检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
感数据的访问。这个功能在企业环境中尤其必要。 防火墙 您可以通过防火墙强化您的网络安全,配置以防火墙为中心的安全方案,将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。从而保护您的网络安全。 父主题: 规划
加强云服务器的安全保护。虚拟私有云的优势如下: 可以完全掌控自己的虚拟网络,包括创建自己的网络、配置DHCP。 可以通过安全组的功能提高网络安全性。 可以通过在VPC中申请弹性IP地址,将云服务器连接到公网。 可以使用VPN将VPC与传统数据中心互联,实现应用向云上的平滑迁移。 两个VPC可以通过对等连接功能互联。
网络规划 组网说明 网段信息与IP地址信息均为示例,请根据实际规划。需要说明的是,当采用ISCSI方案时,三台用来挂载SBD磁盘的弹性云服务器也需要连接到业务/备份平面。 应用子网:业务/备份平面IP地址和心跳平面IP地址要分配属于不同的子网段。 数据库子网:业务/备份平面IP地
网络隔离与访问控制 SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。 图1 生产环境安全解决方案全景图 根据业务特点,参考企业安全实践,建议将云上系统(生产环境、开发测试环境)划分为不同安全级别的多个子区域(以子网为粒度进行隔离),包括管理区、应用区、SAP DB区、DMZ区。
方案简介 专属云SAP解决方案开发测试系统部署方案如图1所示。 图1 部署方案 说明如下: VPC网络:为了保证网络的安全,系统中所有节点在一个VPC网络内,且所有节点部署在同一个AZ(Available Zone)。VPC网络内分三个子网:管理子网、应用子网和数据库子网。 Storage
SAP系统场景下使用的云服务器,均绑定了云硬盘。 虚拟私有云(VPC) SAP系统场景下所涉及到的云服务器,都位于同一个VPC中,并且需要使用VPC中的子网和安全组的相关网络安全隔离。 镜像(IMS) 在创建云服务器、裸金属云服务器和弹性云服务器时,需要使用符合要求的镜像文件。 云专线 用于搭建企业自有计算环境到
网络隔离与访问控制 SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。 图1 开发测试环境安全解决方案全景图 根据业务特点,由于开发测试环境仅供企业内部开发、测试使用,并参考企业安全实践,开发测试环境内部可采用稍弱的网络隔离与访问控制策略,提高网络部署灵活性。 但
方案设计 部署方案 在华为云部署时保持应用的架构不变,将第三方云的云服务替换成华为云云服务。 请参考部署方案章节完成部署方案的设计。 组网方案 迁移至华为云后,网络规划复制源端网络架构。通过EIP、VPN或云专线与第三方云互通。 详细信息参考组网方案部分。 安全设计 请参考安全设
网络规划 组网说明 专属云SAP解决方案开发测试系统网络如图1所示。 网段信息与IP地址信息均为示例,请根据实际规划。 图1 网络平面规划 规划的网络信息如表1所示。 表1 网络信息规划 参数 说明 示例 IP地址 SAP HANA节点通过该IP地址与SAP应用节点软件或SAP HANA
方案简介(ISCSI) 在昆仑服务器高可用的场景下可以采用ISCSI盘用作SBD卷作为存储方案,若采用此方案则可以跳过DESS相关步骤。用户也可选择DESS作为存储方案,详细方案请参考方案简介(DESS)。 部署方案如图1所示。 图1 昆仑服务器高可用部署 说明如下: VPC网络
运维边界 由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
与生产环境边界 由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试
方案简介(DESS) 本方案采用DESS作为存储方案。因昆仑服务器仅支持使用DESS提供SBD盘,为了节省成本,在昆仑服务器高可用的场景下用户也可选择ISCSI盘用作SBD卷作为存储方案,详细方案请参考方案简介(ISCSI)。 单节点部署方案如图1所示。 图1 单节点部署 说明如下:
其它场景安全方案 如果出于成本考虑,云上SAP系统较为轻量,不准备采用VPN/专线方案,所有业务以及运维通道均通过公网接入,安全方案建议见图1 特殊场景安全方案。 图1 特殊场景安全方案 此方案主要区别为: 管理区合一,部署一台堡垒机,不再区分PRD与DEV。 各业务出口、运维通
运维边界 由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够
业务边界 根据业务特点,由于开发测试环境需与企业内部开放、测试使用,也有公网访问需求,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。 VPN 由于开发测试环境供企业内部开放、测试使用,多为静态连接需求,综合考虑安全性与时延,
业务边界 根据业务特点,由于生产环境需对公网提供服务,同时也需要与其它IDC进行互联,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。 针对DMZ区、内网应用区、管理区,由于能够被外部访问,建议采取相应的边界防护措施。 VPN
使用第三方软件备份SAP HANA 本文主要介绍通过Commvault备份华为云中的SAP HANA。当HANA系统出现故障或业务迁移时,Commvault能帮助用户从OBS快速、轻松地恢复数据,从而为SAP HANA提供企业级数据保护。Commvault的具体操作请参见Commvault官方文档。
SAP特性概览 特性分类 特性名称 特性定义 全规格 华为与SAP从2012年建立了全球技术合作伙伴关系以来,双方紧密合作,目前华为已通过服务器、虚拟化、SAP HANA、SAP ASE、SAP Netweaver Applicatiosn Server ABAP/Java、SAP
高安全 特性定义 为了保障业务系统正常运转,提升安全维护效率,特别是要管理分布式的系统环境时,需要充分利用华为云全栈的安全服务,针对SAP业务系统进一步增强安全控制,提高网络以及SAP系统的安全性,保障各种业务应用的可靠运行。 SAP系统安全网络接入 所有SAP系统在云上都在一个VPC
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
