检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
备份策略示例 操作系统的备份策略示例 请参考SAP应用备份与恢复方案章节中对操作系统备份策略示例。 重要文件系统的备份策略示例 SAP HANA的重要文件系统如/usr/sap,/hana/shared,/etc, /home目录。 表1 重要文件系统的备份策略示例 备份对象 备份内容
重要文件系统的备份策略示例 灾难发生时,为了快速还原系统,除了操作系统的定期备份,您还需要对操作系统变更频繁的重要文件系统目录备份,比如传输目录/usr/sap/trans、 /sapmnt或者客户自定义的其它目录。重要文件系统的备份策略示例如表2所示。 表2 重要文件系统的备份策略示例 备份对象
什么是SAP应用弹性伸缩? SAP应用弹性伸缩是根据用户的SAP业务需求,通过策略自动调整自动增加AAS(Additional Application Server)的数量。您可以根据业务需求自行定义伸缩配置和伸缩策略,降低人为反复调整资源以应对业务变化和高峰压力的工作量,帮助您节约资源和人力成本。
您可以根据自身需要使用该功能,具体配置方法可参考配置生命周期规则 。您可以参考SAP官方指南建议,例如30天清理一次,也可以根据您的备份策略调整。 父主题: 配置Backint Agent
境的入方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的出方向策略,这里可以根据实际情况设置稍弱的访问控制策略。 强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。 与开发测
境的出方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的入方向策略,这里可以根据实际情况设置稍弱的访问控制策略。 强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。 图1 开发测试环境网络ACL分布图
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 如图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
原则控制云服务器对外开放的端口范围,可参考以下图4 安全组策略示例(具体端口请根据实际情况设置)。对IP的访问控制策略,通过网络ACL实现。其它开发测试环境与公网无交互的安全组(详见全景图),可参考实施。 图4 安全组策略示例 安全组,如SG_DEV_SRM、SG_DEV_Hyb
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。 安全策略 图1 开发测试环境子网 如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
创建安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。了解更多关于安全组的信息,请参见安全组简介 。 操作步骤 创建SAP 安全组。 在网络控制台,选择“访问控制
创建安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。了解更多关于安全组的信息,请参见安全组简介 。 操作步骤 创建SAP 安全组。 在网络控制台,选择“访问控制
切换上线 根据迁移演练中确定的方案进行正式系统的迁移,一般我们可以使用开发测试与生产系统分开进行切换的策略,即先进行开发测试系统的切换上线,确认没有问题之后再进行生产系统的切换。 父主题: 线下x86平台迁移到华为云
创建安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。了解更多关于安全组的信息,请参见安全组简介。 操作步骤 创建SAP 安全组。 在网络控制台,选择“访问控制
创建安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。了解更多关于安全组的信息,请参见安全组简介 。 您需要创建两个安全组,一个提供给SAP
访问企业内网环境(IDC)的出方向策略,限制其仅能访问企业内网环境(IDC)中特定的[IP]:[PORT]。 对于由IDC发起的对开发测试环境的入方向策略,根据场景不同设置相应的访问控制策略。如AD服务器与保留系统,场景较为固定,应设置相应的策略,使其能够与云上特定[IP]:[PORT]互通。而对于End
VPN可选用第三方镜像产品自行部署。 安全策略 由于开发环境同时需要与企业内部通信,还需提供互联网的业务访问,综合考虑通过网络ACL进行相应的访问控制策略。 网络ACL “NACL-DMZ-SAP-Router”关联生产环境相应子网,需严格控制互联网访问的入方向策略,限制特定外网网段能够访问特定的[IP]:[PORT]。
特殊场景安全方案 此方案主要区别为: 管理区合一,部署一台堡垒机,不再区分PRD与DEV。 各业务出口、运维通道,如无必要对全网开放,建议加强网络ACL策略,严格限制源IP。
SAP应用弹性伸缩 特性定义 SAP应用弹性伸缩是根据用户的SAP业务需求,通过策略自动调整自动增加AAS的数量。 自动扩容 当配置了SAP应用弹性伸缩后,在业务增长时自动增加实例,保障业务正常运行,加强了应用系统的成本管理。 手动扩容 在业务临时调整,需要手动扩展AAS以保障业务正常运行。
数据库容灾 SAP ASE系统中应用和数据库的容灾使用不同的策略来实现。 华为云上SAP应用服务器的容灾,推荐使用华为云的SDRS服务来实现。 ASE数据库的容灾,推荐使用ASE的HADR实现,也可以使用华为云SDRS服务实现,具体介绍参考华为云存储容灾服务官方文档。 SAP A
本章节将主要描述生产环境内部区域间的访问控制策略,基于上文提到的两个原则,给出网络ACL及安全组的设置建议(开发测试环境较为特殊,为了保证IDC内用户对该区资源的访问效率以及网络灵活性,相比生产环境,内部采用稍弱的访问控制策略,详见第2节)。 安全策略 如图2 生产环境子网、网络ACL分
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
