检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
准备网络资源 创建VPC 申请子网并设置安全组 为了使SAP HANA系统中,各服务器能正常通信,需要为云服务器申请子网,并设置合适的安全组信息。 (可选)创建SFS Turbo 购买专属存储资源(DSS) 创建SAP HANA节点 创建其他节点 配置SSH跳转机制 配置裸金属服务器上的网卡IP(集群)
网络边界安全 与生产环境边界 业务边界 运维边界 父主题: 开发测试环境安全解决方案
网络边界安全 业务边界 运维边界 与开发测试环境边界 父主题: 生产环境安全解决方案
制,遵从最小化原则。安全组不做源IP控制,由网络ACL进行控制。 SAP开发测试环境子网如图2 开发测试环境子网、网络ACL分布图所示。 图2 开发测试环境子网、网络ACL分布图 安全策略 开发测试环境内部涉及如下网络ACL实例:网络ACL“NACL-DEV-MGMT”、 “NA
创建及配置网络环境 请参考华为云VPC官方文档,根据实际规划创建VPC以及配置VPC内的IP地址段、子网、安全组等。 父主题: 部署
单击“查看密钥对”后,在弹出的界面中单击“创建密钥对”,输入密钥名称后单击“确定”,并在系统弹出的提示框中单击“确定”,然后根据提示信息查看并保存私钥即可。 购买完成后返回“裸金属服务器”管理界面,查看当前创建任务的状态。 裸金属服务器创建完成后,在右侧界面的服务器列表中可查看到对应的服务器。
一个典型的SAP应用系统,涉及哪些模块? 在一个典型的SAP系统中,一般可以分为二大部分:应用服务器、SAP HANA数据库。 应用服务器,一般会分为生产/开发/测试,如ERP生产、ERP开发、ERP测试、CRM生产、CRM开发、CRM测试等。生产应用一般采用物理机部署,开发/测
执行以下命令,查看网卡设备的状态。 通过指定新增的网络设备ping其网关,验证网络是否正常。 其中,网关为1中获取的网关地址。 删除网卡 获取待删除网卡的VLAN和MAC地址。 以“root”用户,使用密钥或密码登录裸金属服务器。 根据VLAN信息找到网络设备,然后执行/usr/sbin/wicked
Server为例,假设NFS Server的业务/备份平面IP地址为“10.0.5.101” ssh 10.0.5.101 父主题: 准备网络资源
准备存储资源(DESS) 操作场景 在SAP系统中,为保证服务的可靠性,需要准备好DESS存储池并创建挂载磁盘,用于SAP系统内节点的数据存储。所需磁盘规格请参见表1。 表1 SAP系统节点所需的DESS磁盘 规格 磁盘 磁盘规格 physical.kl1.2xlarge.hba
要充分利用华为云全栈的安全服务,针对SAP业务系统进一步增强安全控制,提高网络以及SAP系统的安全性,保障各种业务应用的可靠运行。 SAP系统安全网络接入 所有SAP系统在云上都在一个VPC 中(专属网络),所有系统IP 都为内网地址,屏蔽其他租户访问。 Access server内部安装HANA
购买专属存储资源(DSS) 操作场景 在SAP系统中,为保证服务的可靠性,需要在专属云内创建两个专属存储池,分别用于SAP系统内所有节点的数据备份和SAP应用的数据存储。 操作步骤 登录管理控制台后,在左侧导航栏,单击,选择“专属云 > 专属分布式存储”。 在右上角单击“申请存储池”。
vice_subnet”。 子网网段:请根据网络规划配置。 高级配置:使用“默认配置”。 单击“确定”,完成子网的配置。 重复执行1.e~1.g,按照网络规划中的要求,完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏,单击“访问控制
Full-Quallified-Hostname Short-Hostname 在同一套SAP系统中,要将所有SAP节点的IP地址和主机名称的映射关系,写入到hosts文件中。 SAP NetWeaver系统中的虚拟IP地址需要先绑定ASCS主备节点的主机名,因为虚拟IP需要配置ASCS HA
登录管理控制台。 在左侧导航栏,单击,选择“网络 > 虚拟私有云”。 在右上角单击“创建虚拟私有云”。 在创建虚拟私有云界面上,配置VPC参数。 参数说明如下: VPC网段:VPC的地址范围。根据规划的子网信息,配置VPC的地址范围。 子网网段:VPC中默认子网的地址范围,需要在VPC的子网地址范围内,根据规划的信息进行配置。
生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。 安全策略 如图1 开发测试环境网络ACL分布图所示,网络ACL“NACL-DEV-APP”关联开发测试环境子相应
由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。 安全策略 网络ACL“NACL-PRD-DMZ/APP/SAPDB-BUSI”关联生产环境相
执行以下命令扫描挂载好的DESS磁盘。 hot_add 查看挂载好的DESS的磁盘信息。 fdisk -l 在其他挂载DESS磁盘的裸金属服务器执行扫描操作。 父主题: 准备网络资源
运维边界 由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
在SAP系统中,如果选择共享文件系统由SFS Turbo而非NFS Server提供时,例如:SAP HANA中的backup卷或者shared卷,您需要创建SFS Turbo文件系统,提供共享路径给SAP节点。 如果您选择使用SFS Turbo实现文件共享存储,文档中关于NFS Server的相关操作都不需要执行。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
