SAP S/4HANA上雲最佳實踐

一、背景資訊

阿裡雲最佳實踐是基于衆多客戶最佳上雲經驗萃取而成的最佳上雲指導，每個最佳實踐包括實用場景、多産品架構和部署手冊，幫助客戶更好的了解阿裡雲的産品及解決方案，降低上雲門檻，實作最終自助上雲。最佳實踐官網：

bp.aliyun.com

阿裡雲與SAP自2016年合作至今，已經有很多客戶将SAP S/4HANA系統部署在阿裡雲上，我們的專家團隊根據衆多SAP上雲客戶的經驗，總結編寫了《阿裡雲解決方案技術白皮書》（以下簡稱“白皮書”）。白皮書整體概述了阿裡雲與SAP合作曆程，以及SAP在阿裡雲上支援的部署場景，從雲上的規劃到部署落地，從網絡到存儲到作業系統，以及安全的備份、規劃、高可用等，結合多年的SAP客戶使用阿裡雲的成功案例，總結了一套從規劃到落地的完善的解決方案。

本文主要基于白皮書的指導，以一個典型S/4HANA上雲案例來分析上雲過程中遇到的一些典型問題，以及架構的設計和落地的最佳實踐。

雲速搭CADT-雲時代的生産力工具

在講解案例之前，先介紹一下本次環境部署所用到的工具——雲速搭CADT。CADT是一款通過自助式、可拖拽、零代碼的方式，幫助客戶快速搭建雲上的運作環境，并以可視化的方式進行架構管理，客戶在雲上對架構的設計、建構、傳遞和疊代變更，都可以通過CADT完成。

使用CADT的優勢在于所見即所得，架構的設計和運維的傳遞最終是通過标準化工具進行有機結合，避免在架構設計和運維傳遞階段的資訊不對等導緻的資源購買失誤。另外，CADT還可以通過模闆化的方式來降低雲應用部署的工作量和學習成本。

二、案例分享

1、場景說明

背景資訊：某公司近期需要将内部的SAP S/4HANA系統部署到阿裡雲上， SAP實施團隊已經整理出基礎架構資源評估結果，現需要基礎架構同僚在阿裡雲上将雲資源進行開通，以便後續實施團隊開展項目。同時，基礎架構部門的同僚收集了公司各部門的需求如下：

（1）性能需求：

• HANA環境磁盤IO性能要能達到SAP hwcct性能名額；
• 要求SAP生産環境應用和資料庫伺服器之間的網絡RTT要維持在0.7ms以内；

（2）網絡需求：

• 要求SAP伺服器和具備公網通路能力的執行個體互相隔離；
• 非生産和生産環境除了基本的端口互通需求外，其他端口互相隔離；
• SAP系統需要通路公網某個接口服務來擷取資料，同時SAP需要暴露幾個web頁面，讓供應商通過網際網路通路來填寫相應的資訊；
• 需要SAP router能夠通過公網通路SAP背景進行Notes下載下傳，也要能夠讓SAP官方支援顧問通過SAP router跳轉并登入到SAP系統；
• 公司内部同僚隻能通過辦公網絡通路到SAP伺服器；
• 伺服器對外僅開通所需的端口，其餘端口不開通；

（3）高可用需求：

• 生産環境應用要考慮高可用，基礎架構資源要考慮硬體的單點故障；
• 生産環境HANA雙機熱備，配置SUSE HAE高可用實作故障自切換；

（4）安全審計需求：

• 伺服器通路均需要通過堡壘機通路；
• 網絡安全防護、防勒索、防病毒攻擊；

（5）備份需求：

• 備份資料需要盡可能選擇低成本存儲，并考慮壓縮去重能力，減少整體備份容量；
• 備份工具需要借助專業工具，確定可靠，杜絕腳本化方式；
• 應用層資料磁盤定期做快照；

  

2、上雲規劃

以上列舉了SAP S/4HANA上雲客戶的一些最基本的訴求，基于這些訴求，我們做了如下上雲規劃。

雲上網絡需要劃分為三個獨立的網絡區：網際網路區、非生産環境區和生産環境區。這三個網絡之間隻能開放相應需要的端口，在阿裡雲上有幾種方式實作。如下圖所示，一種是通過三個VPC實作網絡區域的互相獨立，VPC之間可以通過通路控制或者說安全組來實作一些隔離；另一種方式是隻規劃一個VPC，然後在内部劃分三個交換機網段，互相之間通過通路控制或者是安全組來隔離。

在這個案例中，我們使用第一種方式通過VPC隔離，這就需要客戶或相關技術人員提前考慮以下幾方面問題：

1. 規劃三個VPC的網段以及對應的交換機的網段，同時做好安全政策；

   

2. 不同環境以VPC進行隔離，通過CEN打通；
3. 公網通路區統一出口，NAT+EIP；
4. 應用和DB確定在同一個可用區，減少延遲。

3、資源選型詳解

（1）ECS資源

首先是資源執行個體的規格，根據硬體的需求清單，把每個應用伺服器或者HANA伺服器的實力規格根據阿裡雲認證的實力進行資源适配，確定整個系統的性能。

應用伺服器選擇用30G的ESSD PL1的雲盤作為SWAP用途，而每個ECS則至少配備100個100G的ESSD PL0作為作業系統盤。

每個HANA伺服器會分為四個磁盤類型：系統盤、hana shared、hana data、hana log。Hana shared建議啟用單獨的PL0或PL1的磁盤，hana data和hana log建議使用2-3塊ESSD雲盤PL1或者PL2組建LVM叢集，并且在對應的LV挂載時，通過LVM條帶化去滿足SAP HANA認證的存儲性能要求。

（2）高可用相關資源

NAS資源建議使用阿裡雲的NAS作為共享檔案系統，用于提供SAP系統檔案布局中所需共享檔案系統如 sap、trans、sapmnt。由于這些檔案系統對性能的要求不高，通常使用通用容量型的NAS就可以滿足訴求。

STONITH裝置建議使用阿裡雲的共享快存儲作為高可用叢集的STONITH裝置。虛拟IP建議使用阿裡雲高可用虛拟IP HAVIP。這兩個産品目前還在公測中，需要聯系阿裡雲架構師進行白名單開通。

（3）公網通路相關

SAP的開發、測試和生産多個應用伺服器都是需要具備這樣通路公網的能力。通過NET+EIP的方式統一出口流量方案，同時配備共享流量包用來抵扣EIP的按量的流量費用。

（4）備份相關

建議使用阿裡雲的混合雲備份HBR實作雲上HANA的整體備份，HBR相容了HANA1.0和2.0版本，可以在HBR服務控制台完成SAP HANA agent的部署安裝，以及備份作業的計劃、安排、備份日志的檢視。OSS存儲主要用于雲伺服器快照存儲。

（5）安全相關

一方面通過堡壘機提供雲伺服器的安全通路服務，另一方面是使用阿裡雲的雲安全中心提供全面的安全防護。

（6）網絡打通

使用VPN網關打通IDC和阿裡雲。但在實際中客戶通常會使用專線或SAG的方式與阿裡雲打通。

4、安全規劃

（1）事前：根據權限最小設計原則，確定各ECS間的通路權限是可控的，需要提前規劃安全組的出入方向規則。 為此需要SAP實施團隊提供各應用伺服器對外服務的端口。如下圖表格所示，首先要确定本次應用執行個體的執行個體号，不同的執行個體号會有對應的端口，左邊表格中開發機執行個體ASCS執行個體号01則對應右圖中的端口3601。是以前期需要準備如左圖的清單，然後根據清單規劃右圖的安全組需要開發的端口。

（2）事中：借助雲安全中心，實時識别、分析、預警安全威脅的伺服器主機安全管理系統，通過防勒索、漏洞掃描修複、防病毒、防篡改、合規檢查等安全能力，幫助使用者實作威脅檢測、響應、溯源的自動化安全營運閉環，保護雲上主機、本地伺服器和容器安全，并滿足監管合規要求

（3）事後：借助阿裡雲堡壘機，雲上統一、高效、安全運維通道，集中管理資産權限，全程監控操作行為，實時還原運維場景，保障雲端運維身份可鑒别、權限可管控、風險可阻斷、操作可審計，助力等保合規。

5、S/4HANA系統架構

如圖所示，整個資源區部署在華東1可用區H，右邊區域是生産環境VPC，左邊分别有非生産VPC和網際網路VPC，以及安全相關的一些通用資源。左上角的線下IDC辦公區是通過VPN的方式與線上打通。

在生産環境中有業務交換機和叢集交換機兩部分。

在業務交換機中，生産應用安全組包括兩個ascs叢集和2台應用伺服器，其中兩個ascs叢集被部署在同一部署集中，上面是HAVIP高可用虛拟IP分别對應ascs服務和ers服務，下面的共享塊存儲是STONITH裝置，NAS提供SAP環境中的共享檔案系統，同時通過NAS可提供整體SAP環境的高可用。叢集交換機中的網卡用于叢集心跳檢測。

左邊的非生産環境相對簡單，按照應用類型單獨規劃安全組。

網際網路環境中Router安全組通過NAT網關上挂3個彈性公網将流量輸入。

6、通過CADT部署雲上資源

在實踐中會有兩種部署方式：

• 整體藍圖部署：也就是一次性開通所有資源；
• 分階段部署：項目初期先将開發測試環境資源開通，以及必要的網絡、存儲等資源，後續生産環境資源在需要的時候再開通。

整體藍圖部署操作示範：

1. 登入bp.aliyun.com，在頁面上點選“雲速搭CADT”，選擇“免費使用”；

   

   

2. 進入CADT控制台，在這裡提供了官方模闆庫供大家學習和參考；

   

3. 本次示範我們選用了“SAP_S4HANA_on阿裡雲多VPC架構”，點選“基于方案建立”複制模闆；

   

   進入建立的系統架構頁面，架構中的環境配置都已經是基本完善的，可以點選檢視各部分詳情，如果需要可以進一步補充或修改；

   

   比如點選ECS即可在右邊的“伺服器ECS詳情“中檢視或補充；

   

4. 将所有資源調整完成後點選右邊的“儲存”；

   

5. 儲存後點選“部署應用”開始進行藍圖部署。首先系統會進行校驗，檢查資源存儲和配置是否存在問題，如有報錯則根據報錯内容進行修改或補充；

   

6. 修改後點選“儲存”，再點選“部署應用”，CADT會對整個雲資源進行資源驗證，如果驗證失敗則根據提示進行修改，修改後重複上述操作直到驗證成功；

   

7. 驗證成功後點選“下一步：價格清單”；

   

8. “價格清單”是将雲架構圖中所有資源進行價格計算。清單中還列舉了免費、不同付費方式以及優惠等内容。點選“檢視報告”即可生成一份标準的成本評估報告；

   

   報告主要包含部署方案架構圖和資源成本測算兩部分内容；

   

9. 确認價格無誤後點選“下一步：确認訂單”；

   

10. 再次确認價格，然後勾選“《雲速搭服務條款》”，點選“下一步：支付并建立”；

    

    到此，完成雲上資源部署。

分階段部署操作示範：

1. 建立系統架構後進入架構圖頁面，如需針對“非生産環境”進行部署則可以先将其他部分關閉。VPC可以整體關閉，非VPC可以分别點選後在右邊的詳情中關閉；

   

   

2. 完成後點選“儲存”-“部署應用”，接下來會經曆和藍圖部署同樣的資源校驗、價格清單、訂單确認這一系列流程，支付後傳回構架圖将下一個需要部署的環境打開進行同樣的部署操作。

以上是本次SAP S/4HANA上雲的最佳實踐分享，有問題的朋友可以聯系我們，架構工程師會針對您的問題進行回複。對最佳實踐感興趣的朋友也可以通路我們的官網了解更多詳情，最佳實踐官網：