AZ 1006 模块:设计和实现基础结构以支持 Azure 上的 SAP 工作负载

AZ-1006 1 日课程实验室:Azure SAP 解决方案中心 (ACSS) 部署和维护概述

重要说明:当前不支持此实验室(2 月 24 日)。** - 有关详细的手动必备项部署,请参阅实验室 6a - 有关 ACSS 演示基础结构部署,请参阅[实验室 6c(https://github.com/MicrosoftLearning/AZ-120-Planning-and-Administering-Microsoft-Azure-for-SAP-Workloads/blob/master/Instructions/AZ-120_Lab06c-ACSS_One_Day.md)]。

预计时间:100 分钟

此 AZ-1006 1 日课程实验室中的所有任务是从 Azure 门户执行的

目标

完成本实验后,你将能够:

  • 使用 Azure SAP 解决方案中心实现评估 Azure 中 SAP 工作负载部署的最低先决条件
  • 使用 Azure SAP 解决方案中心部署在 Azure 中托管 SAP 工作负载的基础结构
  • 在 Azure 中维护 SAP 工作负载,同时使用 Azure SAP 解决方案中心

说明

练习 1:使用 Azure SAP 解决方案中心实现评估 Azure 中 SAP 工作负载部署的最低先决条件

持续时间:30 分钟

在本练习中,你将使用 Azure SAP 解决方案中心实现评估 Azure 中 SAP 工作负载部署的最低先决条件。 这包括以下活动:

重要说明:本练习中实现的先决条件并意在代表使用 Azure SAP 解决方案中心在 Azure 中部署 SAP 工作负载的最佳做法。 其目的是使用 Azure SAP 解决方案中心并执行部署后管理和维护任务来最大程度地减少评估在 Azure 中部署 SAP 工作负载的机制所需的时间、成本和资源。 实现先决条件包括以下活动:

  • 创建 Microsoft Entra 用户分配的托管标识,以供 Azure SAP 解决方案中心在其部署期间用于 Azure 存储访问。
  • 授予用于执行部署的 Microsoft Entra 用户分配的托管标识对 Azure 订阅和 Azure 存储常规用途 v2 帐户的访问权限
  • 创建负责托管部署中包含的所有 Azure 虚拟机的 Azure 虚拟网络。
  • 创建和配置网络安全组 (NSG),用于限制来自托管部署的虚拟网络子网的出站访问。
  • 创建和配置 NAT 网关,以便部署中的 Azure VM 进行出站连接。

这些活动对应于本练习的以下任务:

  • 任务 1:创建 Microsoft Entra 用户分配的托管标识
  • 任务 2:为 Microsoft Entra ID 用户分配的托管标识配置 Azure 基于角色的访问控制 (RBAC) 角色分配
  • 任务 3:创建 Azure 虚拟网络
  • 任务 4:创建和配置网络安全组
  • 任务 5:创建和配置 NAT 网关

任务 1:创建 Microsoft Entra 用户分配的托管标识

在此任务中,你将创建一个 Microsoft Entra 用户分配的托管标识,以供 Azure SAP 解决方案中心在其部署期间用于 Azure 存储访问。

  1. 在实验室计算机中启动 Web 浏览器,导航到位于 https://portal.azure.com 的 Azure 门户,并使用你在此实验室中使用的 Azure 订阅所有者角色通过 Microsoft 帐户或 Microsoft Entra ID 帐户进行身份验证。
  2. 在显示 Azure 门户的 Web 浏览器窗口中的“搜索”文本框中,搜索并选择“托管标识”。
  3. 在“托管标识”页上,选择“+ 创建”****。

  4. 在“创建用户分配的托管标识”页的“基本信息”选项卡上,指定以下设置,然后选择“查看 + 创建”****

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 资源组的名称为 ACSS-DEMO
    区域 你用于 ACSS 部署的 Azure 区域的名称
    名称 acss-infra-MI

  5. 在“查看”选项卡上,等待验证过程完成并选择“创建”****。

    注意:请勿等待预配完成,而是继续执行下一个任务。 预配只需几秒钟即可完成。

    注意:在即将执行的一项任务中,你将授权托管标识访问托管 SAP 安装媒体的存储帐户,以适应通过 Azure SAP 解决方案中心安装 SAP 软件。

任务 2:为用于执行部署的 Microsoft Entra ID 用户帐户配置 Azure 基于角色的访问控制 (RBAC) 角色分配

  1. 在实验室计算机上显示 Azure 门户的 Web 浏览器窗口中,在“搜索”文本框中搜索并选择“订阅”。
  2. 在“订阅”页上,选择表示将用于本实验室的 Azure 订阅的条目**
  3. 在显示 Azure 订阅属性的页上,选择“访问控制(IAM)”**
  4. 在“访问控制(IAM)”页上,选择“+ 添加”,然后从下拉菜单中选择“添加角色分配”****
  5. 在“添加角色分配”页的“角色”选项卡上,在“作业功能角色”列表中搜索并选择“Azure SAP 解决方案中心服务角色”条目,然后选择“下一步”。
  6. 在“添加角色分配”页的“成员”选项卡上,对于“分配访问权限对象”,选择“托管标识”,然后单击“+ 选择成员”。

  7. 在“选择托管标识”窗格中,指定以下设置:

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    托管的标识 用户分配的托管标识
    选择 acss-infra-MI
  8. 在托管标识列表中,选择“acss-infra-MI”条目,然后单击“选择”。
  9. 回到“成员”选项卡上,选择“查看 + 分配”****。

  10. 在“查看 + 分配”选项卡上,选择“查看 + 分配”****。

    添加:“Azure SAP 解决方案中心管理员身份”
  11. 返回到“访问控制(IAM)”页上,选择“+ 添加”,然后从下拉菜单中选择“添加角色分配”。
  12. 在“添加角色分配”页的“角色”选项卡上,在“作业功能角色”列表中搜索并选择“Azure Sap 解决方案中心管理员”条目,然后选择“下一步”********。
  13. 在“成员”选项卡上**
    • 对于“分配访问权限至”,选择“用户、组或服务主体”****
    • 单击“+ 选择成员”。**
  14. 在“选择成员”窗格的“选择”文本框中,输入用于访问此实验室所用 Azure 订阅的 Microsoft Entra ID 用户帐户名称,在匹配条目的结果列表中选择该帐户名称,然后单击“选择”。
  15. 回到“成员”选项卡上,选择“查看 + 分配”****。

  16. 在“查看 + 分配”选项卡上,选择“查看 + 分配”****。

    添加:“托管标识操作员”
  17. 返回到“访问控制(IAM)”页上,选择“+ 添加”,然后从下拉菜单中选择“添加角色分配”。
  18. 在“添加角色分配”页的“角色”选项卡上,在“作业功能角色”列表中搜索并选择“托管标识操作员”条目,然后选择“下一步”********。
  19. 在“成员”选项卡上**
    • 对于“分配访问权限至”,选择“用户、组或服务主体”****
    • 单击“+ 选择成员”。**
  20. 在“选择成员”窗格的“选择”文本框中,输入用于访问此实验室所用 Azure 订阅的 Microsoft Entra ID 用户帐户名称,在匹配条目的结果列表中选择该帐户名称,然后单击“选择”。
  21. 回到“成员”选项卡上,选择“查看 + 分配”****。
  22. 在“查看 + 分配”选项卡上,选择“查看 + 分配”****。

任务 3:创建虚拟网络

在此任务中,你将创建托管部署中包含的所有 Azure 虚拟机的 Azure 虚拟网络。 此外,在虚拟网络中,你将创建以下子网:

  • 应用 - 用于托管 SAP 应用程序和 SAP Central Services 实例服务器
  • db - 用于托管 SAP 数据库层
  1. 在实验室计算机上显示 Azure 门户的 Web 浏览器窗口中,在“搜索”文本框中搜索并选择“虚拟网络”。
  2. 在“虚拟网络”页面上,选择“+ 创建”。

  3. 在“创建虚拟机”页的“基本信息”选项卡中,指定以下设置并选择“下一页:****

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 acss-infra-RG
    虚拟网络名称 acss-infra-VNET
    区域 本练习上一任务中使用的同一 Azure 区域的名称

  4. 在“安全性”选项卡上,接受默认设置并选择“下一步”。****

    注意:此时可以同时预配 Azure Bastion 和 Azure 防火墙,但在创建虚拟网络后,将单独预配它们。

  5. 在“IP 地址”选项卡上,指定以下设置,然后选择“查看 + 创建”****:

    设置 “值”
    IP 地址空间 10.0.0.0/16(65,536 个地址)
  6. 在子网列表中,选择垃圾桶图标以删除默认子网。
  7. 选择“+添加子网”。

  8. 在“添加子网”窗格中,指定以下设置,然后选择“添加”(将其他项保留为默认值)****:

    设置
    名称 app
    开始地址 10.0.2.0
    大小 /24(256 个地址)
  9. 选择“+添加子网”。

  10. 在“添加子网”窗格中,指定以下设置,然后选择“添加”(将其他项保留为默认值)****:

    设置
    名称 db
    开始地址 10.0.3.0
    大小 /24(256 个地址)
  11. 在“IP 地址”选项卡上,选择“查看 + 创建”****:

  12. 在“查看 + 创建”选项卡上,等待验证过程完成,然后选择“创建”****。

    注意:请勿等待预配过程完成,而是继续执行下一个任务。 预配只需几秒钟即可完成。

任务 4:创建和配置网络安全组

在此任务中,你将创建并配置一个网络安全组 (NSG),用于限制托管部署的虚拟网络子网的出站访问。 可以通过阻止 Internet 连接,但显式允许连接到以下服务来实现此目的:

  • SUSE 或 Red Hat 更新基础结构终结点
  • Azure 存储
  • Azure Key Vault
  • Microsoft Entra ID
  • Azure Resource Manager

注意:通常,应考虑使用 Azure 防火墙而不是 NSG 来保护 SAP 部署的网络连接。

  1. 在实验室计算机上,在显示 Azure 门户的 Web 浏览器窗口的“搜索”文本框中搜索并选择“网络安全组”。
  2. 在“网络安全组”页上,选择“+ 创建”。

  3. 在“创建网络安全组”页的“基本信息”选项卡上,指定以下设置,然后选择“查看 + 创建”****

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 acss-infra-RG
    名称 acss-infra-NSG
    区域 本练习前面使用的同一 Azure 区域的名称

  4. 在“查看 + 创建”选项卡上,等待验证过程完成并选择“创建”****。

    注意:等待预配过程完成。 预配用时应会少于 1 分钟。

  5. 在“部署完成”面板上,选择“转到资源”。

    注意:默认情况下,网络安全组的内置规则允许所有出站流量、同一虚拟网络中的所有流量以及对等互连虚拟网络之间的所有流量。 从安全角度来看,应考虑限制此默认行为。 建议的配置将限制到 Internet 和 Azure 的出站连接。 还可以使用 NSG 规则来限制虚拟网络中的连接。

  6. 在“acss-infra-NSG页面上的导航菜单中,在“设置”部分中,选择“出站安全规则”。
  7. 在“acss-infra-NSG | 出站安全规则”页上,选择“+ 添加”。

  8. 在“添加出站安全规则”窗格中,指定以下设置,然后选择“添加”:

    注意:应添加以下规则以显式允许连接到 Red Hat 更新基础结构终结点。

    注意:若要标识用于 RHEL 的 IP 地址,请参阅为基础结构部署准备网络

    设置
    任意
    源端口范围 *
    目标 IP 地址
    目标 IP 地址/CIDR 范围 13.91.47.76,40.85.190.91,52.187.75.218,52.174.163.213,52.237.203.198,52.136.197.163,20.225.226.182,52.142.4.99,20.248.180.252,20.24.186.80
    服务 自定义
    目标端口范围 *
    协议 任意
    操作 允许
    优先级 300
    名称 AllowAnyRHELOutbound
    说明 允许与 RHEL 更新基础结构终结点建立出站连接
  9. 在“acss-infra-NSG | 出站安全规则”页上,选择“+ 添加”。

  10. 在“添加出站安全规则”窗格中,指定以下设置并选择“添加”:

    注意:应添加以下规则以显式允许连接到 SUSE 更新基础结构终结点。

    注意:若要标识用于 SUSE 的 IP 地址,请参阅为基础结构部署准备网络

    设置
    任意
    源端口范围 *
    目标 IP 地址
    目标 IP 地址/CIDR 范围 52.188.224.179,52.186.168.210,52.188.81.163,40.121.202.140**
    服务 自定义
    目标端口范围 *
    协议 任意
    操作 允许
    优先级 305
    名称 AllowAnySUSEOutbound
    说明 允许与 SUSE 更新基础结构终结点建立出站连接

    注意:应添加以下规则以显式允许连接到 Azure 存储。

  11. 在“acss-infra-NSG | 出站安全规则”页上,选择“+ 添加”。

  12. 在“添加出站安全规则”窗格中,指定以下设置并选择“添加”:

    设置
    任意
    源端口范围 *
    目标 服务标记
    目标服务标记 存储
    服务 自定义
    目标端口范围 *
    协议 任意
    操作 允许
    优先级 400
    名称 AllowAnyCustomStorageOutbound
    说明 允许与 Azure 存储建立出站连接

    注意:可以将存储服务标记替换为特定于区域的标记,例如 Storage.EastUS

    注意:应添加以下规则以显式允许连接到 Azure Key Vault。

  13. 在“acss-infra-NSG | 出站安全规则”页上,选择“+ 添加”。

  14. 在“添加出站安全规则”窗格中,指定以下设置并选择“添加”:

    设置
    任意
    源端口范围 *
    目标 服务标记
    目标服务标记 AzureKeyVault
    服务 自定义
    目标端口范围 *
    协议 任意
    操作 允许
    优先级 500
    名称 AllowAnyCustomKeyVaultOutbound
    说明 允许与 Azure Key Vault 建立出站连接

    注意:应添加以下规则以显式允许连接到 Microsoft Entra ID。

  15. 在“acss-infra-NSG | 出站安全规则”页上,选择“+ 添加”。

  16. 在“添加出站安全规则”窗格中,指定以下设置并选择“添加”:

    设置
    任意
    源端口范围 *
    目标 服务标记
    目标服务标记 AzureActiveDirectory
    服务 自定义
    目标端口范围 *
    协议 任意
    操作 允许
    优先级 600
    名称 AllowAnyCustomEntraIDOutbound
    说明 允许与 Microsoft Entra ID 建立出站连接

    注意:应添加以下规则以显式允许连接到 Azure 资源管理器。

  17. 在“acss-infra-NSG | 出站安全规则”页上,选择“+ 添加”。

  18. 在“添加出站安全规则”窗格中,指定以下设置并选择“添加”:

    设置
    任意
    源端口范围 *
    目标 服务标记
    目标服务标记 AzureResourceManager
    服务 自定义
    目标端口范围 *
    协议 任意
    操作 允许
    优先级 700
    名称 AllowAnyCustomARMOutbound
    说明 允许与 Azure 资源管理器建立出站连接

    注意:应添加最后一条规则以显式阻止与 Internet 的连接。

  19. 在“acss-infra-NSG | 出站安全规则”页上,选择“+ 添加”。

  20. 在“添加出站安全规则”窗格中,指定以下设置并选择“添加”:

    设置
    任意
    源端口范围 *
    目标 服务标记
    目标服务标记 Internet
    服务 自定义
    目标端口范围 *
    协议 任意
    操作 拒绝
    优先级 1000
    名称 DenyAnyCustomInternetOutbound
    说明 拒绝到 Internet 的出站连接

    注意:最后,需要将 NSG 分配到将托管 SAP 部署的虚拟网络的相关子网。

  21. 在“添加出站安全规则”窗格中的导航菜单中,在“设置部分,选择“子网”。
  22. 在“acss-infra-NSG | 子网”页上,选择“+ 关联”。
  23. 在“关联子网”窗格中的“虚拟网络”下拉列表中,选择“acss-intra-VNET (acss-infra-RG)”,在“子网”下拉列表中选择“应用”,然后选择“确定”。
  24. 在“关联子网”窗格中的“虚拟网络”下拉列表中,选择“acss-intra-VNET (acss-infra-RG)”,在“子网”下拉列表中选择“db”,然后选择“确定”。

任务 5:创建和配置 NAT 网关

在此任务中,你将创建并配置一个网络地址转换 (NAT) 网关,该网关允许部署中包含的 Azure VM 访问外部服务,例如 SUSE 和 RHEL 终结点。

  1. 在实验室计算机上显示 Azure 门户的 Web 浏览器窗口中,在“搜索”文本框中搜索并选择“NAT 网关”。
  2. 在“NAT 网关页上,选择“+ 创建”。

  3. 在“创建网络地址转换 (NAT) 网关”页的“基本信息”选项卡上,指定以下设置,然后选择“下一步:出站 IP >

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 acss-infra-RG
    NAT 网关名称 acss-infra-NATGW
    区域 本练习前面使用的同一 Azure 区域的名称
    可用性区域 无区域
    TCP 空闲超时(分钟) 4
  4. 在“出站 IP”选项卡上的“公共 IP 地址”下拉列表下方,选择“创建新的公共 IP 地址”链接,在“添加公共 IP 地址”窗格中的“名称”文本框中,输入“acss-infra-NATWG-PIP”,然后选择“确定”。
  5. 返回到“出站 IP”选项卡上,选择“下一步:子网>
  6. 在“子网”选项卡上的“虚拟网络”下拉列表中,选择“acss-infra-VNET”,在子网列表中,选中应用数据库条目旁边的复选框,然后选择“查看 + 创建

  7. 在“查看 + 创建”选项卡上,等待验证过程完成并选择“创建”****。

    注意:等待预配过程完成。 预配大约需要 1 分钟。

练习 2:使用 Azure SAP 解决方案中心部署在 Azure 中托管 SAP 工作负载的基础结构

持续时间:40 分钟

在本练习中,你将执行 Azure SAP 解决方案中心部署。 这包括以下活动:

  • 使用 Azure SAP 解决方案中心将能够托管 SAP 工作负载的基础结构部署到 Azure 订阅中。

此活动对应于本练习的以下任务:

  • 任务 1:创建 SAP 解决方案虚拟实例 (VIS)

注意:成功部署后,可以使用 Azure SAP 解决方案中心继续安装 SAP 软件。 但是,此实验室中不包括安装 SAP 软件。

注意:有关使用 Azure SAP 解决方案中心安装 SAP 软件的信息,请参阅介绍了如何获取 SAP 安装介质安装 SAP 软件的 Microsoft Learn 文档。

任务 1:创建 SAP 解决方案虚拟实例 (VIS)

  1. 在实验室计算机上,在显示 Azure 门户的 Microsoft Edge 窗口中,在“搜索”文本框中搜索并选择“Azure SAP 解决方案中心”****。
  2. 在“Azure SAP 解决方案中心 | 概述”页上,选择“创建新的 SAP 系统”****。

  3. 在“创建 SAP 解决方案虚拟实例”页的“基本信息”选项卡上,指定以下设置,然后选择“下一页: **** 虚拟机”

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 新资源组的名称 acss-vi-RG****
    名称 (SID) VI1
    区域 托管已注册 ACSS 的 SAP 部署的 Azure 区域的名称或同一地理位置中的另一个区域的名称
    环境类型 非生产
    SAP 产品 S/4HANA**
    数据库 HANA
    HANA 缩放方法 纵向扩展(推荐)**
    部署类型 分布式,提供高可用性 (HA)
    计算可用性 99.95(可用性集)**
    虚拟网络 acss-infra-VNET
    应用程序子网 应用(10.0.2.0/24)
    数据库子网 数据库 (10.0.3.0/24)
    应用程序 OS 映像选项 使用市场映像
    应用程序 OS 映像 Red Hat Enterprise Linux 8.4 for SAP Applications - x64 Gen2 最新版
    数据库 OS 映像选项 使用市场映像
    数据库 OS 映像 Red Hat Enterprise Linux 8.4 for SAP Applications - x64 Gen2 最新版
    SAP 传输选项 ** 不包括 SAP 传输目录
    身份验证类型 SSH 公共**
    用户名 contososapadmin**
    SSH 公钥源 生成新密钥对
    密钥对名称 contosovi1key
    SQP FQDN sap.contoso.com**
    托管标识源 使用现有的用户分配的托管标识**
    托管标识名称 acss-infra-MI

  4. 在“虚拟机”选项卡上,指定以下设置**

    设置 “值”
    基于以下内容生成建议 SAP 应用程序性能标准 (SAPS) – 选择此选项为应用层和数据库内存大小提供 SAPS,然后单击“生成建议”**
    应用层的 SAP 1000
    数据库的内存大小 (GiB) ** 128
  5. 选择“生成建议”。

  6. 查看 ASCS、应用程序和数据库虚拟机的 VM 大小和数量。

    注意:如果需要,请通过选择每组虚拟机的“查看所有大小”链接并选择替代大小来调整建议的大小。** 默认情况下,具有高可用性的分布式部署类型以及上面指定的应用层 SAPS 和数据库内存大小会产生以下最小 VM SKU 建议:

    • 对于 ASCS VM,2 个 Standard_D4ds_v5(每个 VM 4 个 vCPU 和 16 GiB 内存)
    • 对于应用程序 VM,2 个 Standard_D4ds_v5(每个 VM 4 个 vCPU 和 16 GiB 内存)
    • 对于数据库 VM,2 个 Standard_E16ds_v5(每个 VM 16 个 vCPU 和 128 GiB 内存)

    注意:如果需要,可以通过选择特定虚拟机 SKU 的“请求配额”链接并提交配额增加请求来请求增加配额。** 处理请求通常需要几分钟时间。

    注意:Azure SAP 解决方案中心在部署期间强制使用 SAP 支持的 VM SKU。

  7. 在“虚拟机”选项卡上的“数据磁盘”部分中,选择“查看和自定义配置”链接****
  8. 在“数据库磁盘配置”页上,查看建议的配置而不进行任何更改,然后选择“关闭”****。
  9. 回到“虚拟机”选项卡上,选择“下一页: **** 可视化体系结构”。
  10. 在“可视化体系结构”选项卡上,查看展示建议的体系结构的示意图,然后选择“查看 + 创建”****。
  11. 在“查看 + 创建”选项卡上,等待验证过程完成,选中复选框以确认部署区域中有充足的可用配额,以避免遇到“配额不足”错误,然后选择“创建”****。

  12. 出现提示时,在“生成新的密钥对”窗口中选择“下载私钥并创建资源”****。

    注意:连接到部署中包含的 Azure VM 所需的私钥将下载到运行本实验室的计算机。

    备注:请等待部署完成。 这可能需要大约 25 分钟。

    注意:部署后,可以使用 Azure SAP 解决方案中心继续安装 SAP 软件。 在此实验室中,你将在不安装 SAP 软件的情况下,探索 Azure SAP 解决方案中心的功能。

练习 3:使用 Azure SAP 解决方案中心在 Azure 中维护 SAP 工作负载

持续时间:60 分钟

在本练习中,你将使用 Azure SAP 解决方案中心查看 SAP 工作负载的部署后管理和监视。 这包括以下活动:

  • 实现由 Azure SAP 解决方案中心管理的 SAP 工作负载备份的先决条件
  • 实现 Azure SAP 解决方案中心管理的 SAP 工作负载灾难恢复的先决条件
  • 查看适用于 Azure SAP 解决方案中心管理的 SAP 工作负载的监视选项
  • 删除此实验室中预配的所有 Azure 资源。

这些活动对应于本练习的以下任务:

  • 任务 1:实现由 Azure SAP 解决方案中心管理的 SAP 工作负载备份的先决条件
  • 任务 2:实现 Azure SAP 解决方案中心管理的 SAP 工作负载灾难恢复的先决条件
  • 任务 3:查看 Azure SAP 解决方案中心管理的 SAP 工作负载的监视选项
  • 任务 4:删除本实验室中预配的 Azure 资源

任务 1:实现由 Azure SAP 解决方案中心管理的 SAP 工作负载备份的先决条件

注意:在 Azure SAP 解决方案中心,在 VIS 资源级别配置 Azure 备份时,可以在一个步骤中为托管数据库、应用程序服务器和 SAP Central Services 实例的 Azure VM 以及 HANA DB 启用备份。 对于 HANA DB 备份,Azure SAP 解决方案中心会自动运行备份预注册脚本。

  1. 在实验室计算机上,在显示 Azure 门户的 Microsoft Edge 窗口中,在“搜索”文本框中搜索并选择“Azure SAP 解决方案中心”****。
  2. 在“Azure SAP 解决方案中心 | 概述”页上,在左侧的垂直导航菜单中,选择“SAP 解决方案虚拟实例”,然后在虚拟实例列表中,选择在上一练习中部署的实例****。
  3. 在虚拟实例页左侧的垂直导航菜单中,在“操作”部分,选择“备份(预览)”****。

  4. 请注意说明由于此 SAP 系统的 SAP 软件安装/注册未完成而无法设置备份的消息。

    注意:这在预料之中。 在完成 SAP 软件的安装之前,将无法以这种方式设置备份。 但是,完成设置还涉及其他先决条件,包括创建保管库和备份策略,我们将在此处查看这些先决条件。

  5. 在实验室计算机上,在显示 Azure 门户的 Microsoft Edge 窗口中,在“搜索”文本框中搜索并选择“备份中心”****。
  6. 在“备份中心”页左侧的垂直导航菜单中,在“管理”部分中,选择“保管库”****
  7. 在“备份中心 | 保管库”页上,选择“+ 保管库”****。
  8. 在“开始:** 创建保管库”页上,查看可用的保管库类型,确保已选择“恢复服务保管库”(支持“Azure 虚拟机”和“Azure VM 中的 SAP HANA”数据源类型),然后选择“继续”******。

  9. 在“创建恢复服务保管库”页的“基本信息”选项卡上,指定以下设置,然后选择“下一步:**** 冗余”

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 新资源组的名称 acss-mgmt-RG****
    保管库名称 acss-backup-RSV
    区域 托管已注册 ACSS 的 SAP 部署的 Azure 区域的名称

  10. 在“冗余”选项卡上,指定以下设置,然后选择“下一步:**** 保管库属性”

    设置 “值”
    备份存储冗余 异地冗余
    跨区域还原 启用
  11. 在“保管库属性”选项卡上,查看“启用不可变性”设置而不启用它,然后选择“下一步:**** 网络”
  12. 在“网络”选项卡上,接受默认选项“允许来自所有网络的公共访问”,然后选择“查看 + 创建

  13. 在“查看 + 创建”选项卡上,等待验证过程完成并选择“创建”****。

    注意:等待预配过程完成。 预配可能需要大约 2 分钟。

  14. 在“部署完成”面板上,选择“转到资源”****。
  15. 在“acss-backup-RSV”页左侧的垂直导航菜单中,在“管理”部分中,选择“备份策略”****
  16. 在“acss-backup-RSV | 备份策略”页上,选择“+ 添加”****。

  17. 在“选择策略类型”页上,查看可用的策略类型**

    注意:首先,为托管数据库、应用程序服务器和 SAP Central Services 实例的 Azure VM 配置备份策略。

  18. 在“选择策略类型”页上,选择“Azure 虚拟机”****。

  19. 在“创建策略”页上,查看“标准”和“增强”策略子类型之间的差异,然后选择“增强”******

    注意:应根据复原能力需求来选择。 类似地,应根据需要调整下面列出的值。

  20. 在“策略名称”文本框中,输入“acss-vm-enhanced-backup-policy”****。
  21. 将备份计划频率设置为“每小时一次”,将开始时间设置为“下午 6:00”,将计划设置为“每 6 小时一次”,将持续时间设置为“12 小时”,将时区设置为本地时区******
  22. 将“实例恢复快照保留期”值设置为 5 天****。
  23. 将“每日备份点的保留期”设置为 60 天****。

  24. 根据偏好设置每周、每月和每年备份点的保留期。

    注意:若要启用分层,必须启用每月或每年备份点。

    注意:还可以选择指定 Azure 备份自动生成的资源组的命名约定。

  25. 选择创建
  26. 在“部署完成”面板上,选择“转到资源”。
  27. 在“acss-backup-RSV”页左侧的垂直导航菜单中,在“管理”部分中,选择“备份策略”****

  28. 在“acss-backup-RSV | 备份策略”页上,选择“+ 添加”****。

    注意:接下来,将配置 HANA DB 的备份策略。 此处介绍的配置遵循 MS Learn 文章在 Azure VM 上备份 SAP HANA 数据库实例快照中所述的指南。

  29. 在“选择策略类型”页上,选择“Azure VM 中的 SAP HANA (通过 Backint 的数据库)”****
  30. 在“创建策略”页上的“策略名称”文本框中,输入“acss-hanadb-backint-backup-policy”****

  31. 接受完整备份和日志备份的默认设置。 使差异备份和增量备份保持禁用状态。

    注意:可以选择启用 HANA 备份压缩并将符合条件的恢复点移动到保管库存档。

  32. 选择创建

  33. 在“部署完成”面板上,选择“转到资源”。
  34. 在“acss-backup-RSV”页左侧的垂直导航菜单中,在“管理”部分中,选择“备份策略”****
  35. 在“acss-backup-RSV | 备份策略”页上,选择“+ 添加”****。
  36. 在“选择策略类型”页上,选择“Azure VM 中的 SAP HANA (通过快照的 DB 实例)”****
  37. 在“创建策略”页上的“策略名称”文本框中,输入“acss-hanadb-snapshot-backup-policy”****
  38. 将快照备份的频率设置为当前时区的下午 1:30。
  39. 配置为将即时恢复快照保留 5 天**
  40. 保留快照资源组的默认选择,应设置为“acss-mgmt-RG”**
  41. 在“托管标识”部分,选择“创建托管标识”**。 这会在 Web 浏览器窗口中自动打开另一个选项卡,显示 Azure 门户中的“托管标识**”页。
  42. 在“托管标识”页上,选择“+ 创建”。

  43. 在“创建用户分配的托管标识”页的“基本信息”选项卡上,指定以下设置,然后选择“查看 + 创建”****

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 acss-mgmt-RG
    区域 托管 ACSS 部署的 Azure 区域的名称
    名称 acss-mgmt-MI

  44. 在“查看”选项卡上,等待验证过程完成并选择“创建”****。

    注意:等待预配过程完成。 预配只需几秒钟即可完成。

  45. 关闭当前浏览器选项卡,然后切换回显示“创建策略”页的浏览器选项卡**
  46. 在“托管标识”部分的“资源组”下拉列表中,选择“acss-mgmt-RG”,然后在“托管标识”下拉列表中选择“acss-mgmt-MI”********。

  47. 选择创建

    注意:在 Azure SAP 解决方案中心界面,在 VIS 级别配置备份时,你将能够利用现有的保管库及其策略。

    注意:在 VIS 级别配置备份后,可以从 Azure 门户中的 VIS 界面监视 Azure VM 和 HANA DB 的备份作业的状态。

任务 2:实现 Azure SAP 解决方案中心管理的 SAP 工作负载灾难恢复的先决条件

注意:虽然 Azure SAP 解决方案中心服务是区域冗余服务,但在发生区域中断时,Microsoft 不会启动故障转移。 若要修正此类方案,应按照 SAP 工作负载的灾难恢复概述和基础结构指南中所述的指导方法为使用 Azure SAP 解决方案中心部署的 SAP 系统配置灾难恢复,这涉及使用 Azure Site Recovery (ASR)。 在此任务中,你将依靠该指导方法,逐步完成实现基于 ASR 的灾难恢复解决方案的过程。

注意:ASR 是适用于应用程序服务器和 SAP Central Services 实例的建议解决方案。 对于数据库服务器,应考虑使用本机复制功能。

  1. 在实验室计算机上,在显示 Azure 门户的 Microsoft Edge 窗口中,在“搜索”文本框中搜索并选择“恢复服务保管库”****。
  2. 在“恢复服务保管库”页上,选择“+ 创建”****。

  3. 在“创建恢复服务保管库”页的“基本信息”选项卡上,指定以下设置(将其他设置保留为默认值)并选择“下一步:**** 冗余”。

    设置
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 新资源组的名称 acss-dr-RG****
    保管库名称 acss-dr-RSV
    区域 与已注册 ACSS 的 SAP 部署配对的 Azure 区域的名称

    注意:若要确定与托管生产工作负载的区域配对的区域,请参阅描述 Azure 配对区域的 MS Learn 文档。

  4. 在“冗余”选项卡上,指定以下设置,然后选择“下一步:**** 保管库属性”

    设置 “值”
    备份存储冗余 本地冗余
  5. 在“保管库属性”选项卡上,查看“启用不可变性”设置而不启用它,然后选择“下一步:**** 网络”
  6. 在“网络”选项卡上,接受默认选项“允许来自所有网络的公共访问”,然后选择“查看 + 创建

  7. 在“查看 + 创建”选项卡上,等待验证过程完成并选择“创建”****。

    注意:请勿等待预配完成,而是继续执行下一个步骤。 预配可能需要大约 2 分钟。

    注意:现在,将在在其中创建了恢复服务保管库的配对区域中设置灾难恢复环境。 此环境将包括一个虚拟网络,该虚拟网络将托管在预配 SAP 虚拟实例的主要区域中当前托管的 Azure VM 的副本。

  8. 在实验室计算机上,在显示 Azure 门户的 Microsoft Edge 窗口中,在“搜索”文本框中搜索并选择“恢复服务保管库”****。
  9. 在“恢复服务保管库”页上,选择“acss-dr-RSV”****。
  10. 在“acss-dr-RSV”页左侧垂直导航菜单的“开始”部分中,选择“Site Recovery”****
  11. 在“acss-dr-RSV | Site Recovery”页上的“Azure 虚拟机”部分中,选择“1.****启用复制

  12. 在“启用复制”页的“源”选项卡上,指定以下设置,然后选择“下一步”****

    设置
    区域 托管 SAP 虚拟实例 (VIS) 的 Azure 区域的名称
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 acss-vi-RG
    虚拟机部署模型 资源管理器
    可用性区域之间的灾难恢复

    注意:可用性区域之间的灾难恢复可能不可配置,具体取决于源区域是否支持可用性区域**

  13. 在“虚拟机”选项卡上,选择列表中的前四个虚拟机(vi1appvm0、vi1appvm1、vi1ascsvm0 和 vi1ascsvm0),然后选择“下一步”********

    注意:如前所述,基于 ASR 的复制将应用于应用程序服务器和 SAP Central Services 实例。 依靠本机数据库复制功能,数据库服务器将保持同步。

  14. 在“复制设置”选项卡中,执行以下操作**

    1. 如果需要,请在“目标位置”下拉列表中选择在其中创建了 acss-dr-RSV 恢复服务保管库的 Azure 区域****。
    2. 确保在此实验室中使用的 Azure 订阅的名称显示在“目标订阅”下拉列表中。
    3. 在“目标资源组”下拉列表中,选择“acss-dr-RG”****。
    4. 在“故障转移虚拟网络”下拉列表中,选择“新建”。
    5. 在“创建虚拟网络”窗格中的“名称”文本框中,输入“CONTOSO-VNET-asr
    6. 在“地址空间”部分的“地址范围”文本框中,将默认条目替换为“10.10.0.0/16”。
    7. 在“子网”部分的“子网名称”文本框中,输入“app”,然后在“地址范围”文本框中输入“10.10.0.0/24”。
    8. 在新添加的子网条目下面的“子网”部分中,在“子网名称”文本框中输入“db”,然后在“地址范围”文本框中输入“10.10.2.0/24”。
    9. 在“创建虚拟网络”窗格中,选择“确定”。
    10. 返回“启用复制”页,确保“故障转移子网”下拉列表中显示“(新) app (10.10.0.0/24)”条目。
    11. 在“存储”部分中,选择“查看/编辑存储配置”链接****。
    12. 在“自定义目标设置”页上,查看生成的配置,但不进行任何更改,然后选择“取消”。
    13. 在“可用性选项”部分中,选择“查看/编辑可用性选项”链接****。
    14. 在“可用性选项”页上,你可以选择为目标资源实现邻近放置组,但请勿进行任何更改,然后选择“取消”。

    注意:还可以选择配置容产能预留。

    重要说明:请注意,主要区域和次要区域中的虚拟网络之间的 IP 地址空间不同。 这是故意为之的,因为这样可以将两个虚拟网络连接在一起,在配置两个区域中托管的数据库服务器之间的复制需要此连接。 可以使用虚拟网络对等互连建立此类连接。

  15. 返回“启用复制”页的“复制设置”选项卡,选择“下一步”****

  16. 在“启用复制”页的“管理”选项卡上,执行以下操作****:

    1. 在“复制策略”下拉列表下方,选择“新建”****。
    2. 在“创建复制策略”窗格中的“名称”文本框中,输入“2-day-retention-policy”,在“保留期(天)”文本框中输入“2”,然后选择“确定”********
    3. 你可以选择创建复制组。 但此选项不适用于我们的用例。
    4. 将“扩展设置”的“更新设置”选项保留“允许 ASR 管理”配置****
    5. 接受自动分配的默认自动化帐户名称**
  17. 在“启用复制”页的“管理”选项卡上,选择“下一步”****

  18. 在“启用复制”页的“查看”选项卡上,选择“启用复制” 。

    注意:现在,你将逐步为托管数据库服务器的其余两个 Azure VM 启用复制。

  19. 返回“acss-dr-RSV | Site Recovery”页上的“Azure 虚拟机”部分,选择“1.****启用复制

  20. 在“启用复制”页的“源”选项卡上,指定以下设置,然后选择“下一步”****

    设置
    区域 托管 SAP 虚拟实例 (VIS) 的 Azure 区域的名称
    订阅 在本实验室中使用的 Azure 订阅的名称
    资源组 acss-vi-RG
    虚拟机部署模型 资源管理器
    可用性区域之间的灾难恢复

    注意:可用性区域之间的灾难恢复可能不可配置,具体取决于源区域是否支持可用性区域**

  21. 在“虚拟机”选项卡上,选择列表中的前四个虚拟机(vi1appvm0、vi1appvm1、vi1ascsvm0 和 vi1ascsvm0),然后选择“下一步”********

    注意:需要单独为其余两个 Azure VM 配置复制,因为它们已连接到其他子网。

  22. 在“复制设置”选项卡中,执行以下操作**

    1. 如果需要,请在“目标位置”下拉列表中选择在其中创建了 acss-dr-RSV 恢复服务保管库的 Azure 区域****。
    2. 确保在此实验室中使用的 Azure 订阅的名称显示在“目标订阅”下拉列表中。
    3. 在“目标资源组”下拉列表中,选择“acss-dr-RG”****。
    4. 在“故障转移虚拟网络”下拉列表中,选择“CONTOSO-VNET”****。
    5. 在“故障转移子网”下拉列表中,选择“应用(10.10.0.0/24)”****。
    6. 在“存储”部分中,选择“查看/编辑存储配置”链接****。
    7. 在“自定义目标设置”页上,查看生成的配置,但不进行任何更改,然后选择“取消”。
    8. 在“可用性选项”部分中,选择“查看/编辑可用性选项”链接****。
    9. 在“可用性选项”页上,你可以选择为目标资源实现邻近放置组,但请勿进行任何更改,然后选择“取消”。

    注意:还可以选择配置容产能预留。

  23. 返回“启用复制”页的“复制设置”选项卡,选择“下一步”****

  24. 在“启用复制”页的“管理”选项卡上,执行以下操作****:

    1. 在“复制策略”下拉列表下方,选择“新建”****。
    2. 在“创建复制策略”窗格中的“名称”文本框中,输入“2-day-retention-policy”,在“保留期(天)”文本框中输入“2”,然后选择“确定”********
    3. 你可以选择创建复制组。 但此选项不适用于我们的用例。
    4. 将“扩展设置”的“更新设置”选项保留“允许 ASR 管理”配置****
    5. 接受自动分配的默认自动化帐户名称**
  25. 在“启用复制”页的“管理”选项卡上,选择“下一步”****

  26. 在“启用复制”页的“查看”选项卡上,选择“启用复制” 。

    注意:初次复制可能需要相当长的时间才能完成。 考虑到分配给此实验室的时间有限,请咨询讲师,了解此任务中要执行的任何额外步骤。 如果没有任何特定的指导,请直接转到下一个任务。

    注意:此时,可以同时预配 Azure Bastion 和 Azure 防火墙,但应在灾难恢复故障转移过程中自动执行其预配。 这将最大程度地减少与维护灾难恢复环境相关的费用。 这同样适用于该环境的其他组件,这些组件镜像主 SAP 虚拟实例的配置,例如 Azure 高级文件共享和自定义路由。

任务 3:查看 Azure SAP 解决方案中心管理的 SAP 工作负载的监视选项

注意:与备份一样,你将无法完整体验 Azure SAP 解决方案中心的监视功能。 这需要安装 SAP 软件或注册现有的 Azure SAP 解决方案监视器实例。 相反,在此任务中,你将逐步体验 SAP 解决方案虚拟实例中提供的接口,以识别和查看这些功能。

  1. 在实验室计算机上,在显示 Azure 门户的 Microsoft Edge 窗口中,在“搜索”文本框中搜索并选择“SAP 解决方案虚拟实例”****。
  2. 在“SAP 解决方案虚拟实例”页上,查看 VI1 实例的汇总状态信息,包括总体运行状况和状态可视指标****。
  3. 在“SAP 解决方案虚拟实例”页上,选择“VI1”****。
  4. 在“VI1”页左侧的垂直导航菜单中,选择“概述”,然后在右侧的窗格中选择“监视”****

  5. 查看监视窗格中显示的监视遥测数据。

    注意:监视窗格包括应用程序服务器、数据库服务器和 SAP Central Services 实例的 vCPU 使用率图和指标。 它还包括数据库磁盘 IOPS 统计信息数据库服务器。

  6. 在“VI1”页左侧的垂直导航菜单中,在“监视”部分,选择“质量见解”****

  7. 在“VI1 | 质量见解 | 工作簿 1”页上,查看“顾问建议”选项卡,该选项卡旨在提供有关优化 SAP 解决方案虚拟示例 (VIS)、中央服务器实例、应用服务实例和数据库的建议****。

    注意:这些建议需要完成 SAP 软件的安装。

  8. 在“VI1 | 质量见解 | 工作簿 1”页上,选择“虚拟机”选项卡并查看“Azure 计算”、“计算列表”、“计算扩展”、“计算 + OS 磁盘”和“计算 + 数据磁盘”选项卡的内容**********

    注意:每个选项卡都应包括从 SAP 解决方案虚拟实例中的 Azure VM 收集的实际数据。

  9. 在“VI1 | 质量见解 | 工作簿 1”页上,选择“配置检查”选项卡并查看“加速网络”、“公共 IP”、“备份”和“负载均衡器”选项卡的内容********。 此内容简要概述了 SAP 解决方案虚拟实例的计算和网络组件的性能和安全性相关设置。 “负载均衡器”选项卡包括显示关键负载均衡器指标的负载均衡器监视器信息****。
  10. 在“VI1”页左侧的垂直导航菜单中,在“监视”部分,选择“Azure SAP 解决方案监视器”****

  11. 在“VI1 | Azure SAP 解决方案监视器”页上,注意指出由于 VIS 的 SAP 软件安装\注册未完成而导致 AMS 无法设置的消息。

    注意:安装 SAP 软件后,即可将其与新的或现有的 Azure SAP 解决方案监视器资源集成。 Azure SAP 解决方案监视器依赖于 Log Analytics 和工作簿的 Azure Monitor 功能来全面监视 Azure VM 上托管的 SAP 工作负载,包括对自定义可视化效果、查询和警报的支持。