检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开发系统和测试系统部署 方案简介 数据规划 准备软件和工具 购买云服务 配置权限和跳转 格式化磁盘 安装SAP HANA 安装SAP应用
开发测试环境安全解决方案 网络隔离与访问控制 网络边界安全 安全管理 主机安全
与开发测试环境边界 由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发测
应用服务器,一般会分为生产/开发/测试,如ERP生产、ERP开发、ERP测试、CRM生产、CRM开发、CRM测试等。生产应用一般采用物理机部署,开发/测试应用可以采用虚拟化部署。采用虚拟化部署时,需要使用共享存储。 HANA数据库,分为生产/开发/测试,如ERP生产HANA、开发HANA、测试
别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。 安全策略 如图1 开发测试环境网络ACL分布图所示,网络A
网络边界安全 与生产环境边界 业务边界 运维边界 父主题: 开发测试环境安全解决方案
1节)。 另外,开发测试环境中所有云服务器对外开放的端口范围由安全组控制,遵从最小化原则。安全组不做源IP控制,由网络ACL进行控制。 SAP开发测试环境子网如图2 开发测试环境子网、网络ACL分布图所示。 图2 开发测试环境子网、网络ACL分布图 安全策略 开发测试环境内部涉及
协同预警(协同技术小组根据最新漏洞与威胁跟踪结果提供预警)。 秘钥管理 业务系统中如有数据加密场景,建议使用华为云KMS服务进行密钥管理,以满足安全、合规等要求。 父主题: 开发测试环境安全解决方案
网络规划 组网说明 专属云SAP解决方案开发测试系统网络如图1所示。 网段信息与IP地址信息均为示例,请根据实际规划。 图1 网络平面规划 规划的网络信息如表1所示。 表1 网络信息规划 参数 说明 示例 IP地址 SAP HANA节点通过该IP地址与SAP应用节点软件或SAP HANA
数据规划 网络规划 SAP HANA节点规划 SAP应用节点规划 其他节点规划 父主题: 开发系统和测试系统部署
运维边界 由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够
方案简介 专属云SAP解决方案开发测试系统部署方案如图1所示。 图1 部署方案 说明如下: VPC网络:为了保证网络的安全,系统中所有节点在一个VPC网络内,且所有节点部署在同一个AZ(Available Zone)。VPC网络内分三个子网:管理子网、应用子网和数据库子网。 Storage
与公网有交互的虚拟机建议参考华为云主机防暴力破解解决方案进行相应的加固。主要涉及系统加固,以及主机安全产品(HIDS/AV等)的应用。 父主题: 开发测试环境安全解决方案
VPN可选用第三方镜像产品自行部署。 安全策略 由于开发环境同时需要与企业内部通信,还需提供互联网的业务访问,综合考虑通过网络ACL进行相应的访问控制策略。 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-APP”关联开发测试环境相应子网,需严格控制访问企业内
根据SAP的最佳实践,每套SAP软件至少需要3套系统:开发系统、测试系统和生产系统,一些大的企业每套SAP软件有5~6套系统,还有沙箱系统,预生产系统等等,主要的目的是保持权责分明,开发系统只针对开发人员开放,只用于系统开发,开发完后传输到测试系统中;测试系统只对测试人员开放,只用
格式化磁盘 格式化NFS Server磁盘 格式化裸金属服务器磁盘 格式化SAP应用节点磁盘 父主题: 开发系统和测试系统部署
OS盘:2*600GB, SAS,硬件RAID 1 Log卷:2*1.6TB ES3600,SSD, 软RAID 1 Data卷:9TB Shared卷:3TB 使用LVM功能将14*1.8TB 10k 2.5 SAS HDD,硬件RAID50本地盘逻辑分区给Data卷和Shared卷。
Host,并通过SSH协议,跳转到SAP HANA节点。 将SSD盘组成RAID 1。 查看磁盘信息。 fdisk -l 在磁盘信息中,找到SSD盘的盘符,例如“/dev/nvme0n1”和“/dev/nvme1n1”。 将SSD盘组RAID 1,并指定盘符。 假设盘符配置为“/dev/md0”。
切换上线 根据迁移演练中确定的方案进行正式系统的迁移,一般我们可以使用开发测试与生产系统分开进行切换的策略,即先进行开发测试系统的切换上线,确认没有问题之后再进行生产系统的切换。 父主题: 线下x86平台迁移到华为云
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
