Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Files NFS v4.1-volymer stöder kryptering under överföring via TLS som ger säkerhet i företagsklass genom att kryptera all trafik mellan klienter och servrar, utan att äventyra prestanda. Med Azure Files NFS kan du kryptera dina data från slutpunkt till slutpunkt: i vila, under överföring och över nätverket.
Mer information finns i följande dokument: Kryptering under överföring för NFS Azure-filresurser.
Distribuera kryptering under överföring (EiT) för Azure Files NFS-resurser
För SAP i Azure-miljön monterar du Azure Files NFS-resurser från den virtuella datorn med två metoder.
- Filsystem som konfigurerats i /etc/fstab
- Filsystem som konfigurerats som pacemakerresursagent
Steg för att konfigurera Azure Files NFS-kryptering under överföring för dessa två scenarier beskrivs i det här dokumentet.
Viktigt!
För SAP på Azure-miljöer i konfiguration med hög tillgänglighet (HA) och filsystem som hanteras av Pacemaker är stödet för Azure Files NFS-kryptering under överföring (EiT) begränsat till:
- SLES för SAP 15 SP 4 och senare
- RHEL för SAP 8.8, 8.10, 9.x och senare
Se SAP Note 1928533 för stöd för operativsystem för SAP på Azure-system.
Förberedelser för Azure Files NFS-kryptering under överföringsdistribution
Konfigurera ett Azure Files-lagringskonto, en NFS-filresurs och en privat slutpunkt enligt beskrivningen i Skapa en NFS Azure-filresurs
Anmärkning
Om du vill framtvinga kryptering under överföring för alla filresurser i Azure Storage-kontot aktiverar du alternativet säker överföring som krävs på konfigurationsfliken för lagringskontot.
Distribuera paketet för monteringshjälp (AZNFS) på den virtuella Linux-datorn.
Följ installationsstegen för AZNFS-monteringshjälppaketet baserat på operativsystemet.
curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/${VERSION_ID%%.*}")/packages-microsoft-prod.rpm sudo rpm -i packages-microsoft-prod.rpm rm packages-microsoft-prod.rpm sudo zypper refresh sudo zypper install aznfsVälj
Noatt automatiskt uppdatera paketet under installationen. Du kan också inaktivera/aktivera autouppdate när som helst genom att ändra värdetAUTO_UPDATE_AZNFSför till false/true i filen/opt/microsoft/aznfs/data/config.Mer information finns i avsnittet om paketinstallation .
Skapa katalogerna för att montera filresurserna.
mkdir -p <full path of the directory>
Montera NFS-filresursen från /etc/fstab
Montera filresursen permanent genom att lägga till monteringskommandona i "/etc/fstab".
vi /etc/fstab
sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/sapmntNW1 /sapmnt/NW1 aznfs noresvport,vers=4,minorversion=1,sec=sys,_netdev 0 0
# Mount the file systems
mount -a
Mer information finns i avsnittet montera NFS-filresurser för montering av Azure Files NFS-kryptering i överföringsfilresurs på virtuella Linux-datorer.
- Filsystemet som nämns är ett exempel för att förklara kommandosyntaxen för montering.
- Om du vill använda AZNFS-monteringshjälp och kryptering under överföring använder du fstype som
aznfs. Du bör alltid lägga till_netdevalternativet för deras /etc/fstab-poster för att se till att filresurserna monteras vid omstart först när de nödvändiga tjänsterna är aktiva. - Vi rekommenderar inte att du använder kryptering under överföring och icke-kryptering i överföringsmetoder för montering av olika filsystem med hjälp av Azure Files NFS på samma virtuella Azure-dator. Monteringskommandon kan misslyckas med att montera filsystemen om kryptering vid överföring och icke-kryptering i överföringsmetoder används på samma virtuella dator.
- Monteringshjälpen stöder privata slutpunktsbaserade anslutningar för Azure Files NFS-kryptering under överföring.
- Om den virtuella SAP-datorn är anpassad domänansluten använder du anpassade DNS FQDN ELLER korta namn för filresursen i fliken "/etc/fstab" enligt definitionen i DNS. För att verifiera värdnamnslösningen, kontrollera med hjälp av
nslookup <hostname>ochgetent host <hostname>kommandon.
Montera NFS-filresursen som pacemakerklusterresurs
Om du väljer alternativet för att använda Azure Files NFS-filsystem som en resurs i pacemakerklustret för hög tillgänglighet i SAP på Azure måste det monteras med hjälp av pacemakerklusterkommandot. I pacemakerkommandona, för att konfigurera filsystemet som klusterresurs, ändrar du monteringstypen till aznfs från nfs. Lägg också till _netdev i avsnittet alternativ.
Exempel på kommando för SLES och RHEL.
sudo crm configure primitive fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' directory='/usr/sap/NW1/ASCS00' fstype='aznfs' options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
op start timeout=60s interval=0 \
op stop timeout=60s interval=0 \
op monitor interval=20s timeout=40s
Viktigt!
Om du vill använda aznfs som filsystemtyp i pacemakerklusterresursagenten behåller du den version av resource-agents paketet som krävs baserat på operativsystemets version.
- SLES 15 SP4:
resource-agents-4.10.0+git40.0f4de473-150400.3.34.2eller senare - SLES 15 SP5:
resource-agents-4.12.0+git30.7fd7c8fa-150500.3.15.3eller senare - SLES 15 SP6 och senare:
resource-agents-4.13.0+git6.ae50f94f-150600.4.9.2eller senare
Verifiering av datakryptering under överföring för Azure Files NFS
Kontrollera de monterade filsystemen på den virtuella datorn.
eite10app1:~ # df -Th --type nfs4
Filesystem Type Size Used Avail Use% Mounted on
127.0.0.1:/eite10sapinst00/sapinst nfs4 512G 224G 289G 44% /sapinstall
127.0.0.1:/eite10sapapps00/e10-usrsap-d01 nfs4 256G 7.1G 249G 3% /usr/sap
127.0.0.1:/eite10sapapps00/e10-sapmnt-app nfs4 1.0T 439G 586G 43% /sapmnt/E10
127.0.0.1:/eite10sapapps00/e10-usrsap-temp nfs4 2.0T 640G 1.4T 32% /usr/sap/temp
127.0.0.1:/eite10sapapps00/e10-usrsap-trans nfs4 256G 3.0G 254G 2% /usr/sap/trans
eite10app1:~ #
Den här monteringsinformationen anger att klienten(den virtuella datorn) är ansluten via den lokala porten 127.0.0.1, inte ett externt nätverk. Stunnelprocessen lyssnar på 127.0.0.1 (localhost) för inkommande NFS-trafik från NFS-klienten (den virtuella datorn). Stunnel fångar sedan upp den här trafiken och vidarebefordrar den säkert via TLS till Azure Files NFS-servern i Azure.
Mer information finns i avsnittet Kontrollera att datakryptering under överföring lyckades för ytterligare kontroller.
Nästa steg
- Planera och implementera en SAP-distribution i Azure
- Azure Virtual Machines-distribution för SAP NetWeaver
- Använda Azure Premium Files NFS och SMB för SAP-arbetsbelastning
- Arkitektur och scenarier med hög tillgänglighet för SAP NetWeaver
- SAP NetWeaver med hög tillgänglighet med enkel montering och NFS på SLES för virtuella SAP-programdatorer
- Hög tillgänglighet för SAP NetWeaver på virtuella datorer på RHEL med NFS på Azure Files