确保访问安全

在云环境中运行关键业务应用程序时，安全是最大的问题之一。 为了确保您与 IBM® Virtual Servers 的连接安全，可按地区将公共 SSH 密钥上传到您的账户。 这些公钥被部署到虚拟服务器实例中，以允许访问服务器。

在继续之前，请创建 SSH 公钥，以便稍后创建虚拟服务器实例时将其上传到您选择的区域。 请按照 此处记录的 步骤操作。

您可以使用安全组来限制对 IP 范围、协议和端口的访问。 安全组不属于本指南的范围，与样本 VPC 一起部署的默认安全组就足够了。 不过，您可能需要为访问限制的例外情况添加额外的端口，如 SAP Software Provisioning Manager 和基于 SAP NetWeaver 的应用程序正在使用的端口。

创建 IBM Cloud VPC 和子网

IBM Cloud® 计算资源保存在 VPC 内的全局区域。 使用以下步骤创建 VPC 及其子网。

1. 使用唯一凭证登录 IBM Cloud 控制台。
2. 单击菜单图标 菜单 > VPC 基础设施 > 网络 > VPC，然后单击新建虚拟私有云 > 为 Gen 2 创建 VPC。

1. 输入 VPC 的唯一名称，例如 sap-test-inst。

2. 保留默认资源组。 使用资源组来组织帐户资源，以进行访问控制和计费。 有关更多信息，请参阅在资源组中组织资源的最佳实践。 在本例中，可以使用默认值。

3. 可选：标签 输入标签，帮助您组织和查找资源。 以后可以添加更多标记。 有关更多信息，请参阅使用标记。

4. 保留默认安全组设置，允许向该 VPC 中的虚拟服务器实例传输入站 SSH 和 ping 流量。

5. 可选：经典通道。 选择是否要启用 VPC 访问经典基础架构资源。 更多信息，请参阅 设置对经典基础架构的访问。

   您可以在创建 VPC 时将其启用为传统访问。 此外，您的账户中在任何时候都只能有一个经典访问 VPC。

6. 可选：默认地址前缀。 如果不想为 VPC 中的每个区域分配默认子网地址前缀，请禁用此选项。 创建 VPC 后，可以进入其详细信息页面，设置自己的子网地址前缀。 如果您禁用此选项，则“VPC 的新子网” 部分将被隐藏，并且需要在创建 VPC 后手动定义。 保留默认值。

   如果以后要创建子网和自己的子网地址前缀，请熟悉 VPC 网络的重要细节。 有关更多信息，请参阅“关于 VPC 的联网”和“为 VPC 设计寻址计划”。

创建虚拟服务器实例

使用以下步骤创建虚拟服务器实例。

1. 单击虚拟服务器实例 > 新建实例。

2. 输入虚拟服务器的唯一名称，例如 sap-app-vsi。 输入的名称将成为主机名。

   SAP 主机名必须由最多 13 个字母数字字符组成。 更多详情，请参见 SAP 说明 611361。

3. 选择要附加虚拟服务器实例的虚拟私有云，例如 sap-test-inst。

4. 保持资源组默认设置。

5. 可选：标签 输入标签，帮助您组织和查找资源。 以后可以添加更多标记。 有关更多信息，请参阅使用标记。

6. 已选择创建子网的位置。 位置由区域和专区组成。

7. 选择目录映像 > ibm-redhat-7-6-amd64-sap-applications-1 作为操作系统镜像。

For every SUSE Linux® Enterprise and Red Hat® Enterprise Linux® version there are two different Catalog Images available each: one for SAP HANA and one for SAP NetWeaver (Applications). In these images, the specific repositories are enabled, so you can install the OS packages that are required to install SAP HANA or SAP NetWeaver.
{: note}

1. 单击所有剖面 > 平衡，然后选择 bx2-32x128. 有关 SAP 认证配置文件的更多信息，请参阅 适用于 SAP NetWeaver 的 Intel Virtual Server 认证配置文件。

附加块存储卷

要想获得超出操作系统要求的可用文件系统空间，就需要为虚拟服务器实例附加一个块存储卷。 该存储卷由您正在安装的应用程序使用。 在本例中，应用程序是 SAP NetWeaver 堆栈所需的关系数据库管理系统 (RDBMS)。

1. 单击新建卷。
2. 输入 sap-app-vol1 为姓名。
3. 为配置文件选择自定义。
4. 输入 500 表示大小。
5. 输入 10000 作为 IOPS。 吞吐量默认为 156.25 MiBps.
6. 保持加密和自动删除默认设置。

1. 单击连接。
2. 保持网络接口默认设置。
3. 单击创建虚拟服务器实例。 Virtual Servers for VPC 已配置并可通过 SSH 登录后，就可以开始安装 SAP NetWeaver 应用程序了。

为工作负载准备虚拟服务器实例

IBM® Virtual Servers 通过 IPsec 连接访问您的 VPC。 配置基于 IPsec 的虚拟服务器实例访问超出了本指南的范围。 为简化操作并快速访问已部署的实例，可为虚拟服务器实例分配浮动 IP。 此 IP 分配给一个网关，该网关根据定义的安全组转发端口和协议。

通过分配 IP，您可以直接 ssh 进入虚拟服务器实例--在我们的示例中，命令是

ssh -i ~/.ssh/sap-ssh-key root@158.176.180.39

要将虚拟服务器实例的操作系统更新到最新级别，请运行 yum update 并重新启动虚拟服务器实例。

SAP NetWeaver Software Provisioning Manager (SWPM) 不允许将产品安装到无法解析服务器实例外部 IP 的主机名上。 由于这一限制，需要调整虚拟服务器实例中的默认设置。 编辑 /etc/hosts 并注释掉将主机名解析为 IPv4 和 IPv6 localhost 地址的行。 相反，主机名必须解析到虚拟服务器的外部 IP 地址（见示例）。 在我们的示例中，主机名解析为 10.242.128.8，即图 6 中显示的专用 IP。 在本例中，我们添加了一个默认域示例。 根据您的具体环境调整本示例。

这些行是 /etc/hosts 文件的例子。 注意 localhost 对主机名、IPv4 和 IPv6 的引用都在注释中（或已删除）。

  # The following lines are desirable for IPv4 capable hosts

  #127.0.0.1 sap-app-vsi sap-app-vsi
  127.0.0.1 localhost.localdomain localhost
  127.0.0.1 localhost4.localdomain4 localhost4

  # The following lines are desirable for IPv6 capable hosts

  #::1 sap-app-vsi sap-app-vsi
  ::1 localhost.localdomain localhost
  ::1 localhost6.localdomain6 localhost6
  10.242.128.8 sap-app-vsi.saptest.com sap-app-vsi

要防止 IBM Cloud cloudinit 进程在下一次重启时将 /etc/hosts 的内容恢复到以前的值，请更改 /etc/cloud/cloud.cfg 中的配置。 将 manage_etc_host 从 True 改为 False。

最后，您需要在附加存储卷上创建文件系统，以调整存储。 输入 /sbin/fdisk -l 并检查大小，即可根据大小识别新连接的卷。 要安全地识别它，请单击 VPC 虚拟服务器实例页面上的设备，找到设备 ID。

1. 在“概览”页面，检查“设备”中的前 20 位数字，并在 /dev/disk/by-id 下找到相同的 ID。 我们的示例设备是 07a7-184b...。

   [root@sap-app-vsi ~]# ls -als /dev/disk/by-id/ | grep 07a7-184b4a2f-d768-4
   0 lrwxrwxrwx 1 root root   11 May   3 08:30 virtio-07a7-184b4a2f-d786-4 -> ../../vdb
   

在我们的示例中，它是 virtio-07a7-184b4a2f-d786-4，与 /dev/vdb 相链接。

1. 在此路径上创建文件系统：

   [root@sap-app-vsi ~]# mkfs.xfs /dev/vdb
   

2. 在 /dev/disk/by-uuid 中查找相关的 UUID：

   [root@sap-app-vsi ~]# ls -als /dev/disk/by-uuid/ | grep vdb
   0 lrwxrwxrwx 1 root root  11 May 10 08:31 1350230e-8058-4fe5-bbc0-cc27253ff778 -> ../../vdb
   

3. 将 UUID 添加到 /etc/fstab，在我们的示例中：

   UUID=1350230e-8058-4fe5-bbc0-cc27253ff778 /db2 xfs defaults 0 0
   

4. 创建一个文件系统，用于安装的大部分内容，因为我们使用的是 IBM Db2，所以我们选择它：

   [root@sap-app-vsi ~]# mkdir /db2
   [root@sap-app-vsi ~]# mount /db2
   

5. 为 SWPM 增加交换空间。 我们正在为系统添加最小交换空间。

   [root@sap-app-vsi ~]# dd if=/dev/zero of=/swapfile bs=1M count=8192
   8192+0 records in
   8192+0 records out
   8589934592 bytes (8.6 GB) copied, 24.701 s, 348 MB/s
   
   [root@sap-app-vsi ~]# chmod 0600 /swapfile
   [root@sap-app-vsi ~]# mkswap /swapfile
   Setting up swapspace version 1, size = 8388604 KiB
   no label, UUID=e7a63777-521a-44a7-abcc-0d17e1876a78
   

6. 在 /etc/fstab 中添加以下一行

   /swapfile    none    swap    sw      0 0
   

7. 激活交换空间：

   [root@sap-app-vsi ~]# swapon -a
   

现在您可以安装自己选择的 SAP 产品了。 下一步是 下载并安装 SAP 软件和应用程序（ 如果单个虚拟服务器样本就能满足您的需求）。

在 3 层设置中安装两个虚拟服务器实例

更复杂的情况是安装两个虚拟服务器。 一台服务器是 SAP NetWeaver 应用服务器 (sap-app-vsi)，另一台服务器是 SAP NetWeaver 的数据库服务器。 根据示例，我们有两个布局相同的虚拟服务器，图 8 和图 9 是虚拟服务器的概览。

两个虚拟服务器都有一个附加卷和一个浮动 IP。 sap-app-vsi sap-app2-vsi 有一个稍大的卷，用于托管 RDBMS 和 Central Services (ASCS) 实例。SAP sap-app2-vsi 上需要第二个卷来托管 SAP NetWeaver 堆栈。 从“VPC 的块存储卷”页面创建另一个卷，并将其命名为 sap-app2-vol2。 选择 sap-app2-vol2 的详细信息屏幕，将其附加到我们的虚拟服务器。

准备网络

要隔离网络流量，SAP，建议部署第二个子网。 一个网络用于客户端访问，另一个网络用于 SAP ABAP 堆栈和 RDBMS 之间的通信。

以图 11 为指导，创建名为 sap-test-net2 的新子网。

单击菜单图标 菜单 > VPC 基础设施 > 网络 > 子网，然后单击新建子网。

创建新子网后，它会显示在“VPC 子网”页面上。

两个虚拟服务器需要连接到新网络。 返回虚拟服务器概览并单击新界面。

根据目标设置维护 /etc/hosts 文件。 下面是 sap-app2-vsi 的示例。

  # The following lines are desirable for IPv4 capable hosts

  #127.0.0.1 sap-app2-vsi sap-app2-vsi
  127.0.0.1 localhost.localdomain localhost
  127.0.0.1 localhost4.localdomain4 localhost4

  # The following lines are desirable for IPv6 capable hosts

  #::1 sap-app2-vsi sap-app2-vsi
  ::1 localhost.localdomain localhost
  ::1 localhost6.localdomain6 localhost6
  10.243.128.9 sap-app2-vsi.saptest.com sap-app2-vsi
  10.243.129.6 sap-app2-vsi-priv.saptest.com sap-app2-vsi-priv
  10.243.128.7 sap-app-vsi.saptest.com sap-app-vsi
  10.243.129.4 sap-app-vsi-priv.saptest.com sap-app-vsi-priv

准备存储

您需要在数据库虚拟服务器上为数据库和 SAP 安装配置两个卷的文件系统。 此外，/sapmnt 还需要将网络文件系统 ( NFS ) 导出到应用服务器虚拟服务器。

应用服务器虚拟服务器只有一个附加的 20 GB 卷。 无需查看资源 ID 即可识别卷。

Disk /dev/vdd: 21.5 GB, 21474836480 bytes, 41943040 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

我们会在卷上创建文件系统，并在确定 /dev/disk/by-uuid 路径后将其挂载。

ls -als /dev/disk/by-uuid/ | grep vdd
0 lrwxrwxrwx 1 root root 9 May 13 03:23 cf5d6692-4176-47c4-b799-039c11103fd4 -> ../../vdd

由此产生的 /etc/fstab 条目见下例。

UUID=cf5d6692-4176-47c4-b799-039c11103fd4 /usr/sap xfs defaults 0 0

您需要创建挂载点并进行挂载。

[root@sap-app-vsi ~]# mkdir /usr/sap
[root@sap-app-vsi ~]# mount -a

在数据库虚拟服务器上，需要创建三个文件系统。 一个用于安装 RDBMS，两个用于 /usr/sap 和 /sapmnt。 两个附加卷的创建方式相同，显示为 /dev/vdb 和 /dev/vde。 在我们的示例中，我们将第一个文件系统分成两个分区。

[root@sap-app2-vsi ~]# /sbin/fdisk /dev/vdb
Welcome to fdisk (util-linux 2.23.2).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.
Device does not contain a recognized partition table
Building a new DOS disklabel with disk identifier 0x8f5f8b5e.
Command (m for help): n
Partition type:
p primary (0 primary, 0 extended, 4 free)
e extended
Select (default p): p
Partition number (1-4, default 1): 1
First sector (2048-419430399, default 2048):
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-419430399, default 419430399): +100G
Partition 1 of type Linux and of size 100 GiB is set
Command (m for help): n
Partition type:
p primary (1 primary, 0 extended, 3 free)
e extended
Select (default p): p
Partition number (2-4, default 2):
First sector (209717248-419430399, default 209717248):
Using default value 209717248
Last sector, +sectors or +size{K,M,G} (209717248-419430399, default 419430399):
Using default value 419430399
Partition 2 of type Linux and of size 100 GiB is set
Command (m for help): w
The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.

创建三个文件系统（本例中不显示输出）。

[root@sap-app2-vsi ~]# mkfs.xfs /dev/vdb1
[root@sap-app2-vsi ~]# mkfs.xfs /dev/vdb2
[root@sap-app2-vsi ~]# mkfs.xfs /dev/vde
[root@sap-app2-vsi ~]# mkdir /usr/sap /sapmnt /db2

同样，您需要确定 /dev/disk/by-uuid 路径（如前所述），并维护 /etc/fstab 条目。 最后一步，您需要设置 NFS 以安装 SAP。

1. 在两个虚拟服务器上安装 NFS 实用程序。

   [root@sap-app-vsi ~]# yum install nfs-utils
   

   [root@sap-app2-vsi ~]# yum install nfs-utils
   

2. 在数据库虚拟服务器上启动 NFS 服务器。

   [root@sap-app2-vsi ~]# systemctl enable nfs-server
   [root@sap-app2-vsi ~]# systemctl start nfs-server
   

3. 通过在数据库服务器的 /etc/exports 中添加所需条目，使用 NFS 将 /sapmnt 和 /usr/sap/trans 从数据库服务器导出到应用程序服务器：

   /sapmnt/C10 10.243.129.0/24(rw,no_root_squash,sync,no_subtree_check)
   /usr/sap/trans 10.17.139.0/24(rw,no_root_squash,sync,no_subtree_check)
   

   您需要根据实际 IP 范围和子网掩码调整上一示例中的子网。 将 C10 替换为 SAP 系统的 SAP 系统 ID。C10 是一个示例值。 必须先创建目录，然后再进行导出。

4. 在命令行中运行以下命令。

   [root@sap-app2-vsi ~]# mkdir /sapmnt/C10
   [root@sap-app2-vsi ~]# mkdir -p /usr/sap/trans
   [root@sap-app2-vsi ~]# exportfs -a
   

5. 在 /etc/fstab 中添加以下条目，在应用程序服务器上挂载 NFS 共享，并使用以下命令从命令行挂载应用程序服务器。

   [root@sap-app-vsi ~]# vi /etc/fstab
   ...
   sap-app2-vsi-priv:/sapmnt/C10 /sapmnt/C10 nfs defaults 0 0
   sap-app2-vsi-priv:/usr/sap/trans /usr/sap/trans nfs defaults 0 0
   

6. 创建并挂载目标目录

   [root@sap-app-vsi ~]# mkdir /sapmnt/C10
   [root@sap-app-vsi ~]# mkdir /usr/sap/trans
   [root@sap-app-vsi ~]# mount /sapmnt/C10
   [root@sap-app-vsi ~]# mount /usr/sap/trans
   

您的服务器现在已准备好托管分布式 SAP 安装的组件。 有关更多安装准备工作的详细信息，请参阅 下载和安装 SAP 软件和应用程序。

安装 SAP 场景

准备使用 SAP 的软件供应管理器 (SWPM)

根据网络带宽和延迟情况，您可能需要在虚拟网络计算（VNC）会话中远程运行 SAP SWPM GUI。 另一种方法是在本地运行图形用户界面，并将其连接到目标计算机上的 SWPM。 对于第一种方案，必须在虚拟服务器中运行 X11，并安装 VNC 服务器和浏览器。 您可以在本地桌面上运行浏览器，并连接到虚拟服务器中的 SWPM。 要连接 SWPM，请检查 SWPM 正在监听的端口。 SWPM 在启动过程中列出访问 URL 时会显示端口。 端口（通常为 4237）需要在 VPC 的安全组中打开。 您需要为 IP 源范围（或 0.0.0.0/0 ）和端口号添加新的入站规则。 另一种更安全的方法是通过 ssh 开通端口隧道。

[root@sap-app-vsi ~]# ssh -L 4237:localhost:4237 <your virtual server IP>

-L 选项用于本地隧道，并将浏览器连接到本地主机端口，而不是远程 IP。 切记将 SAP 应用程序所需的端口（例如：端口 3200-3299，取决于 SAP NetWeaver 实例编号）添加到安全组。 有关端口的详细信息，请参阅 SAP ports。