本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
群配置先决条件
禁用源/目标检查
每项 EC2 实例都会默认执行源/目标检查。这意味着实例必须为其发送或接收的数据流的源头或目标。对于群集实例,必须在两个应从覆盖 IP 地址接收流量的 EC2 实例上禁用源/目标检查。您可以使用AmazonCLI
Amazon 角色和策略
SAP HANA 数据库 EC2 实例将运行 SLES 或 RHEL 集群软件及其代理。因为 SLES 和 RHEL 群集软件及其代理需要访问Amazon执行故障转移活动的资源,他们需要特定AmazonIAM 权限。
创建新的 IAM 角色并将其与作为集群一部分的两个 EC2 实例关联。将以下 IAM 策略附加到此 IAM 角色。
创建 STONITH 策略
群集的两个实例都需要特权才能启动和停止群集中的其他节点。创建策略,如以下示例所示,并将其附加到分配给两个集群实例的 IAM 角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceAttribute", "ec2:DescribeTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifyInstanceAttribute", "ec2:RebootInstances", "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:ec2:<Region-name>:<account-id>:instance/<instance-id>", "arn:aws:ec2: <Region-name>:<account-id>:instance/<instance-id>" ] } ] }
替换地区名称,account-id和具有适当值的实例标识符。
创建覆盖 IP 代理策略
亚马逊 VPC 设置包括分配子网添加到 SAP HANA 数据库的主/辅助节点。这些已配置的子网都具有来自完全驻留在一个可用区内的 VPC 的无类域间路由 (CIDR) IP 分配。在故障转移情况下,此 CIDR IP 分配不能跨多个区域,也不能重新分配给不同可用区中的辅助实例。出于这个原因,Amazon使您可以在 VPC CIDR 块之外配置叠加 IP (OIP) 以访问活动 SAP 实例。使用 IP 覆盖路由,您可以允许Amazon使用不重叠的网络RFC1918
为了让 SLES/RHEL 叠加 IP 代理在中更改路由条目Amazon路由表,创建以下策略并附加到分配给两个集群实例的 IAM 角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:ReplaceRoute", "Resource": [ "arn:aws:ec2:<Region>:<account-id>:route-table/<route table identifier 1>", "arn:aws:ec2:<Region>:<account-id>:route-table/<route table identifier 2>” ] }, { "Effect": "Allow", "Action": "ec2:DescribeRouteTables", "Resource": "*" } ] }
使用适当的值替换区域名称、账户 ID 和路由表标识符。
更新路由表
将路由条目添加到分配给主 EC2 实例和辅助 EC2 实例子网的路由表。此 IP 地址是 SAP HANA 群集的虚拟 IP(覆盖 IP)地址,需要在 VPC 的 CIDR 范围之外。使用控制台修改路由或将路由添加到路由表:
-
在以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
(需要登录)。 -
在导航窗格中,选择路由表,然后选择路由表。
-
选择操作 >编辑路线.
-
滚动到列表末尾,然后单击添加另一条路由.
-
将覆盖 IP 地址添加到目的地部分然后选择弹性网络接口 (ENI) 名称对于您的现有实例之一。
-
通过单击保存您的更改保存路线.
在路由表中输入覆盖 IP 地址