检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ble Zone)。VPC网络内分三个子网:管理子网、应用子网和数据库子网。 DSS Storage Pool 1(存储池1)为SAP应用节点及Jump Host节点数据的生产池,DSS Storage Pool 2(存储池2)为SAP应用节点和数据库节点的数据备份池。DESS Storage
为了保证IDC内用户对该区资源的访问效率以及网络灵活性,相比生产环境,内部采用稍弱的访问控制策略,详见第2节)。 安全策略 如图2 生产环境子网、网络ACL分布图所示,生产环境涉及8个子网,建议分别创建相应的网络ACL实例:NACL-DMZ-SAP-Router、NACL-PRD
准备网络资源 创建VPC 申请子网并设置安全组 为了使SAP HANA系统中,各服务器能正常通信,需要为云服务器申请子网,并设置合适的安全组信息。 (可选)创建SFS Turbo 购买专属存储资源(DSS) 创建SAP HANA节点 创建其他节点 配置SSH跳转机制 配置裸金属服务器上的网卡IP(集群)
Private Network,VPN),是建立VPN网关和外部数据中心VPN网关之间的加密通道,使远端用户通过VPN直接使用VPC中的业务资源。 默认情况下,在VPC中的云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的云服务器和您的数据中心或私有网络连通,可以启用VPN功能。
IDC间的访问控制策略。 安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。 本节中提到的IP地址
置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。 本节中提到的IP地址及端口
单击待添加网卡的裸金属服务器的名称。 系统跳转至该裸金属服务器的详情页面。 选择“网卡”页签,并单击“添加网卡”。 选择待增加的安全组和子网。 如果需要给裸金属服务器添加一张指定IP地址的网卡,用户需填写“私有IP地址”。 单击“确定”。 后续任务 裸金属服务器无法识别新添加的网卡,需要参考增删网卡配置手动激活网卡。
业务/客户端平面IP地址和内部心跳通信平面IP地址要分配属于不同的子网段。 高可用部署网络规划如图1所示: 图1 高可用部署网络平面规划 网络信息规划如表1 网络信息规划。 表1 网络信息规划 参数 说明 示例 业务/客户端平面IP 该平面作为主网卡的平面。ASCS主备节点通过该IP地址与SAP GUI、SAP
Router,安装在公有子网,绑定弹性IP,SAP工程师可以通过该server访问处于私有子网的SAP系统做技术支持。 SAP系统网络隔离与访问控制 各区域采用相应的安全策略(使用安全组、网络ACL实现),限制区域间以及外网的访问,策略的设置建议遵从“默认失败”、“最小化”原则:针对特定的访问源,
SAP系统场景下使用的云服务器,均绑定了云硬盘。 虚拟私有云(VPC) SAP系统场景下所涉及到的云服务器,都位于同一个VPC中,并且需要使用VPC中的子网和安全组的相关网络安全隔离。 镜像(IMS) 在创建云服务器、裸金属云服务器和弹性云服务器时,需要使用符合要求的镜像文件。 云专线
配置SAP HANA 您可以为所有备份类型(数据、日志和目录)使用相同的配置,也可以为每种备份类型使用不同的配置。如果您要为不同类型的备份使用不同的配置文件,请对表1中介绍的参数设定不同的值。否则,请针对所有类型指定相同的配置文件。 使用 SAP HANA Studio 或 SAP HANA
购买云服务 购买专属云 购买专属存储 申请VPC 申请子网并设置安全组 为了使SAP HANA系统中,各服务器能正常通信,需要为云服务器申请子网,并设置合适的安全组信息。 (可选)创建SFS Turbo 购买裸金属服务器 购买弹性云服务器 父主题: 开发系统和测试系统部署
由于开发环境同时需要与企业内部通信,还需提供互联网的业务访问,综合考虑通过网络ACL进行相应的访问控制策略。 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-APP”关联开发测试环境相应子网,需严格控制访问企业内网环境(IDC)的出方向策略,限制其仅能访问企业内
fa:16:3e:01:c3:2e 网关 网卡的网关地址,获取方式如下: 在网卡详情页面,获取“子网”信息。 在裸金属服务器详情页面,单击虚拟私有云后的链接,跳转至VPC列表。 单击裸金属服务器实例所属VPC的名称,进入VPC详情页面。 单击“子网”页签,找到1中的子网所对应的网关地址。 192.168
单个文件系统的最大容量,当文件系统的实际使用容量达到该值时,您将无法对文件系统执行写入操作,需要进行扩容。 5TB 选择网络 请选择要使用的服务器对应的虚拟私有云和子网,具体请参见创建VPC和申请子网并设置安全组。 - 安全组 请选择要使用的服务器对应的安全组,具体请参见申请子网并设置安全组。
云服务,并且只需为您所使用的服务付费。 配置网络环境 在华为云上搭建SAP系统,首先需要配置网络。在管理控制台上,您可以创建并管理虚拟私有云(VPC),也可以按需求创建子网和安全组并申请VPN。 配置代理 Data Provider需要获取公有云平台上的信息,需要获得授权。因此,
网络服务 本章节主要介绍虚拟私有云、云专线、虚拟专用网络,让您更好的了解这些网络服务。 虚拟私有云 虚拟私有云(Virtual Private Cloud,VPC),是通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。VPC为您提供与传统网络无差别的虚拟网络,通过管理控制台可容
网络信息规划 网络信息规划 网络平面规划(单节点无HA) 单节点(无HA)场景的网络如图1所示。 网段信息与IP地址信息均为示例,请根据实际规划。 图1 单节点(无HA)场景网络 说明如下: 在该场景下,每个节点只使用一块网卡,作为网络通信平面。 规划的网络信息如表1所示。 表1
开发测试环境内部网络ACL分布图中所示子网。各网络ACL实例默认拒绝所有流量(默认失败),跨ACL的子网间如需互通,需以白名单形式添加策略放通相应流量(最小化)。 图3 开发测试环境内部网络ACL分布图 网络ACL“NACL-DEV-MGMT”,关联开发测试环境DEV-管理区子网,通过策略限制可由管
单击“创建保护组”。 根据页面提示,配置保护组的基本信息,如下图所示(生产站点根据生产服务器所在的实际可用区进行选择,VPC为生产服务器所在的VPC)。 点击“立即申请”。 单击“返回保护组列表”返回存储容灾服务主页面,查看该保护组的状态。 点击保护组名称,查看保护组的详情。 父主题: 容灾配置
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
