SAP MaxDB

SAP MaxDB Deployment Guide

SAP MaxDBとは

SAP® MaxDB™ は、SAP SE が開発しサポートするデータベース管理システムです。SAP MaxDB は、Microsoft Windows、Linux、UNIX 他最も著名なハードウェアプラットフォームだけでなくパブリッククラウドでも利用可能です。SAP MaxDB の詳細については、SAP 公式ウェブサイト http://maxdb.sap.com をご参照ください。

このデプロイメントガイドでは、ECS インスタンス、ブロックストレージ、ネットワーク、および SUSE Linux Enterprise Server (SLES) オペレーティングシステムを構成する方法など、SAP MaxDB データベースシステムを Alibaba Cloud にデプロイする際のプランニング、デプロイの方法について説明します。このガイドには、Alibaba Cloud と SAP のベストプラクティスが含まれています。

版管理

バージョン リビジョンの日付 変更のタイプ 発効日
1.0     2018/5/25

ECS インスタンスタイプ

このデプロイメントガイドでは、SAP MaxDB 用として認定を受け、インテル Broadwell アーキテクチャ上で実行され、ECS エンタープライズのインスタンスタイプファミリの 1 つに属する ECS 多目的インスタンスファミリ (sn2ne) について説明します。SSD クラウドディスクと Ultra クラウドディスクは、SAP MaxDB データベースでデータボリュームとログをホストする場合に使用できます。現在サポートされている ECS インスタンスタイプは以下の表の通りです。詳細については、SAP Note 2552731 - 「Alibaba Cloud 上の SAP アプリケーション: サポートされている製品と IaaS 仮想マシンタイプ」 をご参照ください。

インスタンスタイプ vCPU メモリ (GiB)
ecs.sn2ne.large 2 8
ecs.sn2ne.xlarge 4 16
ecs.sn2ne.2xlarge 8 32
ecs.sn2ne.4xlarge 16 64
ecs.sn2ne.8xlarge 32 128
ecs.sn2ne.14xlarge 64 256

Alibaba Cloud サービス

このデプロイメントガイドが使用する Alibaba Cloud コアコンポーネントに含まれるサービスは、以下の表の通りです。

サービス 説明
ECS Elastic Compute Service (ECS) は、イラスティック処理の諸機能を特色とするコンピューティングサービスの一種です。ECS の管理モードは物理サーバーよりさらにシンプルかつ効率的です。インスタンスを作成、オペレーティングシステムを変更、またはビジネスニーズに合わせて随時任意の数の ECS インスタンスを追加もしくはリリースできます。
SSD クラウドディスク I/O 集約型のアプリケーションに適用可能で、安定性と高いランダム IOPS のパフォーマンスを提供します。
Ultra クラウドディスク I/O 負荷が中程度のアプリケーション シナリオに適用可能で、ECS インスタンスの最大 3,000 回のランダム読取/書込 IOPS のストレージパフォーマンスを提供します。
VPC Alibaba Cloud 仮想プライベート クラウド (VPC) は、Alibaba Cloud 上に構築されるプライベートネットワークです。Alibaba Cloud の他の仮想ネットワークと論理的に分離されています。 VPC を使えば、独自に定義したネットワークで Alibaba Cloud のリソースを起動、使用できます。
OSS Alibaba Cloud オブジェクトストレージサービス (OSS) は、ネットワーク ベースのデータアクセスサービスです。OSS では、テキストファイル、画像、オーディオ、およびビデオなど構造化・非構造化データを格納・検索できます。

Alibaba Cloud に SAP MaxDB をデプロイ

このセクションでは、Alibaba Cloud に SAP MaxDB をデプロイする方法について説明します。

準備

Alibaba Cloud アカウント

Alibaba Cloud アカウントがまだない場合は、以下の手順に従って申請できます。

  • 登録プロセスを実行します。Alibaba Cloud ホームページに移動しページ右上の [無料アカウント] をクリックします。
  • [Alibaba Cloud に登録] の説明に従います。
  • その後 [お支払方法を追加] します。
ゾーンと地域
ゾーン:
  • ゾーンは、1 つの地域内に独立した電力網とネットワークがある物理的な領域です。同じゾーン内の ECS インスタンスのネットワークレイテンシは比較的短時間となります。
  • 同じ地域内のゾーン間でイントラネット通信が発生することがあり、ゾーン間で障害分離を実行できます。ECS インスタンスを同じゾーンにデプロイするかどうかは、災害トレランス機能とネットワークレイテンシの要件によって異なります。
  • 高度な災害トレランス機能が必要なアプリケーションの場合は、ECS インスタンスを同じ地域の別のゾーンにデプロイするようお勧めします。
  • インスタンス間のネットワークレイテンシ要件が低いアプリケーションの場合は、ECS のインスタンスを同じゾーン内に作成するようお勧めします。
地域

現在 Alibaba Cloud データセンターは以下の地域でデプロイされています。中国東 1 (杭州)、中国東 2 (上海)、 中国北 1 (青島)、中国北 2 (北京)、 中国北 3 (張家口市)、中国南 1 (深圳)、香港、米国西 1 (シリコンバレー)、米国東 1 (バージニア州)、シンガポール、アジア太平洋北東 1 (日本)、ドイツ 1 (フランクフルト)、および中東 1 (ドバイ)。

  • 中国東 1 (杭州)、中国東 2 (上海)、中国北 1 (青島)、中国北 2 (北京)、中国北 3 (張家口市)、中国南 1 (深圳) のデータセンターでは中国のすべての省と県をカバーするマルチライン BGP バックボーンネットワークを提供し中国本土内で安定した高速アクセスを提供します。
  • 香港のデータセンターでは、香港や東南アジアをカバーし国際帯域幅でアクセスを提供しています。
  • シンガポールにおけるデータセンターのパートナーとして同国通信最大手のシングテルは東南アジアで支配的なプレイヤーです。ビジネスの専門知識と成熟度の面で信頼性が高く、地域全域にわたってユーザーにサービスを提供する体制を整えています。
  • アジア太平洋東南 2 のデータセンターは、オーストラリアのシドニーにあります。
  • アジア太平洋北東 1 のデータセンターは、日本の東京にあります。
  • 米国西 1 (シリコンバレー) のデータセンターは、BGP の回線を介して複数のアメリカのキャリアのバックボーンネットワークに直結しています。米国全域に加え、データセンターは南アメリカとヨーロッパ大陸にも拡張しています。
  • 米国東 1 のデータセンターはアメリカ合衆国のバージニア州にあります。
  • ドイツ 1 のデータセンターはフランクフルトにあります。
  • 中東 1 のデータセンターはアラブ首長国連邦のドバイにあります。
地域を選択する方法

中国本土の地域

通常は、ユーザーアクセスをさらに高速化するためエンドユーザーに最も近いデータセンターを選択するようお勧めしています。中国本土の Alibaba Cloud のデータセンターは、インフラストラクチャ、BGP ネットワーク品質、サービス品質、ECS 操作および構成の面で相互に類似しています。国内の BGP ネットワークは、中国全域へ高速なアクセスを確保します。

国際地域

中国本土外のデータセンターは、中国本土外の国際帯域幅とターゲット地域を提供しています。中国本土からこれらの地域にアクセスすると大きなレイテンシが発生する可能性があります。このため、使用はお勧めできません。

  • 香港や東南アジアでのビジネス要件がある場合は、香港またはシンガポールを選択できます。
  • 日本や韓国でのビジネス要件がある場合は、アジア 太平洋北東 1 (日本) を選択できます。
  • オーストラリアのビジネス要件がある場合は、アジア太平洋 東南 2 (シドニー) を選択できます。
  • アメリカのビジネス要件がある場合、米国西 1 (シリコンバレー) と米国東 1 (バージニア州) を選択できます。
  • ヨーロッパ大陸のビジネス要件がある場合は、ドイツ 1 (フランクフルト) を選択できます。
  • 中東のビジネス要件がある場合は場合は、中東 1 (ドバイ) を選択できます。

注:異なる地域にさまざまな Alibaba Cloud 製品が分散して存在しているとイントラネットを介して相互に通信できません。

  • さまざまな地域に ECS、AsparaDB for RDS、および OSS インスタンスが散在しているとイントラネットを介した相互通信ができなくなります。
  • OSS インスタンスなど ECS インスタンスその他のクラウドリソースが異なる地域に分散しているとイントラネットを介した相互通信ができません。
  • サーバーロードバランサを異なる地域の ECS インスタンスにデプロイすることはできません。つまり異なる地域で購入した ECS インスタンスは同じサーバーのロードバランサのインスタンスにデプロイできません。
  • 単一の VPC は 1 つの地域にのみデプロイできます。地域が異なる VPC はデフォルトでは相互に通信できない設定になっています。VPC は実際の実行環境に基づいて選択できます。
SAP MaxDB インストールメディア
  1. SAP 公式ウェブサイトから SAP MaxDB インストールメディアをダウンロードします。
  2. SAP MaxDB インストールメディアを ECS インスタンスにアップロードします。

デプロイのプロセス

ネットワークを構成
VPC とスイッチを作成します。
    • VPC コンソールにログオンします。
    • 左側のナビゲーション バーで、[VPC] をクリックします。
    • VPC のリストのページで、VPC がある地域を選択し、[VPC を作成] をクリックします。
    • [VPC を作成] ダイアログボックスで VPC の名前を入力し、VPC のネットワークセグメントを選択します。

    以下の標準的な VPC のネットワークセグメントのうち 1 つを選択できます。VPC 作成後、そのネットワークセグメントは変更できなくなります。その後のサイズ変更を防ぐため大規模なネットワークセグメントを使用するようお勧めします。

        1. 10.0.0.0/8(10.0.0.0 - 10.255.255.255)
        2. 172.16.0.0/12(172.16.0.0 - 172.31.255.255)
        3. 192.168.0.0/16(192.168.0.0 - 192.168.255.255)
    • [VPC の作成] をクリックします。

      VPC を作成すると VPC ID が生成されます。同時に VPC のルーターが作成されます。

    • [次へ] をクリックしてスイッチを作成します。

    • [スイッチの作成] タブページで以下の情報を提供し、[スイッチの作成] をクリックします。

      名前: スイッチの名前を指定します。 ゾーン: スイッチのゾーンを選択します。 ネットワークセグメント: スイッチのネットワークセグメントを指定します。 スイッチのネットワークセグメントは、スイッチが所属する VPC または VPC ネットワークセグメントのサブネットと同じにすることができます。スイッチのネットワークセグメントのサイズは、ネットマスク 16 ビット~29 ビットの範囲にしてください。 メモ: スイッチのネットワークセグメントがスイッチの所属先の VPC と同じ場合、VPC の下で作成できるスイッチの数は 1 つだけです。

    • [完了] をクリックします。

      インスタンスリストページに戻り、作成した VPC の ID リンクをクリックして VPC 詳細ページを入力します。VPC をチェックしページを切り替えます。

    セキュリティグループの構成

    セキュリティグループについて

    セキュリティグループは、相互の信頼により同じセキュリティ要件、同じ地域内のインスタンスで構成される論理グループです。各インスタンスは少なくとも 1 つのセキュリティグループに属しており、所属先のセキュリティグループは作成時に指定する必要があります。同じセキュリティグループ内のインスタンスはネットワークを介して通信できますが、セキュリティグループが異なるインスタンスはデフォルトではイントラネットを介して通信できません。2 つのセキュリティグループ間の相互アクセスが認証可能です。

    セキュリティグループは、ステートフルパケットインスペクション (SPI) 機能を提供する仮想ファイアウォールです。セキュリティグループを使用して 1 つまたは複数の ECS のネットワークアクセス制御を設定します。セキュリティグループは、セキュリティ分離の重要な手段としてクラウド上のセキュリティドメインの分割に使用されます。

      • セキュリティグループの制限事項

        • 単一のセキュリティグループに 1,000 を超えるインスタンスを含めることはできません。1,000 を超えるインスタンス間のイントラネット相互アクセスが必要な場合、さまざまなセキュリティグループに割り振り相互認証を通じて相互のアクセスを許可することができます。
        • 各インスタンスは、最大 5 つのセキュリティグループに参加できます。
        • 各ユーザーは最大 100 のセキュリティグループを持つことができます。
        • セキュリティグループを調整してもユーザーのサービスの継続性への影響はありません。
        • セキュリティグループはステートフルです。アウトバウンドパケットが許可されている場合は、この接続に対応するインバウンドパケットも許可されます。
        • セキュリティグループには古典的なネットワークと VPC と 2 種類のネットワークがあります。
          • 古典的なネットワークタイプのインスタンスは、同じ地域の古典的なネットワーク上のセキュリティグループに参加できます。
          • VPC タイプのインスタンスは、同じ VPC 上のセキュリティグループに参加できます。
      • セキュリティグループルール

        • セキュリティグループのルールでは、インバウンドおよびアウトバウンドの方向からパブリックネットワークまたはイントラネットにアクセスするためセキュリティグループに関連付けられている ECS インスタンスに関して許可するか禁止するかを設定できます。
        • セキュリティグループのルールはいつでも認証または削除できます。セキュリティグループの変更したルールは、そのセキュリティグループに関連付けられている ECS インスタンスに自動的に適用されます。セキュリティ グループのルールを設定する場合、確実にシンプルなルールを設定するようにします。1 つのインスタンスに複数のセキュリティグループを割り振る場合、最大数百のルールがインスタンスに適用されます。インスタンスにアクセスするとネットワークが切断される場合があります。
        • セキュリティグループルールの制限事項
          • 各セキュリティグループに指定できるセキュリティグループルールの最大数は 100 です。

      セキュリティグループの構成方法

        • ECS コンソールにログオンします。
        • 左側のナビゲーションバーで、[セキュリティグループ] をクリックします。
        • セキュリティグループを作成する地域を選択します。
        • [セキュリティグループの作成] をクリックします。表示されたダイアログボックスに以下の情報を入力します。
        maxdb-vpc-1
          • [OK] をクリックし、続いて [構成ルール] をクリックします。
          • 対応する指示に従いルールの設定を完了します。リモートアクセスのポートのみを保持するようお勧めします。
          maxdb-vpc-2

          ポート構成のリファレンス

          SAP MaxDB のデプロイ時は VPC が使用されます。パブリックネットワークまたは VPC を指定せず、アウトバウンドおよびインバウンドの方向のみルールを設定する必要があります。セキュリティグループのルールはデフォルトでは空白です。ECS インスタンスを作成するときは、選択したセキュリティグループに確実にポート 22 (Linux) または 3389 (Windows) が含まれるようにします。含まれていないと、ECS インスタンスにリモートでログオンできません。

          SAP によるアクセス時に必要となる特定のポート、関連するセキュリティグループルールについては、SAP 公式マニュアルを参照してください。

          SAP MaxDB ECS インスタンスを作成

              1. Alibaba Cloud ECS ECS 製品購入ページにログオンします。
              2. お支払方法は [サブスクリプション] を選択します。
              3. 地域およびゾーンを選択します。
              4. ネットワークタイプは [VPC] を選択します。ネットワークタイプを選択したら、作成したまたは既存の VPC とスイッチについての情報を入力します。マルチノードのアーキテクチャで SAP MaxDB が外部サービスを直接提供することはありません。このため、[パブリック IP アドレス] を [割り振らない] に設定します。
              5. インスタンスのタイプを選択します。Sn2ne ECS インスタンスファミリ内にあるインスタンスタイプを選択します。
              6. オペレーティングシステムイメージを選択します。オペレーティングシステムは、SUSE Linux Enterprise Server も有効です。
          maxdb-install-1
            • ストレージディスクを構成します。以下の通り ストレージディスクを選択するようお勧めします。 (ログおよびデータファイルのシステムには SSD クラウドディスク、バックアップファイルには Ultra クラウドディスクと別々に指定)
            maxdb-install-2
              • 初期化情報を構成します。
                初期パスワードを設定したら [作成] をクリックしインスタンス初期化まで数分待ちます。
              • 要塞ホストを作成します。
                上記の手順通り、 vCPU 1 つ、メモリ 2 ギガバイト、ストレージ追加はなし、同じゾーン、同じ VPC で要塞ホストを作成します。
              • 要塞ホストのネットワークを構成します。
                現在パブリック IP アドレスを構成する方法はいくつかあります。ここでは Elastic IP アドレス (EIP) 構成を例とします。EIP は、単独で購入・保有可能なパブリック IP アドレスリソースです。ECS インスタンスを停止せずに別の ECS インスタンスから動的にバインド/バインド解除できます。
                • EIP コンソールにログオンします。
                • [EIP の適用] をクリックします。
                • 購入ページで地域、帯域幅のピークを選択し、EIP のお支払オプションを選択して [今すぐ購入] をクリックし支払を行います。
                • メモ: EIP の地域は、EIP がバインドされる ECS インスタンスと同じである必要があります。
                • EIP のリストのページに戻り、EIP の地域を選択し、[リフレッシュ] をクリックして作成した EIP インスタンスをチェックします。
                • [バインド] をクリックします。
                • [パブリック EIP のバインド] ダイアログボックスで作成した ECS インスタンスを選択し、[OK] をクリックします。
                • バインドを完了したら、EIP のリストのページの [リフレッシュ] をクリックして EIP インスタンスの状態をチェックします。
                • EIP のインスタンスの状態が [割り振り済み] の場合、EIP がバインドされている ECS インスタンスはパブリックネットワークを介してアクセス可能です。
                • ECS インスタンスにログオンし、以下のコマンドでパブリックネットワークを介してアクセスのテストを行います。
                  1. ping www.aliyun.com
                  maxdb-install-3
              • インスタンスにログオンします。
                現在 SAP MaxDB ECS インスタンスにはパブリックネットワークが構成されていません。このため、SAP MaxDB ECS インスタンスにログオンするには要塞ホストが必要です。
              • SAP インストールガイドに従って SAP MaxDB の SAP システムをインストールします。

              SAP MaxDB に接続

              前のデプロイでは SAP MaxDB インスタンスのパブリック IP アドレスが設定されないので、SAP MaxDB インスタンスに接続できる唯一の方法は SSH を使用し要塞ホストを介して接続する方法だけです。

                • 要塞ホストを介して SAP MaxDB に接続するには、SSH クライアントを選択して要塞ホストに接続してから SAP MaxDB インスタンスに接続します。

                SAP MaxDB Operation Guide

                版管理

                バージョン リビジョンの日付 変更のタイプ 発効日
                1.0     2018/5/25

                はじめに

                このガイドでは、Alibaba Cloud にデプロイされている SAP MaxDB システムを操作するためのベストプラクティスを提供します。このガイドは、標準の SAP マニュアルを書き換える意図はありませんので注意してください。

                管理

                このセクションでは、システムの起動、停止、およびクローン作成に関する情報など Alibaba Cloud 上で SAP MaxDB システムの運用に必要な通常の管理タスクを実行する方法について説明します。

                ECS インスタンの起動と停止

                いつでも任意の SAP MaxDB のホストを停止できます。ベストプラクティスとして、インスタンスを停止するにはまず Alibaba Cloud ECS インスタンス上で実行中の SAP MaxDB を停止する必要があります。インスタンスを再開すると、ECS インスタンスが以前と同じ IP アドレス、ネットワーク、およびストレージ構成で自動処理で起動されます。

                SAP MaxDB システムのカスタマイズされたイメージを作成

                Alibaba Cloud のカスタムイメージでは、スケーリング要件を満たせるよう同じ OS、環境データの複数の ECS インスタンスを作成することにより効果的に ECS のインスタンスを実行できます。

                Alibaba Cloud 管理コンソールを使用して既存のインスタンスに基づいて、独自のカスタムイメージを作成できます。詳細については、Alibaba のドキュメントの「スナップショットを使用してカスタムイメージを作成」 セクションを参照してください。画像は以下の通り使用できます。

                • (OS、/usr/sap、データ、ログ、バックアップ ファイル) の完全なオフライン MaxDB システムのバックアップを作成します。
                • ECS インスタンスを作成または ECS インスタンスのシステムディスクを変更するイメージを使用できます。
                • SAP MaxDB システムを 1 つの地域から別の地域へ移動 - 既存の Alibaba Cloud ECS インスタンスのイメージを作成し、Alibaba Cloud のマニュアルの指示に従って別の地域へ移動します。複数の地域間で一貫した環境とアプリケーションのデプロイメントを維持するためカスタムイメージを別の地域にコピーすることもできます。
                • SAP MaxDB システムのクローンを作成 – 既存の SAP MaxDB システムのイメージを作成して同システムの正確なクローンを作成できます。このマニュアルの次のセクションを参照してください。

                注:一貫性のある状態で SAP Max システムのイメージを作成するには、まず作成前に SAP MaxDB インスタンスを停止する必要があります。

                SAP MaxDB システムのクローンを作成

                SAP MaxDB システムのクローンを作成すると、同じゾーン内の Alibaba Cloud ECS に SAP MaxDB システムのイメージを作成できます。一般には、オペレーティングシステム、プリインストールされた SAP MaxDB ソフトウェア、同じストレージシステムのレイアウトが含まれています。

                アカウント管理

                Alibaba Cloud SAP MaxDB システムを管理時、アドミニストレータアカウントは以下の 3 種類があります。

                • Alibaba Cloud アカウント - Alibaba Cloud 製品・サービスを使用する前にまず Alibaba Cloud ウェブサイト上で Alibaba アカウントを作成する必要があります。このアカウントを使用して、ECS を管理、VPC を構成し、Alibaba Cloud ウェブサイトから MaxDB SAP システムの画像またはスナップショットを管理します。
                • ECS インスタンスアドミニストレータアカウント - ECS インスタンスが作成されると、アドミニストレータアカウント (通常は root) が OS レベルで作成されます。Alibaba Cloud はオペレーティングシステム内のすべてのアカウントを作成するわけではありません。デフォルト Linux システムユーザーは root ユーザーだけです。システムの使用時はオペレーティングシステムの必要に応じて適宜ユーザーアカウントを作成したり削除したりすることができます。
                • SAP MaxDB データベースシステムアドミニストレータ - SAP MaxDB のインストール時に SID を指定する必要があります。SAP MaxDB はシステムアカウントとして [sid]adm を使用してデフォルトでこのアカウントを作成します。

                ネットワーキング

                ECS の仮想ネットワークに ECS を使用して SAP MaxDB システムをプロビジョニングします。SAP MaxDB のデフォルトのネットワークタイプは仮想プライベートクラウド (VPC) を使用するようお勧めします。Alibaba Cloud VPC は、Alibaba Cloud 上に確立されるプライベートネットワークです。Alibaba Cloud の他の仮想ネットワークと論理的に分離されています。 VPC では、独自の VPC で Alibaba Cloud のリソースを起動して使用できます。

                たとえば、Alibaba Cloud VPC に対して完全な制御がある場合は、IP アドレス範囲を選択したり VPC をサブネットに分割したりルーティングテーブルとネットワークゲートウェイを構成したりすることができます。Alibaba のドキュメントの仮想プライベートクラウドのユーザー ガイドを参照してください。さらに、物理接続または VPN を使用して VPC をオンプレミスのネットワークと接続しオンデマンドかつカスタマイズ可能なネットワーク環境を形成することもできます。これにより手間いらずでスムーズにアプリケーションを Alibaba Cloud に移行できます。

                セキュリティの分離

                • デフォルトでは、別のユーザーのクラウドサーバーは異なる VPC にあります。
                • 異なる VPC はトンネル ID によって分離されます。VSwitches と VRouters を使用して、従来のネットワーク環境と同様に VPC をサブネットにセグメント化できます。VPC 内の異なるサブネットクラウドサーバーは相互通信に VRouters を使用しますが、同じサブネットの異なるクラウドサーバーは VSwitch を使用して相互通信します。
                • 異なる VPC 間のイントラネットは完全に分離されており、相互通信が可能なのは外部 IP (Elastic IP と NAT IP) マッピングを使用する場合に限られます。
                • クラウドサーバーの IP パケットは、トンネル ID によりカプセル化されるので、クラウド サーバーのデータ リンク層 (2 層 MAC アドレス) は物理ネットワークに転送されません。このため、異なるクラウドサーバーの 2 層ネットワークは分離されます。つまり、異なる VPC 間の 2 層ネットワークは分離されています。
                • VPC 内 ECS インスタンスは、ネットワークアクセスの制御にセキュリティグループのファイアウォールを使用します。これが第 3 層の分離です。

                NAT ゲートウェイ

                セキュリティポリシーで本当に内部の仮想マシンが必要とされる場合は、仮想マシンがインターネットにアクセスできるよう、ネットワークおよび対応するルートに手動で NAT プロキシを設定する必要があります。内部の VM インスタンスに SSH を使用して直接完全に接続することはできません。この点に注意することが重要です。このような内部のマシンに接続するには、外部の IP アドレスを持つ要塞インスタンスを設定し、それを介してトンネルする必要があります。ユーザーが要塞インスタンスを設定する方法については、Alibaba Cloud ガイドの SAP MaxDB デプロイメントガイドを参照してください。仮想マシンに外部 IP アドレスが設定されていない場合、これらの仮想マシンにアクセスできるのはネットワーク上の他の仮想マシン、またはマネージド VPN ゲートウェイを介する他の仮想マシンだけです。仮想マシンを、要塞ホストまたはネットワーク出口、NAT ゲートウェイと呼ばれるインバウンド接続用の信頼されたリレーとして機能するようネットワークでプロビジョニングできます。このような接続を設定することなくより透過的な接続性を得るには、マネージド VPN ゲートウェイリソースを使用できます。

                セキュリティグループ

                セキュリティグループは、相互の信頼により同じセキュリティ要件、同じ地域内のインスタンスで構成される論理グループです。各インスタンスは少なくとも 1 つのセキュリティグループに属しており、所属先のセキュリティグループは作成時に指定する必要があります。同じセキュリティグループ内のインスタンスはネットワークを介して通信できますが、セキュリティグループが異なるインスタンスはデフォルトではイントラネットを介して通信できません。2 つのセキュリティグループ間の相互アクセスが認証可能です。

                セキュリティグループは、ステートフルパケットインスペクション (SPI) 機能を提供する仮想ファイアウォールです。セキュリティグループを使用して 1 つまたは複数の ECS のネットワークアクセス制御を設定します。セキュリティグループは、セキュリティ分離の重要な手段としてクラウド上のセキュリティドメインの分割に使用されます。Alibaba ドキュメントのセキュリティグループのユーザーガイドを参照してください。

                SAProuter を使用した SAP サポートアクセス

                SAProuter はお客さまのネットワークと SAP ネットワークとの間のリモート接続を提供するソフトウェアアプリケーションです。SAP テクニカルサポートのエンジニアがご使用の Alibaba Cloud MaxDB システムにアクセスすることを許可していただく必要がある場合もあります。SAProuter を使用するための唯一の前提条件は、お客さまのネットワークから SAP ネットワークへのネットワーク接続です。

                Alibaba Cloud ECS から SAP へ直接サポート接続を設定する場合は、以下の手順を実行してください。

                • SAProuter ソフトウェアをインストールし、Elastic IP (EIP) リソースを購入し、ECS インスタンスを再起動せずに VPC ECS インスタンスに動的にバインドして ECS インスタンスを起動してください。
                • SAP サポートネットワークに SAProuter インスタンス、TCP ポート 3299 に対する必須のインバウンドおよびアウトバウンドのアクセスのみを許可する特定のセキュリティグループを作成・構成します。
                • 以下の SAP Note 1628296 に従って SAProuter ソフトウェアをインストールし、SAP から Alibaba Cloud SAP MaxDB システムへのアクセスを可能にする saprouttab ファイルを作成します。
                • SAP との接続を設定します。インターネット接続は、Secure Network Connection (SNC) を使用してください。詳細については、SAP リモートサポート - ヘルプを参照してください。

                セキュリティ

                IaaS のデプロイおよび SAP MaxDB データベースのシステム実装については、クラウドをサポートするインフラストラクチャのセキュリティは Alibaba Cloud が維持し、お客さまが使用するクラウドリソースおよびアプリケーションのセキュリティの確保はお客さまの責任で行っていただきます。

                以下の Alibaba Cloud セキュリティリソースも Alibaba Cloud SAP MaxDB 環境に必要なセキュリティレベルを達成するのに役立ちます。

                リソースアクセス管理

                Alibaba Cloud リソースアクセス管理 (RAM) はアイデンティティおよびアクセス制御サービスで、ユーザー (従業員、システム、またはアプリケーションなど) を一元管理し、許可レベルを付けてリソースへのアクセスをセキュアに制御できます。RAM はこの方法で、えり抜きの高い特権を持つユーザー、企業担当者、およびパートナーだけに Alibaba Cloud リソースのアクセス許可をセキュアに付与することができます。これによりクラウドリソースの安全かつ適切な利用を確保しご使用のアカウントへの未承諾アクセスが発生しないよう保護できます。Alibaba のドキュメントのリソースアクセス管理のユーザーガイドを参照してください。

                アクセスに関するお知らせ

                Alibaba Cloud メッセージ センターを使用して、通知を購読し、電子メールや SMS メッセージを含む通知チャネルを構成することができます。サーバーへ任意の SSH ログインが発生すると、ユーザーに通知されます。

                サーバーガード

                Alibaba Cloud サーバーガードは、サーバーとデータベースのリアルタイムモニタリングを提供する信頼性の高セキュアなサービスです。サービスとアプリケーションの脆弱性を 24 時間対応でモニタリングし、可用性の最適化を確保します。Alibaba ドキュメントのサーバーガードのユーザーガイドを参照してください。ログインセキュリティの対策は以下の通りです。

                • リアルタイムでネットワーク全体の一般的な ウェブソフトウェアの脆弱性を監視します。
                • 脆弱性パッチ (公式パッチのリリース前に利用可能) を含む、Alibaba Cloud セキュリティの脆弱性緊急応答機能にアクセスできます。
                • ユーザーはワンクリックで脆弱性を修復し、脆弱性が公開されてから公式のパッチがリリースされるまでの期間中のハッカーによる攻撃を遮ることができます。

                バックアップと復元

                バックアップは、記録のシステムの保護に欠かせません。SAP MaxDB 作業負荷が低い場合は定期的なバックアップを作成してください。バックアップがあれば予期しないシステム障害が発生しても回復できます。以下に Alibaba Cloud 上のバックアップと回復についていくつか重要なポイントを示します。

                Alibaba Cloud SAP MaxDB バックアップの最終的な宛先

                従来のオンプレミス インフラストラクチャと比較した場合 Alibaba Cloud 上の SAP MaxDB でバックアップを作成する場合のおもな違いは、最終的なバックアップ先です。オンプレミスのインフラストラクチャで使用される典型的な最終バックアップ先はテープです。Alibaba Cloud の場合バックアップはテープではなく OSS に格納されます。Alibaba Cloud OSS でバックアップを保存すると、OSS バケットに無制限のオブジェクトを無制限に読取・書込・削除・格納できるなど、テープに比べて数多くの利点があります。OSS は、オブジェクトの 3 つのコピーを複数の場所に格納しデータの信頼性を 99.999999999% 確保します。組み込みのセキュリティメカニズムにはマルチレベルのセキュリティ、不正ログイン試行のモニタリング、DDoS 攻撃空の保護、データ アクセスポリシーが含まれます。

                Alibaba Cloud では、デフォルトで SAP MaxDB ECS インスタンスが SAP MaxDB データベースの初期ローカルバックアップ先としてクラウドディスクで構成されます。SAP MaxDB バックアップはまずこれらのローカルクラウドディスクボリュームに格納され、長期保存のため OSS にコピーされます。

                アイデンティティとバックアップへのアクセスの管理

                OSS バケット内のバックアップへのアクセスを許可するには、RAM コンソールでアクセスルールを持つユーザーを構成する必要があります。以下の SAP を参照してください。

                1. OSS アクセスを指定するユーザーを選択し、[許可]をクリックします。
                  maxdb-ram-1
                2. 許可ポリシー 「AliyunOSSFullAccess」 を選択します。
                  maxdb-ram-2
                3. アカウント所有者として、電話番号認証で検証コードの入力が求められます。
                4. 電話番号認証後、ポリシー管理パネルでアクセスを確認できます。
                  maxdb-ram-3
                5. カスタマイズしたポリシーを作成する場合は、ポリシー管理パネルから作成することもできます。詳細については、Alibaba Cloud のウェブサイト上の RAM ポリシー管理マニュアル を参照してください。

                非本番 SAP MaxDB データベースのバックアップおよび回復

                このセクションでは、非本番システムのバックアップオプションを提供します。非本番システムの例は以下のとおりです。

                • デモシステム
                • 研修システム
                • サンドボックスシステム
                • 概念実証システム
                • 証跡システム

                非本番系の典型的な要件は以下の通りです。

                • バックアップが頻繁に作成されていない
                • ポイントインタイムリカバリの要求がない
                • シンプルかつ低コスト

                クラウドディスクのスナップショットは、非本番システムの要件を満たすために活用できるシンプルかつ低コストなバックアップサービスを提供しています。特定の時間だけでなく 1 日のうち数回スナップショットを撮ることができる、毎週のスナップショットを撮る曜日を指定できる、スナップショットの保持期間を指定したり永久に保持する指定にしたりすることができるなど、スナップショットポリシーは非常に柔軟です。自動スナップショットは最大数に達すると最も古い自動スナップショットが削除されますのでご注意ください。クラウドディスクスナップショットの詳細については、Alibaba Cloud ウェブサイト上のスナップショットの概要を参照してください。

                クラウドディスクスナップショットを使用してバックアップを実行する前に 「SAP Note: 1928060 - データのバックアップとファイル システムのバックアップの回復」をご参照下さい。ディスクのスナップショットを撮る前に、いくつか特定の前提条件をクリアする必要があります。

                バックアップによるアプローチ

                定期的にスナップショットを作成するには、システム ディスク (/usr/sap)、データファイルシステムおよびログファイルシステムのデータディスクなど、SAP MaxDB ECS インスタンスに接続されたクラウド ディスク ボリュームの自動スナップショットを構成できます。

                復元によるアプローチ

                スナップショットを使用すれば非本番システムの SAP MaxDB ECS インスタンス全体を手動で復元できます。

                本番 SAP MaxDB データベースのバックアップおよび回復

                このセクションでカバーするバックアップオプションは、以下の本番システムの一般的なバックアップ要件に対応しています。

                • スケジュールに基づく頻繁なバックアップ
                • データベースのポイントインタイムリカバリ

                バックアップによるアプローチ

                • Alibaba Cloud プラットフォームでは、デフォルトで が SAP MaxDB データベースの初期ローカルバックアップ先は SAP MaxDB ECS インスタンスに接続されているクラウドディスクボリューム上に構成されます。
                • SAP MaxDB データバックアップを開始またはスケジュールを設定するには SQL コマンドまたは SAP DBA コックピットを使用できます。無効にしない限り、ログのバックアップが自動的に書き込まれます。
                • その後、ローカルクラウドディスク上の SAP MaxDB データベースバックアップファイルを長期保存のため Alibaba Cloud OSS にコピーできます。
                • 地域間冗長性が必要な場合、OSS 上のバックアップファイルは別の地域にレプリケートする構成にすることができます。

                復元によるアプローチ

                • SAP MaxDB ECS インスタンスのバックアップディレクトリのクラウドディスクに、OSS にあるバックアップファイルをコピーします。
                • SAP MaxDB データベースはバックアップクラウドディスクのバックアップファイルに基づいて復元・回復してください。