Amazon Web Services ブログ

Commvaultを使用したAWS上のSAPバックアップ – アーキテクチャと主要なコンポーネントの展開

このブログシリーズでは、Commvaultを使用してSAPインスタンスを安全にバックアップおよびリカバリーするためのベストプラクティスを紹介します。現在、AWS上でSAPを稼働しているお客様は、SAPインスタンスのバックアップに様々なバックアップソリューションを利用できます。クラウドネイティブなAWSサービスを利用する場合もあれば、お客様の要件に基づいてCommvaultやNetBackupなどのエンタープライズバックアップソリューションを引き続き利用する場合もあります。

このブログでは、Commvaultのアーキテクチャと、SAP HANAデータベースをバックアップするためのCommvaultの主要なコンポーネントのAWS上での展開方法に焦点を当てます。

Commvaultのアーキテクチャ:

The following image shows Commvault Architecture and how commvault core components are deployed on AWS * S3バケットへのアクセスを許可。AWS KMS CMK (ローカル/リモート)とAWSリソース
** S3バケットへのアクセスを許可。AWS KMS CMK (ローカル)とAWSリソース。最初のアカウント作成にともなってプロビジョニング
*** KMSキーポリシーは暗号化アクセスを制御。テナントアカウントのIAMユーザーとMediaAgentロールにAmazon EBS暗号化/復号化の権限を付与

Commvaultのソリューションは、様々なコンポーネントで構成されており、ビジネス要件に合わせてカスタマイズできます。実装に必要な堅牢かつスケーラブルな主要なコンポーネントは、CommCellと呼ばれています。以下のすべてのコンポーネントで、Commvaultのドキュメントに記載されている適切なAmazon Elastic Compute Cloud (Amazon EC2)インスタンスタイプとAmazon Elastic Block Store (Amazon EBS)ボリュームを使用する必要があります。

Commvaultのコンポーネント:

  • CommServe:
    CommServeは、CommCell環境のすべてのアクティビティを調整し、メタデータデータベース (CommCellの情報を管理する場所)を持つシステムです。このシステムは、別のAWSアベイラビリティーゾーンやリージョンにスタンバイのCommServeを展開することで高可用性を実現します。プライマリーとスタンバイのCommServeインスタンスは、Commvaultが管理するデータベースログ配布によって同期が維持されます。
  • MediaAgent:
    MediaAgentは、ソースから宛先にデータを移動します。MediaAgentは、データベースの重複排除を行い、重複排除されたデータを保存するためのAmazon S3バケット (バックアップメディアターゲット)と通信します。複数のMediaAgentを展開し、バックアップとリストアの機能を強化できます。高可用性を提供するには、MediaAgentを複数のAWSアベイラビリティーゾーンに展開します。

AWSのコンポーネント:

  • Amazon S3バケット:
    Amazon S3バケットは、バックアップデータのリポジトリとして機能します。MediaAgentがデータを収集すると、これらのバケット内に保存し、重複排除された状態になります。MediaAgentごとに1つのバケットが作成されます。バケットポリシーは、バケットに含まれるデータにアクセスできるユーザー/ロールを制限するために導入されます。Amazon S3で管理されたキー (SSE-S3)を使用して、デフォルト暗号化を有効にする必要があります。AWS管理のカスタマーマスターキー (CMK)、あるいはお客様管理のCMKを使用できますが、これらのキーは、バケット内のオブジェクトが暗号化または復号化されるたびにAWS KMSサービスとやり取りすることに注意してください。AWS KMS APIコールは追跡され、無料利用枠を超えると請求されます。重複排除によって数百万のオブジェクトが作成されたバケットでは、AWS管理のCMKかお客様管理のCMKを使用した場合に、AWS KMSの利用にかなりの料金が掛かる可能性があります。
  • IAMロール:
    EC2インスタンスにアタッチするIAMロールは、CommvaultソフトウェアコンポーネントにS3バケットおよび他のAWSリソースへのアクセスを許可するために使用します。
  • EC2インスタンス:
    SAP HANAデータベースが稼働するAmazon EC2インスタンスには、CommvaultファイルとHANAエージェントを展開します。
  • AWS KMS CMKs:
    AWS Key Management Service のカスタマーマスターキーは、Commvault Virtual Server Agent (VSA)プロキシー経由でバックアップされているEBSボリュームの保存データを暗号化するために使用します。Amazon EBS暗号化には、AWS管理のCMKではなく、お客様管理のCMKを使用する必要があります。これにより、KMSポリシーを編集し、Commvaultにクロスアカウントアクセスを許可できます。
  • EC2セキュリティグループ:
    Commvaultエージェントには、 Commvault CommServeとMediaAgentサーバーからのインバウンド通信を許可するEC2セキュリティグループが必要です。Commvault CommServeとMediaAgentが展開されているAWS AZ内のサブネットのCIDRからTCP 8400-8409で受信できるセキュリティグループを推奨しています。これにより、Commvaultのスケールアップ時にセキュリティグループを調整する必要がなく、Commvaultの拡張が可能になります。

SAP HANAの保護:

SAP HANAに使用できる保護の選択肢は次の通りです:

  • データをローカルのEBSボリュームに書き込むファイルレベルのバックアップ
  • クラウドネイティブなサービスによるストレージレベルのスナップショット。SAP HANAデータベースのスナップショットを使用した自動復旧手順を作成する方法については、このブログで詳細を確認
  • HANAをバックアップするための集中型サードパーティーソリューションと連携するためのSAP定義のストリーミングバックアップインターフェースを持つBackint for SAP HANA

このブログでは、CommvaultがHANAデータベースと直接接続するなど、SAP認定バックアップソリューションを統合できるようにするBackint for SAP HANAに焦点を当てます。

ベストプラクティスは、データベースを任意の時点にリストアできる機能でバックアップすることです。これにより、中断前の状態に可能な限り近い状態にリストアできます。このリストア機能を実現するには、2つのバックアップタイプを実行する必要があります:

  • データベースバックアップ
  • トランザクションログバックアップ

アプリケーションレベルで実行されるフルデータベースバックアップに加えて、トランザクションログのバックアップは、データベースを特定の時点にリストアするか、既にコミットされたトランザクションからログを空にするために重要です。クラッシュ後に、インメモリーデータベースは最後のセーブポイント (変更されたすべてのデータとログファイルは定期的にディスクに保存)から読み込まれます。データベースは、書き出されたログファイルを使用して最新のトランザクションにロールフォワードされます。

CommvaultによるHANAデータベースの保護:

CommvaultでSAP HANAデータベースをバックアップするには、いくつかの要件を満たす必要があります。CommvaultファイルエージェントとHANAエージェントが、HANAデータベースを稼働するEC2インスタンスに展開されている必要があります。Commvaultを使用したHANAデータベースバックアップを設定するための詳細な構成手順を以下に示します。

  • HANAの構成手順

    • バックアップ用のHANAユーザーを作成し、必要なロールを割り当てます。
      • HANA StudioのSQLエディターかhdbsqlでユーザーを作成CREATE USER <user_name_for_backup> PASSWORD <password to be used> NO FORCE_FIRST_PASSWORD_CHANGE
      • HANAロールを作成し、先に作成したユーザーにアタッチCREATE ROLE <BACKUP_ROLE>;
        GRANT BACKUP ADMIN, CATALOG READ, INIFILE ADMIN, DATABASE ADMIN, TRACE ADMIN, SERVICE ADMIN TO <BACKUP_ROLE>;
        GRANT <BACKUP_ROLE> TO <user_name_for_backup>;

        This image shows HANA user and HANA role creation
        この例で使用したBACKUP_USERはユーザー名で、 Backuppwd01はパスワードです。ユーザーがSYSTEMDBとすべてのテナントデータベース用に作成されていることを確認します。ユーザーを作成したら、HANA Studioにログインして同じことを確認できます。

    • バックアップ用のHANAのストアキーを設定します。hdbuserstore set HDBBACKUP imdbmaster:30015 <user_name_for_backup> <password to be used>
      The following image shows hdbuserstore key setup

  • HANA DBインスタンスへのCommvaultファイルエージェントのインストール

    Commvaultサーバーを担当するチームは、HANA DBをホストするサーバー用にカスタムのCommvaultファイルエージェントパッケージを作成する必要があります。このパッケージは、Commvaultファイルエージェントパッケージに含まれているcvpkgaddコマンドを使用して、サーバーのコマンドラインインターフェースからインストールできます。

  • Commvaultの構成

    • CommvaultファイルエージェントがHANA DBをホストするサーバーにインストールされると、Commvault CommServeコンソールのクライアントコンピューターの下にクライアントが表示されます。
    • このクライアントを右クリックし、”All Tasks”、”Add/Remove Software”、”Install Software”の順に選択します。
      The following image shows Commvault CommServe console for Installing Commvault Software
    • 必要がない限り、”Override Software Cache”の選択肢はオフのままにします。
      The following image shows Commvault CommServe console selecting software cache option
    • インストールするパッケージのリストから”Database”を選択し、次に”SAP for HANA”を選択します。
      The following image shows Commvault CommServe console for list of packages to install
    • ここでClient Groupsに追加するか、後で変更します。
      The following image shows Commvault CommServe console to add client groups
    • Unix Groupにsapsysを入力し、”Override Unix Group and Permissions”にチェックします。
      The following image shows Commvault CommServe console to select Unix Advanced Options
    • 内容を確認してインストールを終了します。

  • Commvault SAP HANA Clientを構成

    • CommCellブラウザーで”New Client”を選択し、”SAP HANA Client”を選択してPseudo Clientを作成します。
      The following image shows Commvault CommCell browser for SAP HANA Client configuration
    • Generalタブで次を指定します:
      • Pseudo-client Name: Pseudo Clientの名前
      • SID: データベース名
      • OS Username: フィールドに自動入力されていない場合は、管理者ユーザーを入力
      • Hdbuserstore Key: <SAPチームが用意したキーを入力>
      • Hdbsql location directory: フィールドに自動入力されていない場合は、格納しているディレクトリを入力
        The following image shows Commvault CommCell browser for Pseudo client settings
    • Detailsタブで、HANA DBを持つインスタンスを選択します。
    • Storage Deviceタブで、このHANA DBのバックアップ用のストレージポリシーを指定します。ストレージポリシーは、バックアップストレージの要件に基づいて作成します。
      The following image shows Commvault CommCell browser for storage device settings

  • さらなるHANAインスタンスの追加

    • 別のHANAインスタンスをバックアップする場合、それらをPseudo Clientの下に追加できます。追加のインスタンスがない場合は、この手順はスキップしてください。
      • 作成したHANAクライアントを右クリックし、”All Tasks”、”New SAP HANA Instance”の順に選択
        The following image shows how addtional HANA instances can be added to Pseudo-client

  • スケジュールポリシーの作成

    • CommCellブラウザーで”Schedule Policies”を選択して、スケジュールポリシーを作成します。
      The following image shows Commvault CommCell browser for Schedule Policies
    • Generalタブで、次を指定します:
      • Name: スケジュールポリシーの名前
      • Type: Data Protection
      • Agent Type: SAP HANA
      • 必要な頻度でフルバックアップを実行するタスクを作成 (例: Daily Full)
        The following image shows Commvault CommCell browser for Backup Task Options
    • Associationsタブで、リストを編集し、SAP HANA DBインスタンスを選択します。
      The following image shows Commvault CommCell browser for Schedule policy associations

  • HANAのバックアップ先を更新

    • SAP HANA Studioで、Data BackupとLog BackupのBackint Parameter Fileの箇所にファイルを入力します。
      The following image shows HANA Studio Backint Settings
      The following image shows HANA Studio Backint Settings
    • SAP HANA StudioのLog Backup Settingsの箇所で、Destination TypeにBackintを選択し、Backint Parameter Fileを入力します。
      The following image shows HANA Studio Log backup settings
    • 最後の手順として、EC2インスタンスにアタッチされているセキュリティグループに、Commvault MediaAgent/VSAプロキシーインスタンスが展開されたサブネットからインバウンドのTCPポート8400-8409とICMPを追加する必要があります。これにより、CommCellサーバーはファイルエージェントとHANAエージェントと通信できます。The following image shows AWS Security Group Rules

これで、HANAデータベースバックアップのためのCommvaultの設定が完了しました。

結論

Commvaultのアーキテクチャと、SAP HANAデータベースをバックアップするためのCommvaultの主要なコンポーネントのAWS上での展開方法を紹介しました。パート2では、Commvaultバックアップソリューションを使用して、SAPアプリケーションコンポーネントと共有ファイルシステムを保護する方法を紹介します。コメントや質問がある方は、お気軽にお問い合わせください。フィードバックをお待ちしています。

著者について

Ajay Kandeは、AWSプロフェッショナルサービスのシニアSAPコンサルタントです。彼は、世界中のお客様がAWS上でSAPソリューションを計画および設計するのを支援をしています。SAPインスタンスにAWSプラットフォームを使用しているお客様のイノベーションとデジタル変革のイニシアティブを推進することに情熱を傾けています。仕事以外では、家族や友人と過ごす時間が大好きです。

 

 

 

Mike Virgiliは、AWSプロフェッショナルサービスのシニアセキュリティトランスフォーメーションコンサルタントです。彼は、お客様のセキュリティ、リスク、コンプライアンスに関する心構えを改善できるよう環境全体に焦点を当てています。仕事をしていないときは、バイクに乗ったり、スモークブリスケットを食べたり、ミクソロジーのスキル習得をしたりしています。

 

 

 

翻訳はPartner SA 河原が担当しました。原文はこちらです。