检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
涉及系统加固,以及主机安全产品(HIDS/AV等)的应用。 为了增加业务关键云主机的可靠性,建议(云服务器创建阶段)将同类的关键节点关联到一个云服务器组,将云主机尽量分散到不同的物理主机上(反亲和策略),提高业务可靠性。比如ELB的后端主机、SAP DB云主机等,可以设置相应的云服务器组。
高性能网络 特性定义 采用华为自研25GE网络芯片,支持芯片硬件卸载,高达认证要求4倍性能。 客户价值 高速网络接入华为云,保证网络稳定,网络时延低,云上业务访问更流畅。 应用限制 本特性无应用限制。 特性规格 25GE自研网卡芯片硬件卸载网络。 特性配置 本特性无需配置。 发布记录
系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 0.0.0.0 TCP 22 允许租户侧网络以SSH协议,访问SAP HANA Studio。 仅在SAP HANA Studio部署在Linux上时需要创建。 0.0.0.0 TCP 3389 允许租户侧网络以RDP协议,访问SAP
安全组规划 SAP安全组规划 安全组规划要根据SAP的主机间通信要求制定,主要需要考虑管理平面,内部通信平面要求,并与网络部门合作完成安全组设置,具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。 安全组规划要根据SA
conf 请参考表1,修改配置参数后保存。 表1 参数配置 参数 说明 示例 Source_Directory 源端服务器需要同步的目录。如果有多个目录,请用"/"分割。 注意: 如果源端目录末尾没有加"/",最终同步时会将目录本身同步过去;如果末尾有"/",就是将目录内部的所有内容同步过去。
第三方云平台到华为云之间网络带宽调整起来非常方便,最大有几百Mbit/s。 第三方云平台上的系统一般可以直接平迁到华为云,不涉及架构调整。线下环境一般系统架构较为复杂,需要重新规划云上部署架构。 线下系统一般仅包含物理服务器或者虚拟机,第三方云可能有云服务。 图1为该场景一个示例,可以采用
部分。 表2 1TB数据理论传输时间 网络带宽 2Mbit/s 10Mbit/s 50Mbit/s 100Mbit/s 理论时间(80%网络使用率) 说明: 传输时间(d)=[ 总容量(KB)]/ [ 网络带宽(Mbit/s)×125×网络使用率(%)×60(s)×60(min)×24(h)]
网络边界安全 业务边界 运维边界 与开发测试环境边界 父主题: 生产环境安全解决方案
网络边界安全 与生产环境边界 业务边界 运维边界 父主题: 开发测试环境安全解决方案
overwrite? [y/N] 系统弹出下述提示,请输入NFS Server的心跳网段,并按“Enter”键。 例如,输入网段“10.0.4.0” Network address to bind to (e.g.: 192.168.1.0) [] 系统弹出下述提示,采用默认设置,并按“Enter”键。
overwrite? [y/N] 系统弹出下述提示,请输入NFS Server的心跳网段,并按“Enter”键。 例如,输入网段“10.0.4.0” Network address to bind to (e.g.: 192.168.1.0) [] 系统弹出下述提示,采用默认设置,并按“Enter”键。
迁移完成后,使用源端服务器的登录方式登录目的端服务器。检查网络、存储等基本功能是否正常。 修改目的端服务器操作系统基础设置,适配华为云新环境。 修改DNS配置与NTP配置,具体操作请查看华为云文档配置DNS与NTP。 (可选)安装配置Cloud-Init工具,请参考华为云镜像服务文档安装Cloud-Init工具和配置Cloud-Init工具。
存储服务 本章节主要介绍云硬盘、弹性文件服务、对象存储服务等存储服务,让您更好的了解这些存储服务。 网络服务 本章节主要介绍虚拟私有云、云专线、虚拟专用网络,让您更好的了解这些网络服务。 安全服务 管理与监管服务
执行以下命令扫描挂载好的DESS磁盘。 hot_add 查看挂载好的DESS的磁盘信息。 fdisk -l 在其他挂载DESS磁盘的裸金属服务器执行扫描操作。 父主题: 准备网络资源
ANY 拒绝 拒绝所有未经前置规则处理的数据流。 网络ACL “NACL-PRD-DMZ”关联生产环境相应子网,需严格控制互联网/IDC访问的入方向策略,限制外部网络仅能访问开发测试环境特定的[IP]:[PORT]。 表3 网络ACL“NACL-PRD-DMZ”出方向 规则 # 目的
制,遵从最小化原则。安全组不做源IP控制,由网络ACL进行控制。 SAP开发测试环境子网如图2 开发测试环境子网、网络ACL分布图所示。 图2 开发测试环境子网、网络ACL分布图 安全策略 开发测试环境内部涉及如下网络ACL实例:网络ACL“NACL-DEV-MGMT”、 “NA
systemctl stop SuSEfirewall2.service 重复执行此操作关闭SAP系统中所有节点的操作系统防火墙。 父主题: 准备网络资源
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
企业存储时建议名称带有“生产”、“备份”关键词,以作区分。 “类型”选择“高IO”。 单击“立即申请”,确认参数完成创建。 父主题: 准备网络资源
to continue connecting (yes/no)?”,此时只要输入“yes”并按“Enter”键继续连接即可。 父主题: 准备网络资源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
