本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
群集配置先决条件
禁用源/目标检查
每项 EC2 实例都会默认执行源/目标检查。这意味着实例必须为其发送或接收的数据流的源头或目标。对于集群实例,必须在应该从覆盖 IP 地址接收流量的两个 EC2 实例上禁用源/目标检查。您可以使用AmazonCLI
Amazon 角色和策略
SAP HANA 数据库 EC2 实例将运行 SLES 或 RHEL 集群软件及其代理。因为 SLES 和 RHEL 群集软件及其代理需要访问Amazon资源来执行故障转移活动,他们需要特定的AmazonIAM 权限。
创建新的 IAM 角色并将其与作为集群一部分的两个 EC2 实例关联。将以下 IAM 策略附加到此 IAM 角色。
创建 STONITH 策略
群集的两个实例都需要具有启动和停止群集中的其他节点的权限。创建一个策略,如以下示例所示,并将其附加到分配给两个集群实例的 IAM 角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceAttribute", "ec2:DescribeTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifyInstanceAttribute", "ec2:RebootInstances", "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:ec2:<Region-name>:<account-id>:instance/<instance-id>", "arn:aws:ec2: <Region-name>:<account-id>:instance/<instance-id>" ] } ] }
替换区域名称account-id和具有适当值的实例标识符。
创建覆盖 IP 代理策略
亚马逊 VPC 设置包括分配子网到 SAP HANA 数据库的主/辅助节点。这些已配置的子网都具有来自完全驻留在一个可用区内的 VPC 的无类域间路由 (CIDR) IP 分配。在故障转移情况下,此
CIDR IP 分配不能跨多个区域,也不能重新分配给不同可用区中的辅助实例。出于这个原因,Amazon允许您在 VPC CIDR 块之外配置 Overlay IP
(OIP) 以访问活动 SAP 实例。通过 IP 覆盖路由,您可以允许Amazon网络使用非重叠RFC1918
对于 SLES/RHEL 叠加 IP 代理来说,可以更改Amazon路由表中,创建以下策略并附加到分配给两个集群实例的 IAM 角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:ReplaceRoute", "Resource": [ "arn:aws:ec2:<Region>:<account-id>:route-table/<route table identifier 1>", "arn:aws:ec2:<Region>:<account-id>:route-table/<route table identifier 2>” ] }, { "Effect": "Allow", "Action": "ec2:DescribeRouteTables", "Resource": "*" } ] }
使用适当的值替换区域名、帐户 ID 和路由表标识符。
更新路由表
将路由条目添加到分配给主 EC2 实例和辅助 EC2 实例的子网的路由表中。此 IP 地址是 SAP HANA 集群的虚拟 IP(覆盖 IP)地址,需要在 VPC 的 CIDR 范围之外。使用控制台修改路由或将路由添加到路由表:
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
(需要登录)。 -
在导航窗格中,选择路由表,然后选择路由表。
-
选择操作 >编辑路由。
-
滚动到列表末尾,然后单击添加其他路由。
-
将覆盖 IP 地址添加到目的地部分,然后选择弹性网络接口 (ENI) 名称为您的现有实例之一。
-
通过单击保存您的更改保存路由。
路由表中的覆盖 IP 地址条目