为高可用性群集创建实例
请使用以下信息和步骤创建高可用性集群实施所需的 Power Virtual Server 实例。
准备工作
查看 IBM Power Virtual Server 参考资料中为 SAP 应用程序实施高可用性 中列出的一般要求、产品文档、支持文章和 SAP 注释。
创建工作空间
工作区是一个环境,相当于一个地理区域内所有 Power Virtual Server 资源的文件夹。 这些资源包括计算、网络和存储容量。 资源无法在不同工作区之间移动或共享。 每个工作区都绑定到一个数据中心。
要创建工作区,请按照 创建 Power Virtual Server 工作区的步骤进行操作。
创建的工作区在 Power Virtual Server 用户界面的左侧导航栏中的工作区下列出。
创建专用网络子网
虚拟服务器实例连接到网络,并被分配一个从定义的IP地址范围内选择的IP地址。 建议您将集群节点连接到专用网络,而不是公共网络。
请按照 配置专用网络子网的步骤创建一个子网。
您至少需要一个工作区专用子网。
预留虚拟IP地址
高可用性集群通常需要虚拟IP地址,这些地址必须在故障转移场景中随应用程序一起移动。
在子网中预留所需的IP地址,以防止 Power Virtual Server 将特定IP地址分配给其他虚拟服务器实例。 请参阅“ 保留IP地址”。
请确保您要保留的IP地址在子网的CIDR范围内,且在您之前限制的IP范围内。
探索更多网络架构选项
如果您的 Power Virtual Server 工作区已启用 Power Edge Router (PER),那么您已经与 IBM Cloud 网络的部分区域建立了网络通信。 PER解决方案与 IBM Cloud 多协议标签交换(MPLS)主干网建立了直接连接,使 IBM 网络的不同部分之间能够更轻松地相互通信。 更多信息,请参阅 《 Power Edge路由器入门指南 》。
或者,创建 IBM Cloud® 连接,将您的 Power Virtual Server 实例与账户中的其他 IBM Cloud 资源连接起来。 IBM Cloud Power Virtual Server 中配置高可用性群集不需要连接。 与 IBM Cloud Classic 网络和虚拟专用云 (VPC) 基础设施的集成方案可能需要它们。 更多信息,请参阅 IBM Power Virtual Server 云连接。
IBM Cloud 使用 IBM Transit Gateway 将您的 Power Virtual Server 连接到您账户或区域之外的经典和虚拟私有云(VPC)基础设施。 有关整合本地网络和 Power Virtual Server 的更多信息,请参阅 网络架构图。
创建 SSH 密钥
请按照以下步骤为root用户创建一个或多个SSH密钥。
创建一个密钥对,并将公钥加载到SSH密钥存储区中,地址为 Power Virtual Server。 在部署虚拟服务器实例时,请从密钥库中指定一个或多个密钥。 这些密钥被添加到根用户的 authorized_keys
文件中,允许您使用私钥安全地登录虚拟服务器实例。
更多信息,请参阅 生成SSH密钥。
首选是 ed25519 钥匙类型。 它兼具安全性和性能优势。
选择启动映像
您有多种方法获取集群节点的操作系统镜像。 请按照以下步骤选择启动镜像。
您可以从 Power Virtual Server 提供的多种库存图片中进行选择。 图片 可在 IBM 提供的订阅和客户提供的订阅部分获取,Power Virtual Server 配置页面。 更多信息,请参阅 IBM Power Virtual Server (外部)的完整 Linux® 订阅。
如果您想导入自定义 Linux 图片,必须先将图片以OVA格式上传到 IBM Cloud Object Storage。
在开始之前,请确保OVA镜像已加载到存储桶中。
为集群创建虚拟服务器实例
请完成以下步骤,创建您想要用作高可用性集群节点的虚拟服务器实例。
-
登录到 工作区。
-
点击工作区名称,然后点击“查看虚拟服务器”。
-
点击虚拟服务器实例 > 创建实例。 您需要依次查看 “常规 ”、“启动映像 ”、“配置文件 ”、“存储卷”和“网络接口”子选项。
-
在 “常规”子部分中,输入实例名称。
-
对于单区实施,点击 + 将实例数量增加到2。 选择“ 数字后缀作为实例命名约定”,并选择“不同的服务器作为放置组托管策略”。 具有主机托管策略的放置组 作为虚拟服务器实例部署的一部分,会自动创建不同的服务器。
-
选择 SSH 密钥并点击继续。
-
在 “启动”图像部分,根据您的订购型号选择操作系统。 使用 IBM 提供的订阅或客户提供的订阅中的 Linux 选项。 在 “层”部分,选择所需的存储层。 保留 自动选择池来选择存储池*。 单击 继续。
-
在 “配置文件”中,选择 “机器类型 ”、“核心类型” 和虚拟服务器实例配置文件,以满足您的工作负载需求。 单击 继续。
-
在存储空间中,点击继续。
当您部署多个实例时,创建的存储卷将由所有实例共享。 某些高可用性集群场景需要共享卷。 在这种情况下,请稍后创建共享卷。 对于 SAP HANA,请参阅 SAP HANA 的存储配置。 这些卷必须在部署完成后为各个服务器实例创建。
-
在网络接口子部分,集群节点最好不要从公共网络直接访问,因此请将公共网络配置设为关闭。
-
点击 “附加” 将虚拟服务器实例附加到现有子网。
-
在 “附加现有网络”屏幕中,选择 “现有网络” 之一。 您可以选择“从IP范围自动分配IP地址”,也可以选择 “从IP范围手动指定IP地址”来指定一个可用的IP地址。
-
单击连接。
-
点击“完成”,勾选 “我同意条款和条件”的复选框,然后点击“创建”。
虚拟服务器实例的部署开始。
对于多区域部署,请重复相同的步骤,在不同的工作区中创建第二个虚拟服务器实例。
准备操作系统,以安装 SAP 解决方案
如果您从库存镜像部署了虚拟服务器实例,则需要执行额外的配置任务,然后才能安装 SAP 软件。 更多信息,请参阅 配置 Power Virtual Server 实例。
在 IBM Cloud
IBM Cloud 中的服务 ID 与用户 ID 标识用户的方式类似,用于标识服务或应用程序。 为防火墙代理创建 一个服务ID,以便访问 IBM Power Cloud操作,例如监控或控制虚拟服务器实例。 提前创建自定义角色,将允许的 IBM Power Cloud API操作限制为围栏所需的操作。
管理自定义角色、服务ID 和 API密钥属于 IBM Cloud Identity and Access Management (IAM)的一部分。 请前往国际汽联网站,查看以下步骤。
登录 IBM Cloud Identity and Access Management
前往 IBM Cloud Identity and Access Management (IAM)控制台。
- 登录到 IBM Cloud。
- 在菜单栏中,点击管理,然后选择访问(IAM )。
为击剑经纪人创建自定义角色
在IAM中创建自定义角色,并将击剑操作所需的一组操作分配给该角色。 您必须授予以下操作的访问权限。
- 在云_实例或工作区中读取对象
- 虚拟服务器实例列表
- 获取虚拟服务器实例的信息
- 在虚拟服务器实例上执行操作
自定义角色的操作集在账户内必须是唯一的。 您不能创建多个具有相同操作集的自定义角色。
在IAM中创建自定义角色。
-
点击 “角色” >“创建”。
-
输入自定义角色的名称 、ID 和描述。
-
从服务下拉列表中选择 Power Virtual Server 的工作区。
-
从 “查看操作” 下拉列表中选择“管理”。
-
在 “操作”列表中,找到以下操作。 点击 “添加” 即可添加。
- power-iaas.pvm-instance.list
- power-iaas.pvm-instance.read
- power-iaas.pvm-instance.action
-
单击“**创建 **”保存角色。
为 powervs-subnet
资源代理创建自定义角色
仅当您在多区域环境中使用 powervs-subnet
资源代理部署群集时,才需要执行此步骤。
在IAM中创建自定义角色,并指定该角色中 subnet move
操作所需的一组操作。 您必须授予以下操作的访问权限。
- 在云_实例或工作区中读取对象
- 列出工作区中的子网并获取相关信息
- 在工作区中创建和删除子网
- 将子网连接或断开连接到虚拟服务器实例
- 删除网络端口
在IAM中创建自定义角色。
- 点击 “角色” >“创建”。
- 输入自定义角色的名称 、ID 和描述。
- 在服务下拉列表中选择 Power Virtual Server 的工作区。
- 从 “查看操作” 下拉列表中选择“管理”。
- 在 “操作”列表中,找到以下操作。 点击 “添加” 即可添加。
- power-iaas.cloud-instance.read
- power-iaas.pvm-instance-network.list
- power-iaas.pvm-instance-network.read
- power-iaas.network.list
- power-iaas.network.create
- power-iaas.network.delete
- power-iaas.network-port.delete
- power-iaas.pvm-instance-network.create
- power-iaas.pvm-instance-network.delete
- 单击“**创建 **”保存角色。
创建服务标识
为围栏代理创建一个服务ID,并为其分配一个或多个自定义角色。 在多区域实施中,您可以为 powervs-subnet
资源代理创建第二个服务ID。 也可以为两个代理商使用同一个服务ID(参见上一节的注释)。 如果您使用的是通用服务ID,请同时为围栏和 powervs-subnet
资源代理分配自定义角色。
在IAM中创建服务ID。
- 单击服务 ID > 创建。
- 输入服务 ID 的名称和描述。
- 单击创建。
- 在“访问策略”部分,单击“分配访问权限”。
- 在 “服务”部分,选择“Power Virtual Server 的工作区”,然后点击“下一步”。
- 在资源部分,选择特定资源 > 服务实例 > 字符串相等 > 之前创建的工作区名称。 单击 下一步。
- 在角色和操作部分,选择您在自定义访问权限中创建的一个或多个自定义角色,然后点击下一步。
- 您可以跳过 “条件(可选)”部分。
- 点击 “添加” 并选择“分配” 以创建服务ID。
如果您在多区域实施中为 powervs-subnet
资源代理创建服务ID,则必须同时授予对工作区资源的访问权限。 在
访问策略部分,再次点击分配访问权限,并按照步骤为第二个工作区分配访问权限。
为服务 ID 创建 API 密钥
在高可用性群集中配置击剑代理或在多区区域实施中配置 powervs-subnet 资源代理时,必须指定 API 密钥。 API 密钥授权围栏代理或资源代理使用 IBM Power Cloud API 执行服务 ID 中定义的操作。
在IAM中为服务ID 创建 API密钥。
- 点击“服务编号”,选择之前创建的服务编号。
- 点击 API密钥,切换到 “为该服务ID创建并管理API密钥”选项卡。
- 单击创建。
- 输入密钥的名称和描述。
- 单击创建。
点击下载,将API密钥保存到JSON文件中。 请将下载的文件保存在安全的地方。
钥匙的有效期为300秒。 300秒后,您将无法查看或取回密钥。
收集配置高可用性群集的参数
设置特定的高可用性场景需要几个参数。 这些参数包括以下内容,现在就可以收集。
- Power Virtual Server 工作区的云资源名称 (CRN)
- 虚拟服务器实例 ID
- 必须从CRN 派生的额外参数
- API密钥,用于代理
- 如果您正在实施多区域环境,请使用电源子网资源代理的 API密钥
以下部分中的大写变量表示这些参数被用作环境变量,以简化集群设置。 请立即记下这些内容,因为它们将在特定高可用性场景的设置说明中用到。
-
CLOUD_REGION
包含您的虚拟服务器实例的地理区域,用于定位正确的 Power Cloud API端点。CLOUD_REGION
如果您使用的是公共终端- 公共端点URL与
https://<CLOUD_REGION>.power-iaas.cloud.ibm.com
格式一致。 对于CLOUD_REGION
,请注意特定位置公共端点 URL 中主机名的第一个单词。 例如,网站 syd04 和 syd05* 指向悉尼*。 CLOUD_REGION
如果您使用的是私人终端- 私有端点URL与
https://private.<CLOUD_REGION>.power-iaas.cloud.ibm.com
格式匹配。 对于CLOUD_REGION
,请注意特定位置的专用终端 URL 中主机名的第二个单词。 例如,网站 syd04 和 syd05* 指向au-syd*。
-
登录工作区 - Power Virtual Server。 列表中包含工作区的名称和CRN。
找到您的工作区,或者找到用于多区域部署的两个工作区。 点击CRN旁边 的复制,将其粘贴到临时文档中。
CRN由多个部分组成,以冒号分隔。 通用报告编号的基本格式是
crn:version:cname:ctype:service-name:location:scope:service-instance:resource-type:resource
- 服务名称
- 工作区CRN的第五个字段始终是 power-iaas,即服务名称。
- 位置
- 第六个字段是需要映射到区域的地点。
- 作用域
- 第七个字段是租户ID。
- service-instance
- 第八个字段是云实例ID (GUID )。
-
IBMCLOUD_CRN_1
包含完整的CRN。 -
GUID_1
指 CRN中 service-instance 字段的内容。 -
在多区域部署中,使用第二个工作区的CRN,并记录
IBM_CLOUD_CRN_2
和GUID_2
的内容。 -
点击工作区名称,然后点击“查看虚拟服务器”。 点击虚拟服务器实例名称,找到其 ID。
-
请注意,
POWERVSI_1
和POWERVSI_2
的ID是不同的。 在多区域部署中,使用第二个工作区查找第二个实例的ID。 -
APIKEY
包含代理的API密钥。 使用在 “为服务ID创建API密钥”部分 下载的JSON文件中apikey
的值。在多区域部署中,
powervs-subnet
集群资源代理也需要一个API密钥。 和以前一样,您可以将apikey条目的值用于APIKEY
变量。 然而,更可取的做法是在两个节点上放置一个下载的JSON文件副本,并将APIKEY
设置为以@
符号开头的字符串,后跟密钥文件的完整路径。