD-DMZ”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对AD/ADFS服务器 IDC-AD/ADFS网络 TCP AD/ADF端口 允许 允许与IDC内部AD/ADFS服务器进行对接。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表4 网络ACL“NACL-PRD-DMZ”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对Internet用户 0.0.0.0/0 TCP 80 允许 允许互联网用户、IDC内部用户，访问生产环境中的WEB服务。 对Internet用户 0.0.0.0/0 TCP 443 允许 允许互联网用户、IDC内部用户，访问生产环境中的WEB服务。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 网络ACL “NACL-PRD-APP”关联生产环境相应子网，需严格控制IDC访问的入方向策略，限制特定IDC网络仅能访问开发测试环境特定的[IP]:[PORT]，出方向策略同上。 表5 网络ACL“NACL-PRD-APP”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对AD/ADFS服务器 IDC-AD/ADFS网络 TCP AD/ADF端口 允许 允许与IDC内部AD/ADFS服务器进行对接。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表6 网络ACL“NACL-PRD-APP”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对IDC内部用户、顾问。 客户数据中心某子网-b TCP 8080 允许 允许客户数据中心某子网-b中的内部用户、顾问，访问生产环境中的应用区8080业务端口。 对IDC内部用户、顾问。 客户数据中心某子网-b TCP 8443 允许 允许客户数据中心某子网-b中的内部用户、顾问，访问生产环境中的应用区8443业务端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 对于网络ACL “NACL-PRD-SAPDB-BUSI/INTERNEL”，由于无与外部网络交互需求，只需根据1.1节设置内部访问控制策略即可。 安全组策略请见2.1节中相关内容。

安全策略 如图1 开发测试环境网络ACL分布图所示，网络ACL“NACL-DEV-APP”关联开发测试环境子相应网，需严格按照最小化的原则控制访问生产环境的出方向策略，限制其仅能访问生产环境中特定的[IP]:[PORT]；对于由生产环境发起的对开发测试环境的入方向策略，这里可以根据实际情况设置稍弱的访问控制策略。 强的、安全性高的、复杂的访问控制策略，会一定程度增加部署配置及运维成本，可以根据企业自身情况适当减少策略。 图1 开发测试环境网络ACL分布图 与生产环境边界的策略主要包括对PRD-DMZ区、对PRD-应用区、对PRD-DB区的策略，详细请参考下方表1 网络ACL“NACL-DEV-APP”出方向与表2。 本节中提到的IP地址及端口号仅为示例，如有其它业务流，可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。 表1 网络ACL“NACL-DEV-APP”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对PRD-DMZ区 172.22.7.0/24 TCP 1433 允许 允许测试环境子网中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。 对PRD-应用区 172.22.8.0/24 TCP 2433 允许 允许测试环境子网中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。 对PRD-DB区 172.22.9.0/24 TCP 3443 允许 允许测试环境子网中的 VM访问生产环境PRD-DB区中服务器3443端口进行软件/代码推送更新。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的入站数据流。 表2 网络ACL“NACL-DEV-APP”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对PRD-DMZ区 172.22.7.0/24 TCP ANY 允许 允许生产环境PRD-DMZ区中的 VM访问本区域中服务器任意TCP端口。 对PRD-应用区 172.22.8.0/24 TCP ANY 允许 允许生产环境PRD-应用区中的 VM访问本区域中服务器任意TCP端口。 对PRD-DB区 172.22.9.0/24 TCP ANY 允许 允许生产环境PRD-DB区中的 VM访问本区域中服务器任意TCP端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 安全组策略请见2.1节中相关内容。

重复数据删除管理 随着HANA数据快速增长，以及企业要求备份和恢复的时间点越来越多，保存数据的成本也变得越来越严重。研究发现，SAP HANA备份数据中的数据中高达60%是冗余的，重复率很高，随着时间的推移，重复数据越来越多。为了缓解存储系统的空间增长问题，缩减数据占用空间、降低成本，最大程度地利用已有资源，重复数据删除已成为存储领域一个热门的技术。一方面，利用重复数据删除技术可以对存储空间的利用率进行优化，消除分布在存储系统中的相同文件或者数据块。另一方面，利用重复数据删除技术可以减少在网络中传输的数据量，进而降低能量消耗和网络成本，并为数据复制大量节省网络带宽。 Commvault将源端和目标端重复数据删除功能完全集成到统一数据管理平台中，在将备份数据通过网络发送到服务器和存储器之前，先在源端进行重复数据删除，以消除冗余的数据。Commvault重复数据删除，实现了更短的备份窗口、更低网络带宽占用、更低的存储成本以及更可靠的数据保护。 Commvault采用基于数据块级别的重复数据删除技术，利用SHA 512 (Secure Hash Algorithm)算法来比对数据块是否重复，SHA512是目前为止最为安全的散列算法。Commvault具有内容感知功能，智能切割备份/归档数据块，快速识别备份/归档数据中的相同数据块，并确保相同数据块在存储设备上只保留一次。 Commvault去重主要由MediaAgent来负责管理，MediaAgent管理3个部分： 去重数据库 去重数据用来比对数据块的哈希值，去重数据库的性能，会影响重复数据删除的性能。建议采用高IO磁盘存储，例如：华为云中的超高IO云硬盘。 备份/归档索引 记录数据块的逻辑与物理位置信息，通过索引，可以知道一个数据文件由那些数据块所组成，要利用索引来进行数据恢复，数据恢复并不需要访问去重数据库。建议采用高IO磁盘存储，例如：华为云中的超高IO云硬盘。 去重数据存储空间 用于存放去重的物理数据块，通常是大容量的通用磁盘存储，可以是 云存储 、DAS、SAN或NAS磁盘存储设备。云中建议采用S3存储，如：华为云中的 对象存储服务 OBS。 Commvault的DDB数据库是MemDB（主存数据库）。MemDB能提供更高的性能，但MemDB最好存放在SSD磁盘上或其他高速磁盘上。一个DDB数据库，可根据用户的环境，选择不同的配置，具体如表3所示。 表3 DDB数据库配置 规模 前端容量 DDB数据库 后端容量 并发流数 Xsmall 5 TB~15 TB 200 GB 25 TB 25 Small 10 TB~30 TB 400 GB 50 TB 50 Medium 30 TB~60 TB 600 GB 75 TB 100 Large 60 TB~125 TB 1.2 TB 150 TB 200 Xlarge 110 TB~150 TB 2 TB 250 TB 300

Storage Accelerator 客户端计算机将数据备份到云存储时，软件将通过MediaAgent路由数据。因此，客户端计算机首先将数据发送给MediaAgent，然后MediaAgent将数据发送给云存储库。使用客户端存储加速器“Storage Accelerator”可以加快备份过程，直接将数据发送到配置的云存储库，具体如图5所示。 对于运行在云中的SAP HANA系统，这是一个非常有用的特性。对于大型单节点HANA系统，它允许从集中的介质管理服务器分流数据流，对于多节点HANA系统，随着节点数量的增加，它提供接近线性的可伸缩性。 图5 Storage Accelerator备份流程

SAP HANA数据库备份及恢复策略 对SAP HANA数据库可以进行全备份、增量备份、差量备份和日志备份。备份策略可按图3进行编排。 图3 备份策略 全备份 全备份是备份数据库数据卷上的所有数据，一般放在周末进行，对系统影响比较小。 增量备份 增量备份收集了上次任何备份后的数据，在一天当中可以进行多次增量备份，比如可以在早上、中午、晚上结算前进行增量备份。 差量备份 差量备份收集了上次全备份后的变化数据，一般在每天晚上结算后进行。 日志备份 对数据卷的备份可以是手动或按备份计划进行，而日志的备份都是自动进行的，默认情况下，每15分钟做一次日志备份，当然备份的频率是可根据用户的需求进行调整的。 日志备份非常重要，如果持久性存储上的日志不备份，日志是不能被删除的，大量的日志会把日志存储区填满，导致数据库被锁起来。 Commvault在SP16以后默认情况下，SAP HANA代理将所有数据库服务中的日志文件备份为每6小时一次持久日志备份作业。可以集中持续的将所有服务的日志统一备份，减少备份作业的数量。 可以利用备份，把SAP HANA数据库恢复到某一个时间点，恢复的次序是： 恢复最后全备份。 恢复最后差量备份。 恢复接下来的所有增量备份。 恢复接下来的日志备份。 恢复到最新：如果Log区中的日志没有丢失，数据将没有损失。 恢复到指定的时间点：逻辑错误会导致最新数据是不正确的，因此需要恢复到以前某一个时间点。 在图4中，恢复一个全备份，最近的差量备份（D3）和最新的一个增量备份（I4），再进行一个日志前滚操作，就能完成数据的最新恢复。 图4 数据恢复

多副本管理 利用Commvault平台能轻松实现多副本管理，比如做D2C2C备份，或D2C2T备份。把备份副本复制到云存储或本地数据中心的磁带库上。 Aux Copy（辅助拷贝）是备份数据的复制操作，把数据从一个副本复制到另外一个副本，用于创建多副本或DR（灾难恢复）备份。 图6 多副本复制 辅助拷贝可实现不同介质之间的数据复制，去重副本的辅助拷贝，称为DASH Copy，仅复制新的数据块。存储策略中含三种类型副本： Primary 主副本，备份操作时，数据先只能写入主副本。 Synchronous 同步副本，利用AuxCopy产生的次级副本，数据内容与主副本完全相同。 Selective 选择副本，利用AuxCopy产生的次级副本，数据内容只选择全备份数据。

如何保护SAP HANA数据库 SAP HANA是内存数据库，数据库运行时，数据都放在内存中，如何备份HANA数据库呢？为了更好理解HANA数据库的备份原理，首先我们分析下HANA数据保护机制。大家都知道当服务器断电时，放在内存里的数据就会全丢失，为了避免这类内存故障，HANA数据库会定时把数据存储到持久性存储（磁盘）上，主要有以下两个机制： 保护点（Savepoint） HANA数据库定时会发起保护点操作，默认是5分钟进行一次，保护点操作会把数据库中的数据及Undo信息一起写入到磁盘上，Undo信息中包含了未提交的事务。HANA系统能从保护点进行完全恢复。 重做日志（Redo） 数据库的事务也会记录在内存中的Redo日志缓存中，默认Redo缓存为1MB，当事务被提交或当日志缓存写满时，HANA数据库会把缓存中的Redo日志写到磁盘上。利用Redo日志，可以把HANA数据库恢复到保护点后的某一个时间点。 利用持久性存储，HANA可以防止任何内存故障，但一旦持久性存储发生故障，HANA数据仍然会被破坏而无法恢复。需要利用备份来保护持久性存储上的数据，把持久性存储上的数据备份到外部存储上，这样才能达到数据保护目的。在数据备份时先会触发一个保存点（Savepoint），确保持久性存储上的数据具有数据库一致的映像，确保数据库可恢复。目前，SAP数据备份支持在线全备份、增量备份、差量备份。备份过程不具备中断再续的能力，如果备份过程中发生错误，整个数据库备份将从头再来。 持久性存储上的Redo日志也需要备份到外部存储上，如果持久性存储上的日志不备份，日志是不能被删除的，大量的日志会把日志存储区填满，导致数据库被锁起来。图2是数据备份和日志备份的示意图。 图2 数据备份和日志备份示意图

SAP HANA备份架构 图1 SAP HANA备份架构图 图1是一个典型的SAP HANA多节点备份拓扑架构图，在HANA节点服务器上安装Commvault的SAP HANA备份代理模块iDA for SAP HANA，Commvault的备份管理服务器 CS 管理备份策略和调度备份计划，介质代理服务器MA负责连接OBS对象存储，并将备份数据去重后写入到OBS对象存储中。 对于数据量较大的HANA，Commvault提供了“Storage Accelerator”存储加速功能，可提升备份和恢复性能。 Commvault备份软件的组件如下： 管理服务器（CommServe，即上图中CS） CommServe集中管理CommCell中所有软件组件，协调并执行CommCell中所有操作，CommServe包含一个Microsoft SQL Server数据库，用来记录所有的配置信息、安全属性以及操作历史以及Metadata。在一个CommCell中，只能有一个CommServe，CommServe可以安装在物理服务器、虚拟服务器或集群环境中。 华为云中的云服务器推荐如表1所示。 表1 推荐的云服务器 规模 客户端数量 服务器配置 云服务器规格 Small 25 servers, or 100 virtual machines 4 CPU cores, 16 GB RAM c6.xlarge.4 Medium 500 servers, or 1000 virtual machines 8 CPU cores, 32 GB RAM c6.2xlarge.4 Large 2500 servers, or 5000 virtual machines 12 CPU cores, 64 GB RAM c6.4xlarge.4 Xlarge 10,000 servers, or 20,000 virtual machines 16 CPU cores, 128 GB RAM m3.4xlarge.8 介质代理（MediaAgent，即上图中MA） MediaAgent在CommCell中负责管理数据传输，管理数据存储的介质库：磁盘库、磁带库、云存储等。CommServe指挥并协调MediaAgent执行任务，在一个CommCell中可以部署多台MediaAgent来拓展性能，MediaAgent可以安装在物理服务器、虚拟服务器或集群环境中，能支持Window、Linux和Unix操作系统。 华为云中的云服务器推荐如表2所示。 表2 推荐的云服务器 规模 客户端数量 服务器配置 后端容量 云服务器规格 Xsmall 5 TB~15 TB 2 CPU cores, 16 GB RAM 25 TB m6.large.8 Small 10 TB~30 TB 4 CPU cores, 24 GB RAM 50 TB m6.xlarge.8 Medium 30 TB~60 TB 8 CPU cores, 32 GB RAM 75 TB c6.2xlarge.4 Large 60 TB~125 TB 12 CPU cores, 64 GB RAM 150 TB c6.4xlarge.4 Xlarge 110 TB~150 TB 16 CPU cores, 128 GB RAM 250 TB m6.4xlarge.8 客户端（Client，即上图中iDA） 被保护及被管理的生产服务器称为客户端，通常会在客户端上安装软件代理模块，或为客户端配置一个代理服务器上软件代理模块，来实现数据保护、管理及传输。

备份策略示例 操作系统的备份策略示例 灾难发生时，为了快速还原系统，省去SAP应用的安装及OS层的配置工作，以达到客户所需要的RTO， 一般建议每个系统都要做操作系统层面的备份，建议开发测试系统每半年或当系统有升级或其他重大调整前后备份一次，至少保留一份，生产系统系统每季度或当系统有升级或其他重大调整前后备份一次，至少保留二份。操作系统的备份策略示例如表1所示。 表1 操作系统的备份策略示例 备份对象 备份内容 备份频率 保留周期 备注 开发系统应用&数据库 操作系统 （包括/etc，/home等） 每6个月备份1次 1年 每次系统有升级或其他重大调整前需备份一次 测试系统应用&数据库 每6个月备份1次 1年 生产系统应用&数据库 每3个月备份1次 1年 重要文件系统的备份策略示例 灾难发生时，为了快速还原系统，除了操作系统的定期备份，您还需要对操作系统变更频繁的重要文件系统目录备份，比如传输目录/usr/sap/trans、 /sapmnt或者客户自定义的其它目录。重要文件系统的备份策略示例如表2所示。 表2 重要文件系统的备份策略示例 备份对象 备份内容 备份频率 保留周期 开发系统应用 /sapmnt，/usr/sap，/etc，/home以及其它目录 每周备份1次 2周 测试系统应用 每周备份1次 2周 生产系统应用 每周备份2次 1月 父主题： SAP应用备份与恢复方案

备份方式比较 您可结合自己的实际需求，再根据SAP HANA备份方案的优劣势，选择您的备份方案。SAP HANA备份方案的优劣势如表1所示。 表1 SAP HANA备份方案比较 特点 基于文件的备份 基于Backint的备份 基于存储快照的备份 优势 支持备份的完整性校验 支持加密 支持备份的完整性校验 第三方备份软件支持额外的特性（如重删、压缩） 备份后立即可用于恢复 备份及恢复速度快 对业务网络无影响 支持加密 劣势 对业务网络有影响 需要额外的存储空间 需要对文件系统监控 需要更多的时间使备份可用 对业务网络有影响 没有块级别的完整性检查 父主题： SAP HANA备份与恢复方案

概述 本文档主要介绍如何在华为云上进行SAP系统的备份与恢复，重点描述华为云上备份与恢复方案中特殊的部分，本文档不可替代SAP或各数据库的官方文档。 本文档中涉及SAP软件或各数据库的约束与规格，如果出现与官方文档冲突时，请以官方文档为准。 本文档假定您已经熟悉在华为云上进行SAP系统的部署与操作。如果您初次接触华为云SAP解决方案，建议您在阅读本文档前，先阅读以下文档： SAP部署指南 SAP HANA用户指南（单节点） SAP NetWeaver用户指南 您也可以通过访问SAP官网阅读华为云相关的SAP说明，具体如表1所示。 表1 华为云相关SAP Notes SAP Note # 标题 2582296 SAP Applications on Huawei Cloud: Supported Products and Huawei Cloud VM types 2582305 SAP on Huawei Cloud: Support prerequisites 2570214 Linux on Huawei Cloud: Adaption of your SAP License 2570198 SAP on Linux with Huawei Cloud: Enhanced Monitoring 2644322 SAP Adaptive Server Enterprise (ASE) 16.0 Certification Report for Huawei Cloud

备份策略示例 操作系统的备份策略示例 请参考SAP应用备份与恢复方案章节中对操作系统备份策略示例。 重要文件系统的备份策略示例 SAP HANA的重要文件系统如/usr/sap，/hana/shared，/etc, /home目录。 表1 重要文件系统的备份策略示例 备份对象 备份内容 备份频率 保留周期 SAP HANA开发系统 /usr/sap，/hana/shared，/etc，/home 每月备份1次 2月 SAP HANA测试系统 每月备份1次 2月 SAP HANA生产系统 每月备份2次 2月 数据库的备份策略示例 建议在实际使用中，综合使用基于文件的数据备份、日志备份和数据存储快照，最小化降低SAP HANA数据丢失的风险。 SAP官方建议SAP HANA生产系统的一般性备份策略如下： 每天进行存储快照的备份 每周进行数据备份（基于文件或基于Backint接口） 开启日志的自动备份 根据此策略，对SAP HANA备份策略示例如表2所示。 表2 SAP HANA备份策略示例 备份对象 备份内容 备份频率 保留周期 SAP HANA开发系统 完整备份或Delta备份 每周备份1次 1月 数据快照 每两天备份1次 1月 在线日志备份 每天备份1次 1月 SAP HANA测试系统 完整备份或Delta备份 每周备份1次 1月 数据快照 每半月备份1次 1月 在线日志备份 每天备份1次 1月 SAP HANA生产系统 完整备份或Delta备份 每天备份1次 1月 在线日志备份 每15分钟备份1次 1月 父主题： SAP HANA备份与恢复方案

概述 一个典型的SAP HANA单节点的文件系统示例如表1所示： 表1 SAP HANA文件系统 文件系统 推荐的文件系统类型 使用的华为云云服务 用途 / ext4 云硬盘 OS卷 /usr/sap xfs 云硬盘 SAP系统目录 /hana/log xfs 云硬盘 HANA Log卷 /hana/data xfs 云硬盘 HANA Data卷 /hana/shared xfs 云硬盘 HANA Shared卷 /hana/backup nfs 弹性文件服务 HANA备份文件存放目录，后续简称Backup目录 根据SAP官方文档《SAP HANA管理员指南》中的描述，SAP HANA支持如下备份与恢复的功能： 全量备份 Data文件备份 Data卷快照 Delta备份 增量备份 差异备份 Redo log备份 使用第三方软件的备份与恢复 备份完整性检查 备份生命周期管理 指定时间点的恢复（PITR） 指定Data卷文件备份或Data卷快照的恢复（不使用Log卷备份） 使用备份与恢复拷贝新数据库 以上备份功能，按照备份方式，可分为以下三类： 基于文件的备份 基于存储快照的备份 基于Backint接口的第三方软件的备份 不同场景所需要的备份数据如表2所示： 表2 不同场景的备份数据 场景 所需要的备份数据 恢复SAP HANA到最近的状态 最近的Data备份（基于文件的备份、基于存储快照的备份或基于Backint的备份） Data备份后的Log备份 Log区数据 恢复SAP HANA到指定时间点（PITR） 最近的Data备份（基于文件的备份、基于存储快照的备份或基于Backint的备份） Data备份后的Log备份（包括此时间点之后的日志备份） Log区数据 恢复SAP HANA到指定数据备份或者存储快照 指定的数据备份（基于文件的备份、基于存储快照的备份或基于Backint的备份） 恢复SAP HANA到某个Log位置 Log位置之前的Data备份（基于文件的备份、基于存储快照的备份或基于Backint的备份） Data备份后的Log备份 Log区数据 父主题： SAP HANA备份与恢复方案

修订记录 发布日期 修改说明 2020-01-17 第八次正式发布。进行了以下变更： 增加了c6云服务器规格。 2019-03-30 第七次发布。进行了以下变更： 增加支持分布式部署需要使用SFS Turbo的说明。 2018-11-16 第六次发布。进行了以下变更： 增加了内存优化型（m3系列）规格，请参考表1。 2018-09-03 第五次发布。进行了以下变更： 脚本实现ASCS HAE自动化部署。 2018-08-20 第四次发布。进行了以下变更： 刷新了网络信息规划。 2018-03-30 第三次发布。 优化格式化磁盘操作步骤。 优化SAP NetWeaver的HA功能配置。 2018-01-24 第二次发布。 增加HAE自动切换方案。 增加SFS文件共享系统。 修改安装方案为分布式HA部署。 2018-01-08 第一次发布。

软件与工具 需要准备的软件和工具如表1 软件和工具所示。 表1 软件和工具 项目 说明 下载地址 本地PC 使用Windows操作系统，Windows 7以上版本。 - WinSCP 用于上传密钥文件到云服务器上。 https://www.winscp.net PuTTY和PuTTYgen 用于登录云服务器并进行命令行操作。 https://www.chiark.greenend.org.uk/~sgtatham/putty/download.html OBS Browser+ 用于上传SAP NetWeaver、SAP HANA等系列安装包到共有云服务器，已上传的文件，可以通过wget命令下载到SAP NetWeaver安装节点上。请参考安装SAP NetWeaver软件。 下载OBS Browser+ VNC Viewer for Windo ws 用于在PC端为SAP NetWeaver安装提供图形化界面。 https://www.realvnc.com/download/viewer/ SAPCAR SAPCAR是SAP公司使用的压缩解压软件，从SAP网站下载的补丁包和小型软件扩展名为“.car”或“.sar”时，可以用SAPCAR来解压。 登录SAP官方地址下载各安装介质： https://support.sap.com/en/my-support/software-downloads.html SAP GUI 7.4 SAP系统客户端； 推荐使用SAP GUI7.4或更高版本。 SWPM SAP系统升级，迁移，安装工具； 推荐使用SAP发布的最新版本。 SAP NetWeaver安装包 说明： 请自行查阅相应的配套关系，安装合适版本的SAP NetWeaver安装包。 SAP NetWeaver安装包，主要包括Kernel、export、HDB等文件。关于Kernel版本，请参考SAP note: 1680045，并参考PAM(Product Availability Matrix)查看兼容对照关系:https://support.sap.com/pam sap-suse-cluster-connector SUSE HAE软件 登录SUSE官方网站下载并安装：https://www.suse.com/。 父主题： 资源准备

操作步骤 使用PuTTY软件，以“root”帐号和密码为鉴权方式，登录绑定了弹性IP的NAT Server，并通过SSH协议，以root用户登录ASCS主节点。 执行以下命令，查看系统是否安装NFS软件包。 rpm -qa|grep nfs 如未安装，请执行以下命令安装。 zypper install nfs-client 执行以下命令，查看是否能解析文件系统共享路径中的 域名 。 nslookup 文件系统域名 执行如下命令，根据表4创建用于挂载文件系统的本地路径。 mkdir 本地路径 例如：mkdir /sapmnt 分别执行如下命令，将三个文件系统挂载到ASCS主节点上。 mount -t nfs 共享路径 本地路径 挂载完成后，执行如下命令，查看已挂载的文件系统。 mount -l 以root用户登录ASCS备节点，重复执行2到7，将3个文件系统挂载到ASCS备节点上。 在ASCS主备节点上，将磁盘挂载信息写入到“/etc/fstab”中，这样重启虚拟机能自动挂载磁盘。 vi /etc/fstab 写入路径信息。 请根据实际路径填写。 /etc/fstab格式为：磁盘分区或磁盘ID 挂载目录 磁盘格式 defaults 0 0 第六个字段（fs_passno）推荐值为0，这样就可以在需要时把该设备重新挂载给其他Instance使用。 sdb和sdc的挂载信息不需要写入到fstab文件里，因为这两个分区后续在配置SAP NetWeaver的HA功能时会自动挂载，如果写入可能导致虚拟机重启失败。其他磁盘的挂载信息需要写入到fstab文件里。 例如： 共享路径 /sapmnt nfs defaults 0 0 共享路径 /usr/sap/A01/SYS nfs defaults 0 0 共享路径 /sapcd nfs defaults 0 0 编辑完成后，保存退出。

操作步骤 以root用户登录SAP应用云服务器。 将配置文件中“manage_etc_hosts: localhost”内容注释。 执行以下命令，打开Cloud-Init配置文件“/etc/cloud/cloud.cfg”。 vi /etc/cloud/cloud.cfg 将配置文件中“manage_etc_hosts: localhost”内容注释后保存。 例如：#manage_etc_hosts: localhost 删除“/etc/hosts”文件中127.0.0.1到主机名称的映射信息。 执行以下命令，打开“/etc/hosts”文件。 vi /etc/hosts 删除“/etc/hosts”文件中127.0.0.1到主机名称的映射信息后保存。 对于已经安装了SAP应用的云服务器，需重新启动SAP应用；对于还未安装SAP应用的云服务器，在做完以上配置之后，执行安装SAP软件操作。

操作步骤 使用PuTTY软件，以“root”帐号和密码为鉴权方式，登录绑定了弹性IP的NAT Server，并通过SSH协议，跳转到ASCS主节点。 按照表3，执行以下命令，格式化磁盘。 mkfs.xfs /dev/sdb mkfs.xfs /dev/sdc 作为SBD的sda磁盘不进行格式化操作。 格式化需要等待一段时间，请观察系统运行状态，不要退出。 标准化部署请参考表1。 分布式部署请参考表1。 将磁盘挂载对应目录下。 在ASCS主节点创建“/usr/sap/A01/ASCS00”目录并执行以下命令。 mount /dev/sdb /usr/sap/A01/ASCS00 ASCS备节点创建“/usr/sap/A01/ERS10”目录并执行以下命令。 mount /dev/sdc /usr/sap/A01/ERS10 A01是SAP NetWeaver的SID，00是ASCS的Instance Number，10是ERS的Instance Number。 编辑完成后，保存退出。

公有云上部署SAP NetWeaver的优势 公有云上部署SAP NetWeaver，则能充分利用云服务的以下优势： 降低购买成本：租户可以按需购买所需要的DEV、TST和TRN等场景下的SAP NetWeaver环境，仅在使用时才收费，大大降低采购成本。 提高部署效率：通过云服务，将部署时间从几天下降到几小时内，大大节约了时间和人力。 扩展方便：在公有云中，可以灵活扩容单节点，也可以从单节点扩展到集群，并且可以扩展到很大规模。 使用灵活：在SAP NetWeaver需要被多个业务系统的DEV、TST和TRN等场景下分时使用时，可以按需购买不同部署形态的SAP NetWeaver系统。

SAP NetWeaver与公有云服务的关系 弹性云服务器（ECS） SAP NetWeaver实例和NAT均部署在 ECS云服务器 上。 云硬盘（EVS） SAP NetWeaver系统中常使用的云服务器，均绑定了云硬盘。 虚拟私有云（VPC） SAP NetWeaver系统中所涉及到的云服务器，都位于同一个VPC中，并且需要使用VPC中的子网和安全组的相关网络安全隔离。 镜像（IMS） 在创建SAP NetWeaver实例云服务器时，需要使用符合要求的公有镜像，例如“SUSE Linux Enterprise Server (SLES) 12 SP1 for SAP”。 云硬盘备份服务（VBS） 云硬盘备份服务（Volume Backup Service）可为云硬盘创建备份，利用备份数据回滚云硬盘，以最大限度保证用户数据正确性和安全性，确保您的云硬盘安全。 弹性文件服务（SFS） 弹性文件服务（Scalable File Service，SFS）提供按需扩展的高性能文件存储，可供云上多个弹性云服务器（Elastic Cloud Server，ECS）共享访问。

安装SAP NetWeaver软件 安装SAP NetWeaver软件之前，需在SAP应用服务器中修改配置文件，具体操作请参考如何解决云服务器中的SAP应用程序不能成功启动？。 在弹性云服务器上部署安装SAP NetWeaver软件，请根据部署场景并参考SAP NetWeaver官方安装手册进行安装。 安装手册和相关SAP notes可以参考如下链接： SAP Installation Guides： https://service.sap.com/instguides SAP Notes： https://service.sap.com/notes SAP帮助中心：https://help.sap.com/ 父主题： 安装SAP NetWeaver

操作步骤 登录ASCS实例节点，获取ha_auto_script.zip压缩包，解压到任意目录。 获取ha_auto_script.zip压缩包 华北-北京一：wget https://obs-sap-cn-north-1.obs.cn-north-1.myhuaweicloud.com/ha_auto_script/ha_auto_script.zip -P /sapmnt 华北-北京四：wget https://obs-sap-cn-north-4.obs.cn-north-4.myhuaweicloud.com/ha_auto_script/ha_auto_script.zip -P /sapmnt 华东-上海二：wget https://obs-sap.obs.cn-east-2.myhuaweicloud.com/ha_auto_script/ha_auto_script.zip -P /sapmnt 华南-广州：wget https://obs-sap-cn-south-1.obs.cn-south-1.myhuaweicloud.com/ha_auto_script/ha_auto_script.zip -P /sapmnt 解压文件 cd /sapmnt unzip ha_auto_script.zip 根据客户实际情况配置ascs_ha.cfg文件中的参数。各参数含义如表1所示。 表1 ascs_ha.cfg配置文件参数含义 参数类型 参数名称 参数解释 masterNode masterName ASCS实例节点的主机名 masterHeartbeatIP1 ASCS实例节点心跳平面IP1 masterHeartbeatIP2 ASCS实例节点业务平面IP slaveNode slaveName ERS实例节点的主机名 slaveHeartbeatIP1 ERS实例节点心跳平面IP1 slaveHeartbeatIP2 ERS实例节点业务平面IP ASCSInstance ASCSFloatIP ASCS实例的业务IP ASCSInstanceDir ASCS实例的目录 ASCSDevice ASCS实例目录所使用的磁盘分区 ASCSProfile ASCS实例的profile文件 ERSInstance 说明： ERSInstanceDir、ERSDevice和ERSProfile参数信息需要登录ERS实例节点获取。 ERSFloatIP ERS实例的业务IP ERSInstanceDir ERS实例的目录 ERSDevice ERS实例目录所使用的磁盘分区 ERSProfile ERS实例的profile文件 trunkInfo SBDDevice SBD使用独立磁盘，最多支持3个，使用英文逗号分隔，如/dev/sda, /dev/sdb, /dev/sdc 执行脚本进行HA自动部署。 sh ascs_auto_ha.sh 执行crm status命令，查看资源状态。 HA功能配置完成后，HAE会管理资源，请不要使用其他方式启动或停止资源。如果需要手动执行一些测试或者修改操作，请先将集群进入维护模式。 crm configure property maintenance-mode=true 修改完成后再退出维护模式。 crm configure property maintenance-mode=false 如果需要对节点进行关机或者重启等操作，请先手动关闭集群服务。 systemctl stop pacemaker 虚拟机启动或者重启完成后，需要手动执行以下命令来启动集群服务。 systemctl start pacemaker

组网需求 在一些大型的分支连锁或者分支办公场景中，分支的网络不仅需要访问Internet，还需要访问总部或者数据中心；同时，分支的网络有可能通过专线或者VPN接入到总部网。分支需要访问总部/数据中心的业务，分支和总部/数据中心部署单链路或者多链路上行互联。需要智能选路，根据业务、应用选择链路质量优的链路优先发送，同时需要支持链路的自动切换和回切。分支之间不需要互访。 基于上述诉求，可采用SD-WAN的Hub-Spoke组网方案完成网络部署和运维。如果客户没有IT人员，可以选择由MSP进行代建和代维。如果客户有IT人员，可以选择由租户进行自建和自维。 该企业网络架构如图1所示。 图1 企业网络架构图 分支通过多条上行链路出口和多总部/数据中心互联。 总部、分支等所有站点都必须部署支持SD-WAN功能的AR设备。 分支支持单机部署，也可以双机部署；双机部署时每台设备至少连接一条上行链路。 父主题： 仅SD-WAN组网（Hub-Spoke组网）