SAP S/4HANA上云最佳实践

一、背景信息

阿里云最佳实践是基于众多客户最佳上云经验萃取而成的最佳上云指导，每个最佳实践包括实用场景、多产品架构和部署手册，帮助客户更好的理解阿里云的产品及解决方案，降低上云门槛，实现最终自助上云。最佳实践官网：bp.aliyun.com
阿里云与SAP自2016年合作至今，已经有很多客户将SAP S/4HANA系统部署在阿里云上，我们的专家团队根据众多SAP上云客户的经验，总结编写了《阿里云解决方案技术白皮书》（以下简称“白皮书”）。白皮书整体概述了阿里云与SAP合作历程，以及SAP在阿里云上支持的部署场景，从云上的规划到部署落地，从网络到存储到操作系统，以及安全的备份、规划、高可用等，结合多年的SAP客户使用阿里云的成功案例，总结了一套从规划到落地的完善的解决方案。
本文主要基于白皮书的指导，以一个典型S/4HANA上云案例来分析上云过程中遇到的一些典型问题，以及架构的设计和落地的最佳实践。

云速搭CADT-云时代的生产力工具
在讲解案例之前，先介绍一下本次环境部署所用到的工具——云速搭CADT。CADT是一款通过自助式、可拖拽、零代码的方式，帮助客户快速搭建云上的运行环境，并以可视化的方式进行架构管理，客户在云上对架构的设计、构建、交付和迭代变更，都可以通过CADT完成。
使用CADT的优势在于所见即所得，架构的设计和运维的交付最终是通过标准化工具进行有机结合，避免在架构设计和运维交付阶段的信息不对等导致的资源购买失误。另外，CADT还可以通过模板化的方式来降低云应用部署的工作量和学习成本。

二、案例分享

1、场景说明
背景信息：某公司近期需要将内部的SAP S/4HANA系统部署到阿里云上， SAP实施团队已经整理出基础架构资源评估结果，现需要基础架构同事在阿里云上将云资源进行开通，以便后续实施团队开展项目。同时，基础架构部门的同事收集了公司各部门的需求如下：
（1）性能需求：

• HANA环境磁盘IO性能要能达到SAP hwcct性能指标；
• 要求SAP生产环境应用和数据库服务器之间的网络RTT要维持在0.7ms以内；

（2）网络需求：

• 要求SAP服务器和具备公网访问能力的实例相互隔离；
• 非生产和生产环境除了基本的端口互通需求外，其他端口相互隔离；
• SAP系统需要访问公网某个接口服务来获取数据，同时SAP需要暴露几个web页面，让供应商通过互联网访问来填写相应的信息；
• 需要SAP router能够通过公网访问SAP后台进行Notes下载，也要能够让SAP官方支持顾问通过SAP router跳转并登录到SAP系统；
• 公司内部同事只能通过办公网络访问到SAP服务器；
• 服务器对外仅开通所需的端口，其余端口不开通；

（3）高可用需求：

• 生产环境应用要考虑高可用，基础架构资源要考虑硬件的单点故障；
• 生产环境HANA双机热备，配置SUSE HAE高可用实现故障自切换；

（4）安全审计需求：

• 服务器访问均需要通过堡垒机访问；
• 网络安全防护、防勒索、防病毒攻击；

（5）备份需求：

• 备份数据需要尽可能选择低成本存储，并考虑压缩去重能力，减少整体备份容量；
• 备份工具需要借助专业工具，确保可靠，杜绝脚本化方式；
• 应用层数据磁盘定期做快照；
  

2、上云规划
以上列举了SAP S/4HANA上云客户的一些最基本的诉求，基于这些诉求，我们做了如下上云规划。
云上网络需要划分为三个独立的网络区：互联网区、非生产环境区和生产环境区。这三个网络之间只能开放相应需要的端口，在阿里云上有几种方式实现。如下图所示，一种是通过三个VPC实现网络区域的相互独立，VPC之间可以通过访问控制或者说安全组来实现一些隔离；另一种方式是只规划一个VPC，然后在内部划分三个交换机网段，相互之间通过访问控制或者是安全组来隔离。

在这个案例中，我们使用第一种方式通过VPC隔离，这就需要客户或相关技术人员提前考虑以下几方面问题：

1. 规划三个VPC的网段以及对应的交换机的网段，同时做好安全策略；

   

2. 不同环境以VPC进行隔离，通过CEN打通；
3. 公网访问区统一出口，NAT+EIP；
4. 应用和DB确保在同一个可用区，减少延迟。

3、资源选型详解

（1）ECS资源
首先是资源实例的规格，根据硬件的需求清单，把每个应用服务器或者HANA服务器的实力规格根据阿里云认证的实力进行资源适配，确保整个系统的性能。
应用服务器选择用30G的ESSD PL1的云盘作为SWAP用途，而每个ECS则至少配备100个100G的ESSD PL0作为操作系统盘。
每个HANA服务器会分为四个磁盘类型：系统盘、hana shared、hana data、hana log。Hana shared建议启用单独的PL0或PL1的磁盘，hana data和hana log建议使用2-3块ESSD云盘PL1或者PL2组建LVM集群，并且在对应的LV挂载时，通过LVM条带化去满足SAP HANA认证的存储性能要求。
（2）高可用相关资源
NAS资源建议使用阿里云的NAS作为共享文件系统，用于提供SAP系统文件布局中所需共享文件系统如 sap、trans、sapmnt。由于这些文件系统对性能的要求不高，通常使用通用容量型的NAS就可以满足诉求。
STONITH设备建议使用阿里云的共享快存储作为高可用集群的STONITH设备。虚拟IP建议使用阿里云高可用虚拟IP HAVIP。这两个产品目前还在公测中，需要联系阿里云架构师进行白名单开通。
（3）公网访问相关
SAP的开发、测试和生产多个应用服务器都是需要具备这样访问公网的能力。通过NET+EIP的方式统一出口流量方案，同时配备共享流量包用来抵扣EIP的按量的流量费用。
（4）备份相关
建议使用阿里云的混合云备份HBR实现云上HANA的整体备份，HBR兼容了HANA1.0和2.0版本，可以在HBR服务控制台完成SAP HANA agent的部署安装，以及备份作业的计划、安排、备份日志的查看。OSS存储主要用于云服务器快照存储。
（5）安全相关
一方面通过堡垒机提供云服务器的安全访问服务，另一方面是使用阿里云的云安全中心提供全面的安全防护。
（6）网络打通
使用VPN网关打通IDC和阿里云。但在实际中客户通常会使用专线或SAG的方式与阿里云打通。
4、安全规划
（1）事前：根据权限最小设计原则，确保各ECS间的访问权限是可控的，需要提前规划安全组的出入方向规则。 为此需要SAP实施团队提供各应用服务器对外服务的端口。如下图表格所示，首先要确定本次应用实例的实例号，不同的实例号会有对应的端口，左边表格中开发机实例ASCS实例号01则对应右图中的端口3601。因此前期需要准备如左图的列表，然后根据列表规划右图的安全组需要开发的端口。

（2）事中：借助云安全中心，实时识别、分析、预警安全威胁的服务器主机安全管理系统，通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上主机、本地服务器和容器安全，并满足监管合规要求
（3）事后：借助阿里云堡垒机，云上统一、高效、安全运维通道，集中管理资产权限，全程监控操作行为，实时还原运维场景，保障云端运维身份可鉴别、权限可管控、风险可阻断、操作可审计，助力等保合规。

5、S/4HANA系统架构

如图所示，整个资源区部署在华东1可用区H，右边区域是生产环境VPC，左边分别有非生产VPC和互联网VPC，以及安全相关的一些通用资源。左上角的线下IDC办公区是通过VPN的方式与线上打通。
在生产环境中有业务交换机和集群交换机两部分。
在业务交换机中，生产应用安全组包括两个ascs集群和2台应用服务器，其中两个ascs集群被部署在同一部署集中，上面是HAVIP高可用虚拟IP分别对应ascs服务和ers服务，下面的共享块存储是STONITH设备，NAS提供SAP环境中的共享文件系统，同时通过NAS可提供整体SAP环境的高可用。集群交换机中的网卡用于集群心跳检测。
左边的非生产环境相对简单，按照应用类型单独规划安全组。
互联网环境中Router安全组通过NAT网关上挂3个弹性公网将流量输入。

6、通过CADT部署云上资源
在实践中会有两种部署方式：

• 整体蓝图部署：也就是一次性开通所有资源；
• 分阶段部署：项目初期先将开发测试环境资源开通，以及必要的网络、存储等资源，后续生产环境资源在需要的时候再开通。

整体蓝图部署操作演示：

1. 登录bp.aliyun.com，在页面上点击“云速搭CADT”，选择“免费使用”；
   
   
2. 进入CADT控制台，在这里提供了官方模板库供大家学习和参考；
   
3. 本次演示我们选用了“SAP_S4HANA_on阿里云多VPC架构”，点击“基于方案新建”复制模板；
   
   进入新建的系统架构页面，架构中的环境配置都已经是基本完善的，可以点击查看各部分详情，如果需要可以进一步补充或修改；
   
   比如点击ECS即可在右边的“服务器ECS详情“中查看或补充；
   
4. 将所有资源调整完成后点击右边的“保存”；
   
5. 保存后点击“部署应用”开始进行蓝图部署。首先系统会进行校验，检查资源存储和配置是否存在问题，如有报错则根据报错内容进行修改或补充；
   
6. 修改后点击“保存”，再点击“部署应用”，CADT会对整个云资源进行资源验证，如果验证失败则根据提示进行修改，修改后重复上述操作直到验证成功；
   
7. 验证成功后点击“下一步：价格清单”；
   
8. “价格清单”是将云架构图中所有资源进行价格计算。清单中还列举了免费、不同付费方式以及优惠等内容。点击“查看报告”即可生成一份标准的成本评估报告；
   
   报告主要包含部署方案架构图和资源成本测算两部分内容；
   
9. 确认价格无误后点击“下一步：确认订单”；
   
10. 再次确认价格，然后勾选“《云速搭服务条款》”，点击“下一步：支付并创建”；
    
    到此，完成云上资源部署。

分阶段部署操作演示：

1. 新建系统架构后进入架构图页面，如需针对“非生产环境”进行部署则可以先将其他部分关闭。VPC可以整体关闭，非VPC可以分别点击后在右边的详情中关闭；

   

   

2. 完成后点击“保存”-“部署应用”，接下来会经历和蓝图部署同样的资源校验、价格清单、订单确认这一系列流程，支付后返回构架图将下一个需要部署的环境打开进行同样的部署操作。

以上是本次SAP S/4HANA上云的最佳实践分享，有问题的朋友可以联系我们，架构工程师会针对您的问题进行回复。对最佳实践感兴趣的朋友也可以访问我们的官网了解更多详情，最佳实践官网：bp.aliyun.com