SAP on Amazon 规划 - 常规 SAP 指南
SAP NoteSAP on Amazon 架构选择 Amazon 区域和可用区网络和连接遵循安全最佳实践用于 SAP 的 EC2 实例类型操作系统数据库SAP 安装媒体
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

SAP on Amazon 规划

如果您是一位经验丰富的 SAP Basis 或 SAP NetWeaver 管理员,那么您需要考虑许多特定于 Amazon 云的注意事项,关系到计算配置、存储、安全、管理和监控等,来帮助您充分发挥出 Amazon 云端 SAP 环境的优势。此部分提供指导,介绍在 Amazon 上运行 SAP 解决方案时,如何实现最佳的性能、可用性和可靠性以及降低总拥有成本(TCO)。

SAP Note

在 Amazon 上迁移或实施 SAP 环境之前,您应阅读并遵循相关的 SAP Note。首先阅读 SAP Note 1656099 来获取一般信息,然后点击其他相关 SAP Note 的链接(需要 SAP One Support Launchpad 访问权限)。

SAP on Amazon 架构

此部分介绍了 SAP on Amazon 的两种主要架构模式:所有系统均位于 Amazon 云端,以及混合模式。

All-on-Amazon 架构

在 SAP All-on-Amazon 架构中,您的 SAP 环境的所有系统和组件都托管在 Amazon 云端。此类架构的示例场景包括:

  • 在 Amazon 上实施一个完整的、全新 SAP 环境

  • 将完整的现有 SAP 环境迁移到 Amazon 云

图 3 描绘了 SAP all-on-Amazon 架构。运行在 Amazon 云端的 SAP 环境通过 VPN 连接,或者通过 Amazon Direct Connect 建立的专用网络连接,来与本地系统和用户集成。SAProuter 部署在公有子网中,并分配了一个可从互联网访问的公有 IP 地址,以便通过安全网络通信(SNC)连接与 SAP OSS 网络集成。网络地址转换(NAT)网关使得私有子网中的实例可以连接到互联网或其他 Amazon 服务,但阻止实例接收由互联网上的用户发起的入站流量。有关更多信息,请参阅配置网络和连接部分。

图 3:SAP all-on-Amazon 架构

SAP 架构示例

混合 Amazon 架构

使用 SAP 混合 Amazon 架构,一些 SAP 系统和组件托管在您的本地基础设施上,而另一些则托管在 Amazon 基础设施上。此类架构的示例场景包括:

  • 在 Amazon 云端运行 SAP 测试、试用、培训、概念验证(PoC)和类似系统

  • 在 Amazon 云端运行非生产 SAP 环境(例如 DEV 和 QAS),与本地运行的 SAP 生产环境集成

  • 在 Amazon 云端实施新的 SAP 应用程序,并将其与现有 SAP 本地环境集成

图 4 描绘了 SAP 混合 Amazon 架构,其中包含在 Amazon 云端运行的 SAP DEV 和 QAS 环境以及 SAP 测试、培训和 PoC 系统。这些系统与企业网络上的 SAP 系统和用户集成。VPC 与公司网络之间的连接通过 VPN 连接或 Amazon Direct Connect 连接提供。在企业网络上运行现有 SAProuter 和 SAP Solution Manager,用于管理在 VPC 中运行的 SAP 系统。

图 4:SAP 混合 Amazon 架构

SAP 混合架构

选择 Amazon 区域和可用区

有关 Amazon 区域和可用区的更多信息,请参阅 Amazon 全球基础设施

选择区域

在选择部署 SAP 环境的 Amazon 区域时,请考虑以下因素:

  • 靠近您的本地数据中心、系统和最终用户,尽可能减少网络延迟。

  • 数据驻留和监管合规性要求。

  • 您计划在区域使用的 Amazon 产品和服务的可用性。有关按区域划分的 Amazon 产品和服务的详细列表,请参阅 Amazon 网站上的 Region Table

  • 您计划在区域中使用的 EC2 实例类型的可用性。要查看特定实例类型在 Amazon 区域中的可用性,请参阅适用于 SAP 的 Amazon EC2 实例类型网页。

选择可用区

在为部署在 Amazon 云端的 SAP 选择可用区时,没有特别的注意事项。所有 SAP 应用程序(SAP ERP、CRM、SRM 等)和系统(SAP 数据库系统、SAP 中央服务系统和 SAP 应用程序服务器)应部署在同一个可用区中。如果具有高可用性(HA)要求,请使用多个可用区。有关更多信息,请参阅 SAP on Amazon 可用性和可靠性架构指南

网络和连接

Amazon VPC

使用 Amazon VPC,您可以在 Amazon 云内定义自己的逻辑隔离区域中的虚拟网络。可在 VPC 中启动实例等 Amazon 资源。您的 VPC 与您可能在自己的数据中心中运行的传统网络极为相似,并享有使用 Amazon 可扩展基础设施的优势。您可以配置您的 VPC;您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。您可以将您的 VPC 中的实例连接到网络。您可以将您的 VPC 连接到公司的数据中心,并将 Amazon 云作为数据中心的延伸。要保护各个子网中的资源,您可以利用多种安全层,包括安全组和网络访问控制列表。有关更多信息,请参阅《Amazon VPC 用户指南》

有关设置和配置 VPC 以及您的网络与 VPC 之间连接的详细说明,请参阅 Amazon VPC 文档

网络连接选项

您可以通过多种选项,在本地用户和系统与在 Amazon 云端运行的 SAP 系统之间提供连接,这些选项包括直接互联网连接、硬件 VPN 和专用网络连接。

专用网络连接

通过 Amazon Direct Connect,可以轻松建立从本地到 Amazon 云的专用连接。使用 Amazon Direct Connect,您可以建立 Amazon 与数据中心、办公室或主机托管环境之间的私有连接。相比基于互联网的连接,在很多情况下,这样可以降低网络成本,增加带宽吞吐量,并提供更一致的网络体验。有关更多信息,请参阅 Amazon Direct Connect 用户指南

使用案例:建议相比硬件 VPN 提出了更高带宽和更低延迟要求的客户使用。

有关更多信息,请参阅 Amazon Virtual Private Cloud 连接选项

直接互联网连接

连接到在 Amazon 上运行的 SAP 系统的最快、最简单的方法是,使用包含单个公有子网和互联网网关的 VPC 来实现通过互联网通信。有关更多信息,请参阅《Amazon VPC 用户指南》中的场景 1:仅带有公有子网的 VPC

使用案例:非常适合不包含敏感数据的 SAP 演示、培训和测试类型的系统。

Site-to-Site/硬件 VPN

Amazon Site-to-Site VPN 通过互联网协议安全(IPsec)隧道将您的数据中心或分支机构扩展到云端,并支持连接到虚拟专用网关和 Amazon Transit Gateway。您可以选择通过 IPsec 隧道运行边界网关协议(BGP),来获得高可用性解决方案。有关更多信息,请参阅《Amazon VPC 用户指南》中的向 VPC 添加硬件虚拟专用网关

使用案例:建议用于 Amazon 云端需要与本地用户和系统集成的任意 SAP 环境。

Client VPN

Amazon Client VPN 提供完全托管式 VPN 解决方案,可通过互联网连接和兼容 OpenVPN 的客户端从任何位置进行访问。它具有弹性,可自动扩展以满足需求,并可让用户同时连接到 Amazon 云和本地网络。AmazonClient VPN 可与您的现有 Amazon 基础设施(包括 Amazon VPC 和 Amazon Directory Service)无缝集成,因此您无需更改网络拓扑。

使用案例:为您的远程员工和业务合作伙伴提供简单快速的连接。

遵循安全最佳实践

为了提供端到端的安全性和端到端的隐私性,Amazon 遵循安全最佳实践构建服务,在这些服务中提供相应的安全功能,并用文档说明如何使用这些功能。此外,Amazon 客户必须使用这些功能和最佳实践来构建适当的安全应用程序环境。Amazon 高度重视让客户能够确保其数据的机密性、完整性和可用性,因为这对于保持客户的信任和信心至关重要。

责任共担环境

作为客户,您与 Amazon 之间采用了责任共担模式。Amazon 运营、管理和控制从主机操作系统和虚拟化层组件,一直到服务运营所在物理设施的安全性。而您则负责管理来宾操作系统(包括更新和安全补丁)、其他关联应用程序软件以及 Amazon 提供的安全组防火墙的配置。有关 Amazon 安全性的更多信息,请访问 Amazon云安全页面以及查看其中提供的各种 Security Resources

Amazon VPC

Amazon 云端 SAP 环境的安全性以使用 Amazon VPC 提供整体隔离为基础。Amazon VPC 提供了安全详细信息,您必须完成这些设置才能够为资源正确地设置访问和限制措施。Amazon VPC 提供三种功能,供您用来增强和监控 VPC 的安全性:

  • 安全组用作关联 EC2 实例的防火墙,在实例级别控制入站和出站的流量。

  • 网络访问控制列表(ACL)用作关联的子网的防火墙,在子网级别同时控制入站和出站流量。

  • 路由表包含一组称为“路由”的规则,用于确定将网络流量发送到何处。在您的 VPC 中的每个子网必须与一个路由表关联;路由表控制子网的路由。

  • 流日志可捕获有关在 VPC 中传入和传出网络接口的 IP 流量的信息。

有关如何在 VPC 内设置和管理安全的详细文档,请参阅《Amazon VPC 用户指南》安全性部分。

用于 SAP 的 EC2 实例类型

Amazon EC2 提供各种不同的实例类型,这些实例类型经过优化,适合不同的使用案例。实例类型包括 CPU、内存、存储和网络容量的不同组合,便于您灵活选择适合应用程序的资源组合。每种实例类型都包含一个或多个实例大小,您可以根据目标工作负载的要求扩展资源。

部署在 Amazon 云端的 SAP 系统,如果需要 SAP 支持,就必须运行在已通过 SAP 认证的 EC2 实例类型上。此部分介绍在哪里可以找到有关已通过 SAP 认证的 EC2 实例类型的详细信息,以及特定 SAP 解决方案的其他信息。

基于 SAP NetWeaver 的解决方案

如果 SAP 解决方案基于 SAP NetWeaver 平台,并且使用 SAP Application Performance Standard(SAPS)进行规模调整,则必须在 EC2 实例类型的特定子集上运行才能获得 SAP Support 的支持。有关详细信息,请参阅:

SAP HANA

运行在 SAP HANA 数据库上的 SAP HANA 平台和 SAP 解决方案 [例如 HANA、SAP S/4HANA 上的 SAP Suite;HANA、SAP S/4HANA 上的 SAP Business Warehouse(BW)] 需要已通过 SAP HANA 认证的特定 EC2 实例类型。有关更多信息,请参阅适用于 SAP on Amazon 的 Amazon EC2 实例类型

SAP Business One,适用于 SAP HANA 的版本

有关已通过 SAP Business One(适用于 SAP HANA 的版本)认证的 EC2 实例类型的信息,请参阅:

操作系统

支持的操作系统

EC2 实例在基于 Intel x86 指令集的 64 位虚拟处理器上运行。以下 64 位操作系统和版本可用于并支持 Amazon 云端的 SAP 解决方案。

有关在 Amazon 云端支持 SAP 的操作系统的更多信息,请参阅 SAP Note 1656250

SUSE 和 Red Hat 提供其特定于 SAP 的操作系统版本,具有以下优势:

  • SAP 的配置和优化

  • 扩展版本支持

  • 适用于 SAP 的高可用性扩展

  • 专属支持渠道

注意

由于这些优势,强烈建议您为 SAP on Amazon 部署使用 SLES for SAP 或 RHEL for SAP,并使用高可用性(HA)和更新服务(US)。

要了解有关 SUSE 和 Red Hat 适用于 SAP 的操作系统版本的更多信息,请参阅 SLES 和 Red Hat 网站上的以下信息。

SLES for SAP

RHEL for SAP

操作系统许可证

这些操作系统许可选项可用于 Amazon 云端的 SAP 系统:

  • 按需:操作系统软件和许可证捆绑在亚马逊机器映像(AMI)中。操作系统许可证的费用包含在按需型实例的小时费用或该实例类型的预留实例费用中。

  • 自带许可/订阅(BYOL):将您现有的操作系统许可证或订阅带到 Amazon 云端。

  • Amazon Marketplace:从 Amazon Marketplace 购买操作系统许可证和订阅。

下表列出了适用于每个操作系统和版本的许可选项。要了解有关每个选项的更多信息,请点击表中的链接。

操作系统 许可/订阅选项

(SLES)

按需 | BYOL

SLES for SAP

Amazon Marketplace | BYOL

RHEL

按需 | BYOL

RHEL for SAP,带 HA 和 US

Amazon Marketplace | BYOL

(Windows):

按需 | BYOL

Oracle Linux

BYOL

数据库

支持的数据库

SAP 在本地基础设施上支持的所有数据块平台和版本,在 SAP on Amazon 上同样受支持。有关 Amazon 云端特定 SAP 解决方案支持的数据库的详细信息,请参阅 SAP Note 1656099

数据库安装和管理

Amazon EC2 上的客户托管数据库

大多数 SAP 解决方案在 Amazon EC2 上使用客户托管模式。数据库的安装、配置、管理、备份和恢复均由客户或合作伙伴完成。

以下 SAP 解决方案在 Amazon EC2 上使用自行管理数据库模式:

  • SAP Business Suite 和基于 SAP NetWeaver 的应用程序

  • SAP HANA

  • SAP S/4HANA

  • SAP BW/4HANA

  • SAP BusinessObjects BI

  • SAP Business One

Amazon RDS

Amazon Relational Database Service(Amazon RDS)是一项托管式服务,让您能够在云中更轻松地设置、操作和扩展关系数据库。此服务在管理耗时的数据库管理任务的同时,提供经济实用的可调节容量,使您能够腾出时间专注于应用程序和业务。以下 SAP 解决方案目前支持 Amazon RDS:

  • SAP BusinessObjects BI

  • SAP Commerce(以前称为 SAP Hybris Commerce)

Amazon Aurora

Amazon Aurora(Aurora)是一种专为云构建的 MySQL 和 PostgreSQL 兼容关系数据库。此数据库既具有传统企业数据库的性能和可用性,又具有开源数据库的简单性和成本效益。以下 SAP 解决方案目前支持 Aurora MySQL:

  • SAP Commerce(以前称为 SAP Hybris Commerce)

数据库许可证

以下数据库许可选项可用于 Amazon 云端的 SAP 系统:

  • 按需:数据库软件和许可证捆绑在亚马逊机器映像(AMI)中。数据库许可证的费用包含在按需型实例的小时费用或该实例类型的预留实例费用中。

  • 自带许可(BYOL):将您现有的数据库许可证带到 Amazon 云中。

  • Amazon Marketplace:从 Amazon Marketplace 购买数据库软件和许可证。

下表列出了各种数据库在 Amazon 云端可用的许可选项。有关更多信息,请访问许可选项列中的链接。

数据库 许可选项

SAP HANA

BYOL

SAP Adaptive Server Enterprise(ASE)(SAP ASE)

BYOL

Microsoft SQL Server

BYOL*

IBM DB2

BYOL

(Oracle

BYOL

:Amazon Aurora

按需

SAP 安装媒体

Amazon 云端的大多数 SAP 解决方案都使用自带软件模式。有两个主要选项可用于将 SAP 安装媒体复制到 Amazon 云端:

  • 从 SAP Software Download Center 下载到 Amazon EC2。从您的 EC2 实例,连接到 SAP Software Download Center 并下载所需的安装媒体。此选项很可能是将 SAP 安装媒体获取到 Amazon 云端的最快方法,因为 EC2 实例与互联网的连接速度非常快。您可以创建专用 Amazon EBS 卷来存储安装媒体,然后根据需要将该卷连接到不同的实例。您还可以创建 Amazon EBS 卷的快照,并创建多个卷,可以用来并行连接到多个实例。

  • 从您的网络复制到 Amazon EC2。如果您已经将所需的 SAP 安装媒体下载到自己网络上的某个位置,则可以将媒体从网络直接复制到 EC2 实例。