SAP NetWeaver mit hoher Verfügbarkeit mit Azure Files SMB installieren

Dieser Artikel führt Sie durch die Installation eines SAP NetWeaver-Systems mit hoher Verfügbarkeit auf Windows-basierten Azure virtuellen Computern (VMs) mithilfe von Azure Files Premium Server Message Block (SMB)-Dateifreigaben für gemeinsam genutzten Speicher. Azure Files Premium-SMB ist eine verwaltete Plattform als Dienst (PaaS) zum Hosten der sapmnt, transport und interface Verzeichnisse, die SAP benötigt.

Wenn Sie SAP in einer HA-Konfiguration bereitstellen, benötigt das System hoch verfügbare freigegebene Dateispeicher, um einen einzelnen Fehlerpunkt zu vermeiden. Azure Files Premium-SMB beseitigt die Notwendigkeit, eine dedizierte Dateiserverinfrastruktur beizubehalten und gleichzeitig Verfügbarkeitszonen- und Notfallwiederherstellungsbereitstellungen zu unterstützen.

Dieser Artikel führt Sie durch die Dimensionierung der SMB-Freigaben von Azure Files Premium, die Vorbereitung der Azure- und Active Directory-Infrastruktur (AD) sowie die Installation des SAP NetWeaver HA-Systems.

Voraussetzungen

Von Bedeutung

Die Installation von SAP HA-Systemen auf Azure Files Premium-SMB mit AD-Integration erfordert teamübergreifende Zusammenarbeit. Es wird empfohlen, dass die folgenden Teams zusammenarbeiten, um Aufgaben zu erreichen:

  • Azure Team: Einrichten und Konfigurieren von Speicherkonten, Skriptausführung und AD-Synchronisierung.
  • AD-Team: Erstellen von Benutzerkonten und Gruppen.
  • Basisteam: Führen Sie den SAP Software Provisioning Manager (SWPM) aus, und legen Sie bei Bedarf Zugriffssteuerungslisten (Access Control Lists, ACLs) fest.
  • SAP-Server, die einer Active Directory-Domäne beigetreten sind.
  • Die AD-Domäne, die die SAP-Server enthält, die mithilfe von Microsoft Entra Connect in Microsoft Entra ID repliziert wurden.
  • Mindestens ein AD-Domänencontroller in der Azure-Landschaft, um zu vermeiden, Azure ExpressRoute für die Kontaktaufnahme mit lokalen Domänencontrollern zu nutzen.
  • Das Azure support Team hat die Dokumentation für Azure Files SMB mit AD-Integration überprüft. Das Video zeigt zusätzliche Konfigurationsoptionen, die geändert (DNS) und aus Gründen der Einfachheit übersprungen (DFS-N) wurden. Diese Konfigurationsoptionen sind jedoch gültig.
  • Der Benutzer, der das Azure Files PowerShell-Skript ausführt, verfügt über die Berechtigung zum Erstellen von Objekten in AD.
  • SWPM Version 1.0 SP32 oder SWPM 2.0 SP09 oder höher. Der SAPinst-Patch muss 749.0.91 oder höher sein.
  • Eine aktuelle Version von PowerShell, die auf der Windows-Serverinstanz installiert ist, auf der Sie das Skript ausführen.
  • Das Gruppieren von SAP ASCS/SCS-Instanzen über eine Dateifreigabe wird für SAP-Systeme mit SAP Kernel 7.22 (und höher) unterstützt. Weitere Informationen finden Sie unter SAP Note 2698948.

Dimensionierung und Verteilung der SMB-Freigaben von Azure Files Premium

Bewerten Sie die folgenden Punkte, wenn Sie die Bereitstellung von Azure Files Premium-SMB planen:

  • Sie können den Dateifreigabenamen sapmnt einmal pro Speicherkonto erstellen. Sie können auch zusätzliche Sicherheits-IDs (SIDs) als Verzeichnisse auf derselben /sapmnt-Freigabe erstellen, z. B. /sapmnt/<SID1> und /sapmnt/<SID2>.
  • Wählen Sie eine geeignete Größe, IOPS und den Durchsatz aus. Eine vorgeschlagene Größe für die Freigabe ist 256 GB pro SID. Die maximale Größe für eine Freigabe beträgt 5.120 GB.
  • Azure Files Premium SMB wird mit sehr großen sapmnt-Freigaben mit mehr als 1 Million Dateien pro Speicherkonto möglicherweise nicht erwartungsgemäß ausgeführt. Kunden, die Millionen von Batchaufträgen haben, die Millionen von Auftragsprotokolldateien erstellen, sollten sie regelmäßig neu organisieren, wie in SAP Note 16083 beschrieben. Bei Bedarf können Sie alte Auftragsprotokolle in eine andere Azure Files Premium-SMB-Dateifreigabe verschieben oder archivieren. Wenn Sie erwarten, dass sapmnt besonders groß ist, sollten Sie andere Optionen (z. B. Azure NetApp Files) in Betracht ziehen.
  • Es wird empfohlen, einen privaten Netzwerkendpunkt zu verwenden.
  • Vermeiden Sie, zu viele SIDs in einem einzigen Speicherkonto und dessen Dateifreigabe zu platzieren.
  • Als allgemeine Anleitung kombinieren Sie nicht mehr als vier Nichtproduktions-SIDs.
  • Platzieren Sie das gesamte Entwicklungs-, Produktions- und Qualitätssicherungssystem (Quality Assurance System, QAS) nicht in einem Speicherkonto oder einer Dateifreigabe. Ein Ausfall der Freigabe führt zu einer Ausfallzeit der gesamten SAP-Landschaft.
  • Es wird empfohlen, die Sapmnt - und Transportverzeichnisse in verschiedenen Speicherkonten zu platzieren, mit Ausnahme kleinerer Systeme. Während der Installation des primären SAP-Anwendungsservers fordert SAPinst den Transporthostnamen an. Geben Sie den FQDN eines anderen Speicherkontos als <storage_account.file.core.windows.net> ein.
  • Legen Sie das Dateisystem, das für Schnittstellen verwendet wird, nicht auf dasselbe Speicherkonto wie /sapmnt/<SID> ein.
  • Sie müssen die SAP-Benutzer und -Gruppen zur sapmnt-Freigabe hinzufügen. Legen Sie im Azure-Portal die Berechtigung „Erhöhter Mitwirkender für die SMB-Freigabe von Speicherdateien” fest.

Durch die Verteilung von Transport, Interface und sapmnt zwischen separaten Speicherkonten werden der Durchsatz und die Resilienz verbessert. Außerdem wird die Leistungsanalyse vereinfacht. Durch die Kombination vieler SIDs und anderer Dateisysteme in einem Speicherkonto ist es schwierig zu identifizieren, welche SID oder Anwendung Durchsatzprobleme verursacht.

Installieren des SAP-Systems

Erstellen von Benutzern und Gruppen

Der AD-Administrator sollte im Voraus drei Domänenbenutzer mit lokalen Administratorrechten und einer globalen Gruppe in der lokalen Windows Server AD-Instanz erstellen.

SAPCONT_ADMIN@SAPCONTOSO.local verfügt über Domänenadministratorrechte und wird verwendet, um SAPinst, <sid>adm und SAPService<SID> als SAP-Systembenutzer und die gruppe SAP_<SAPSID>_GlobalAdmin auszuführen. Das SAP-Installationshandbuch enthält die spezifischen Details, die für diese Konten erforderlich sind.

Hinweis

SAP-Benutzerkonten sollten keine Domänenadministratoren sein. Es wird empfohlen, saPinst nicht mit <sid>adm auszuführen.

Synchronisierungsdienst-Manager überprüfen

Der AD-Administrator oder Azure-Administrator sollte den Synchronisierungsdienst-Manager in Microsoft Entra Connect überprüfen. Standardmäßig dauert es etwa 30 Minuten, bis sie in Microsoft Entra ID repliziert werden.

Erstellen eines Speicherkontos, eines privaten Endpunkts und einer Dateifreigabe

Der Azure-Administrator sollte die folgenden Aufgaben ausführen:

  1. Erstellen Sie auf der Registerkarte " Grundlagen " ein Speicherkonto mit premium zonenredundanten Speicher (ZRS) oder lokal redundantem Speicher (LRS). Kunden mit zonaler Bereitstellung sollten ZRS auswählen. Hier wählt der Administrator zwischen einem Standard - oder Premium-Konto aus.

    Screenshot des Azure Portals mit grundlegenden Informationen zum Erstellen eines Speicherkontos.

    Von Bedeutung

    Für die Produktionsverwendung empfehlen wir die Auswahl eines Premium-Kontos . Bei Nichtproduktionsverwendung sollte ein Standardkonto ausreichen.

  2. Auf der Registerkarte "Erweitert " sollten die Standardeinstellungen "OK" sein.

    Screenshot des Azure Portals mit erweiterten Informationen zum Erstellen eines Speicherkontos.

  3. Auf der Registerkarte "Netzwerk " entscheidet der Administrator, ob ein privater Endpunkt verwendet werden soll.

    Screenshot des Azure Portals, in dem Netzwerkinformationen zum Erstellen eines Speicherkontos angezeigt werden.

    1. Wählen Sie "Privaten Endpunkt für das Speicherkonto hinzufügen" aus, und geben Sie dann die Informationen zum Erstellen eines privaten Endpunkts ein.

      Screenshot des Azure-Portals mit Optionen für private Endpunktdefinition.

    2. Fügen Sie bei Bedarf einen DNS-A-Eintrag zu Windows DNS für <storage_account_name>.file.core.windows.net hinzu. Der Eintrag muss sich möglicherweise in einer neuen DNS-Zone befinden. Diskutieren Sie mit Ihrem DNS-Administrator. Die neue Zone sollte nicht außerhalb einer Organisation aktualisiert werden.

      Screenshot des DNS-Managers, der die DNS-Definition des privaten Endpunkts zeigt.

  4. Erstellen Sie die sapmnt Dateifreigabe mit einer geeigneten Größe. Die vorgeschlagene Größe beträgt 256 GB, die 650 IOPS, 75 MB/Sek. für die Ausgabe und 50 MB/Sek. für die Eingabe unterstützt.

    Screenshot des Azure Portals mit SMB-Freigabedefinition.

  5. Laden Sie den Inhalt Azure Files GitHub herunter, und führen Sie das Skript aus.

    Dieses Skript erstellt entweder ein Computerkonto oder ein Dienstkonto in AD. Es hat die folgenden Anforderungen:

    • Der Benutzer, der das Skript ausführt, muss über die Berechtigung zum Erstellen von Objekten in der AD-Domäne verfügen, die die SAP-Server enthält. In der Regel verwendet eine Organisation ein Domänenadministratorkonto wie SAPCONT_ADMIN@SAPCONTOSO.local.
    • Vergewissern Sie sich, dass dieses AD-Domänenbenutzerkonto mit Microsoft Entra ID synchronisiert wird, bevor der Benutzer das Skript ausführt. Ein Beispiel wäre das Öffnen des Azure Portals und das Navigieren zu Microsoft Entra Benutzern, überprüfen Sie, ob der Benutzer SAPCONT_ADMIN@SAPCONTOSO.local vorhanden ist, und überprüfen Sie das Microsoft Entra Benutzerkonto.
    • Gewähren Sie diesem Microsoft Entra-Benutzerkonto die Rolle Mitwirkender für die Ressourcengruppe, die das Speicherkonto mit der Dateifreigabe enthält. In diesem Beispiel wird dem Benutzer die SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com für die jeweilige Ressourcengruppe gewährt.
    • Führen Sie das Skript aus, während Sie bei einer Windows Server Instanz mit einem AD-Domänenbenutzerkonto angemeldet sind, das über die zuvor beschriebenen Berechtigungen verfügt.

    In diesem Beispielszenario würde sich der AD-Administrator als SAPCONT_ADMIN@SAPCONTOSO.local bei der Windows Server Instanz anmelden. Wenn der Administrator den PowerShell-Befehl Connect-AzAccountverwendet, stellt der Administrator eine Verbindung als Benutzer SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.comfest. Im Idealfall sollte der AD-Administrator und der Azure-Administrator an dieser Aufgabe zusammenarbeiten.

    Screenshot des PowerShell-Skripts, das ein lokales Active Directory-Benutzerkonto erstellt.

    Screenshot des Azure Portals nach erfolgreicher PowerShell-Skriptausführung.

    Von Bedeutung

    Wenn ein Benutzer den PowerShell-Skriptbefehl Connect-AzAccount ausführt, wird empfohlen, das Microsoft Entra Benutzerkonto einzugeben, das dem AD-Domänenbenutzerkonto entspricht, das zum Anmelden bei einer Windows Server Instanz verwendet wird.

    Wechseln Sie nach erfolgreicher Ausführung des Skripts zu Storage>File Shares und überprüfen Sie, ob Active Directory: Konfiguriert angezeigt wird.

  6. Weisen Sie der SMB-Dateifreigabe von Azure Files Premium die SAP-Benutzer <sid>adm und SAPService<SID> und die GruppeSAP_<SAPSID>_GlobalAdmin zu. Wählen Sie die Rolle Erhöhter Mitwirkender für die SMB-Freigabe von Speicherdateien im Azure-Portal aus.

  7. Überprüfen Sie die ACL auf der sapmnt-Dateifreigabe nach der Installation. Fügen Sie dann das DOMAIN\CLUSTER_NAME$-Konto, das DOMAIN\<sid>adm-Konto, das DOMAIN\SAPService<SID>-Konto und die SAP_<SID>_GlobalAdmin-Gruppe hinzu. Diese Konten und Gruppen sollten die vollständige Kontrolle über das sapmnt-Verzeichnis haben.

    Von Bedeutung

    Führen Sie diesen Schritt vor der SAPinst-Installation aus. Es ist schwierig oder unmöglich, ACLs zu ändern, nachdem SAPinst Verzeichnisse und Dateien auf der Dateifreigabe erstellt hat.

    Die folgenden Screenshots zeigen, wie Computerkonten hinzugefügt werden.

    Screenshot von Windows Server, der das Hinzufügen des Clusternamens zur lokalen Active Directory Instanz anzeigt.

    Sie können das Konto DOMÄNE\CLUSTER_NAME$ finden, indem Sie „Computer“ unter „Objekttypen“ auswählen.

    Screenshot zum Auswählen eines Objekttyps für ein Active Directory Computerkonto.

    Screenshot der Optionen für den Computerobjekttyp.

    Screenshot der Computerkontozugriffseigenschaften.

  8. Verschieben Sie bei Bedarf das für Azure Files erstellte Computerkonto in einen AD-Container, der keinen Kontoablauf hat. Der Name des Computerkontos ist der kurze Name des Speicherkontos.

    Von Bedeutung

    Um die Windows-ACL für die SMB-Freigabe zu initialisieren, binden Sie die Freigabe einmal an einen Laufwerksbuchstaben ein.

    Der Speicherschlüssel ist das Kennwort, und der Benutzer ist Azure\<SMB-Freigabename>.

    Windows-Screenshot der einmaligen Bereitstellung der SMB-Freigabe.

Sap-Basisaufgaben abschließen

Ein SAP-Basisadministrator sollte diese Aufgaben ausführen:

  1. Installieren Sie den Windows-Cluster auf ASCS/ERS-Knoten und fügen Sie die Cloud-Zeugen hinzu.

  2. Die erste Clusterknoteninstallation fordert den Namen des Azure Files SMB-Speicherkontos an. Geben Sie den FQDN <storage_account_name>.file.core.windows.netein. Wenn SAPinst nicht mehr als 13 Zeichen akzeptiert, ist die SWPM-Version zu alt.

  3. Ändern Sie das SAP-Profil der ASCS/SCS-Instanz.

  4. Aktualisieren des Testports für die Rolle SAP-<SID> im Windows Server-Failovercluster.

  5. Fahren Sie mit der SWPM-Installation für den zweiten ASCS/ERS-Knoten fort. SWPM erfordert nur den Pfad des Profilverzeichnisses. Geben Sie den vollständigen UNC-Pfad zum Profilverzeichnis ein.

  6. Geben Sie den UNC-Profilpfad für die Datenbank und für die Installation des primären Anwendungsservers (PAS) und des zusätzlichen Anwendungsservers (AAS) ein.

  7. Die PAS-Installation fordert den Namen des Transporthosts an. Geben Sie den FQDN eines separaten Speicherkontos für das Transportverzeichnis an.

  8. Überprüfen Sie die ACLs für das SID- und Transportverzeichnis.

Einrichten der Notfallwiederherstellung

Azure Files Premium-SMB unterstützt Notfallwiederherstellungsszenarien und regionsübergreifende Replikationsszenarien. Alle Daten in Azure Files Premium-SMB-Verzeichnissen können kontinuierlich mit dem Speicherkonto einer DR-Region synchronisiert werden. Weitere Informationen finden Sie im Verfahren zum Synchronisieren von Dateien in Transferdaten mit AzCopy und Dateispeicher.

Ändern Sie nach einem DR-Ereignis und einem Failover der ASCS-Instanz in den DR-Bereich den Parameter SAPGLOBALHOST Profil so, dass er auf Azure Files SMB in der DR-Region verweist. Führen Sie die gleichen Vorbereitungsschritte für das DR-Speicherkonto aus, um dem Speicherkonto AD beizutreten und RBAC-Rollen für SAP-Benutzer und -Gruppen zuzuweisen.

Problembehandlung bei der Konfiguration

Die zuvor heruntergeladenen PowerShell-Skripts enthalten ein Debugskript, um grundlegende Überprüfungen zur Überprüfung der Konfiguration durchzuführen.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Hier sehen Sie einen PowerShell-Screenshot der Ausgabe des Debugskripts.

Screenshot des PowerShell-Skripts zum Überprüfen der Konfiguration.

Der folgende Screenshot zeigt die technischen Informationen zum Überprüfen eines erfolgreichen Domänenbeitritts.

Screenshot des PowerShell-Skripts zum Abrufen technischer Informationen.

Konfigurieren optionaler Einstellungen

Die folgenden Diagramme zeigen mehrere SAP-Instanzen auf Azure VMs, die Windows Server Failovercluster ausführen, um die Gesamtanzahl der virtuellen Computer zu reduzieren.

Diese Konfiguration kann entweder lokale SAP-Anwendungsserver auf einem SAP ASCS/SCS-Cluster oder eine SAP ASCS/SCS-Clusterrolle auf Microsoft SQL Server AlwaysOn-Knoten sein.

Von Bedeutung

Das Installieren eines lokalen SAP-Anwendungsservers auf einem SQL Server Always On-Knoten wird nicht unterstützt.

Sowohl SAP ASCS/SCS als auch die Microsoft SQL Server database sind einzelne Fehlerpunkte (SPOFs). Die Verwendung von Azure Files SMB trägt zum Schutz dieser SPOFs in einer Windows Umgebung bei.

Obwohl der Ressourcenverbrauch des SAP ASCS/SCS relativ klein ist, empfehlen wir, die Speicherkonfiguration für SQL Server oder den SAP-Anwendungsserver um 2 GB zu reduzieren.

SAP-Anwendungsserver auf Windows Server Failover-Cluster-Knoten mit Azure Files SMB

Das folgende Diagramm zeigt lokal installierte SAP-Anwendungsserver.

Diagramm eines Hochverfügbarkeitssetups mit zusätzlichen Anwendungsservern.

Hinweis

Das Diagramm zeigt die Verwendung zusätzlicher lokaler Datenträger. Dieses Setup ist optional für Kunden, die keine Anwendungssoftware auf dem Betriebssystemlaufwerk (C:) installieren.

SAP ASCS/SCS auf SQL Server Always-On-Knoten mit Azure Files SMB

Das folgende Diagramm zeigt Azure Files SMB mit lokalem SQL Server Setup.

Von Bedeutung

Die Verwendung Azure Files SMB für jedes SQL Server Volume wird nicht unterstützt.

Diagramm von SAP ASCS/SCS auf SQL Server AlwaysOn-Knoten unter Verwendung von Azure.

Hinweis

Das Diagramm zeigt die Verwendung zusätzlicher lokaler Datenträger. Dieses Setup ist optional für Kunden, die keine Anwendungssoftware auf dem Betriebssystemlaufwerk (C:) installieren.

Verwandte Inhalte

  • Last updated on