SAP HANA Cloud の高可用性および災害復旧

SAP HANA Cloudは2021年10月以降、データベースを同じアベイラビリティーゾーン内で同期的に複製するオプションと他のアベイラビリティーゾーンに非同期的に複製するオプションを提供します。

設定画面を数回クリックするだけで、高可用性（HA）アーキテクチャや災害復旧（DR）アーキテクチャを構築することができます。

以下のグラフでは、SAP HANA Cloudデータベースは黄色のボックスで表されています。
同期（SYNC)および非同期（ASYNC)レプリケーションアーキテクチャが示されています。

同期の信頼性を担保するために使用される技術は、SAP HANA System Replicationとホスト自動フェイルオーバーの障害検出メカニズムを組み合わせたものです。SAP HANA System ReplicationはSAP HANAプラットフォームの高可用性を確保するために推奨される技術です。 SAP HANAプラットフォームをオンプレミスで実行している世界中のお客様は、計画されたメンテナンス、障害、および災害による停止時間をSAP HANA System Replicationで減らしています。
運用手法およびハードウェア構成によっては最短の目標復旧時点（RPO）が0秒、目標復旧時間（RTO）が数分です。

もちろん、オンプレミスでSAP HANAシステムレプリケーションとホスト自動フェイルオーバーを設定するには、ハードウェアセットアップ、サーバーセットアップ、ネットワークなどの物理インフラストラクチャについての優れた理解が必要です。また、エンタープライズクリティカルなアプリケーション向けのSAP HANAセットアップ全体の堅牢性をテストするのにも数週間かかります。 たとえば、自動フェイルオーバーアーキテクチャを構築する場合、エンジニアはスプリットブレイン問題を検討する必要があります。複数のホストがアクティブであるが相互に通信できない場合、データベースは何をすべきですか？SAP HANA Cloudではサードパーティのトークンチェックを介してこの問題を解決しています。

SAP HANA CloudではHA/DRの設定が自動化され、管理及び監視はSAPが継続的に行います。お客様は数回クリックするだけで、SAPのクラウド運用チームによって蓄積された長年の専門知識を活かすことができます。

SAP HANA Cloud Centralを使用すると、レプリカを数分でいつでも有効化/無効化できます。手順は本ブログの「データベースレプリケーションを使用する手順」章で説明しています。

障害に強いアーキテクチャを構築する

シングルゾーンレプリケーション（高可用性アーキテクチャ）

シングルゾーンレプリケーションを使うとSAP HANA Cloudデータベースのレプリカが作られ、全てのデータがレプリカに同期されます。主データベースに障害が起きた場合は自律的にフェイルオーバーが行われ、レプリカが主データベースになります。
データベースの可用性を上げることが目的です。

SAP HANA Cloudはすべての永続データを同じアベイラビリティーゾーンの冗長サーバー（レプリカ）に複製します。
レプリケーションモード「SYNC」が使用されます：主データベースでのコミットは、レプリカでも永続化されていることを確認してから保持されます。障害が起きても、片方にのみデータが残され、データの整合性が失われることがありません。双方向の通信が発生するため、各トランザクションが完了するまで数十ミリ秒の遅延が発生します。
障害検出は自律的です：nameserverが主データベースで障害を検出すると、ホストは自動的にレプリカにフェイルオーバーします。

SAP HANA Cloud, SAP HANA Databaseのシステム可用性SLAは99.9％の稼働時間です。
該当する月全体に同期レプリカを有効にすると、システム可用性SLAは99.95％の稼働時間になります。

SAP HANA Cloudおよびその他のプラットフォームサービスのサービスレベルアグリーメント（SLA)の詳細はSAP Trust Centerでご確認いただけます。

マルチゾーンレプリケーション（災害復旧アーキテクチャ）

マルチゾーンアーキテクチャでは同じアベイラビリティーゾーンへの同期レプリケーション、そして同じリージョン内の別のアベイラビリティーゾーンへの非同期レプリケーションの両方、もしくはどちらかを構築できます。非同期レプリケーションはアベイラビリティーゾーン全体に障害が発生した場合でも業務の継続性を確保することを目的にしています。

クラウドサービスプロバイダー（AWS, Azure, GCP)はそれぞれ運用施設を世界中の地域に置かれています。地域をリージョン（region）で管理しています。
各リージョン内は二つ以上のアベイラビリティゾーン（AZ）で構成され、各AZは一つまたは複数のデータセンター施設で構成されます。
各AZはそれぞれ完全に独立して稼働・運用することができます。同一リージョンのAZ間は高速で低遅延の多重化された光ファイバーネットワークで相互接続されており、相互に高速にデータを伝送したり機能を補い合ったりすることができます。AZ間は数kmから100km以内になるよう立地を調整しています。

災害復旧は、主システムが（少なくともしばらくの間）稼働できないことを前提として、データとサービスを冗長システムに復元するプロセスを表します。

非同期レプリケーションを使用すると、SAP HANA Cloudはネットワークを介して同じリージョン内の別のアベイラビリティーゾーンにデータを複製します。一つのアベイラビリティーゾーンに障害が発生した場合でも、データベースを切り替えて業務を継続できるようになります。

非同期レプリケーションでは主システムはログを送信した後、応答を待たずに各トランザクションをコミットします。ネットワークを介して長距離でデータを送信するには数百ミリ秒かかりますが、データ送信は主システムのトランザクションと非同期であるため、遅延はありません。
非同期レプリケーションでは、冗長システムでログの書き込みを待つ必要がないため、複製が主システムの性能に影響を与えません。冗長システム上のすべてのサービスにわたるデータベースの整合性が保証されます。ただし、主データベースと冗長データベースは必ずしも同期していないため、テイクオーバー中にデータ変更が失われる可能性があります。

SAP HANA Cloud主データベース内で技術的な問題が発生した場合、同じアベイラビリティーゾーン内のレプリカへのテイクオーバーが自動的に行われます。待ち時間は非常に短く、テイクオーバー時間は秒単位で測定されます。

マルチゾーンレプリケーションでは、すべての永続データを別のアベイラビリティーゾーンにも複製します。SAP HANA Cloudデータベースが配置されているデータセンターで災害が発生した場合、最小限のダウンタイムとデータ損失で、冗長データベースへのテイクオーバーを手動で行うことができます。

レプリカの費用はデータベースのサイズ（CPU、メモリ、ディスク）とその場所によって決まります。SAP HANA Cloudの新規データベース作成画面で費用見積もりが表示されます。
SAP HANA Cloud Capacity Unit Estimatorを使用して費用を計算することもできます。

データベースレプリケーションを使用する手順

新しいSAP HANA Cloudデータベースインスタンスを作成

SAP Business Technology Platformコックピットから、SAP HANA Cloudの新規インスタンスを作成するスペースを選択し、左側のパネルで SAP HANA Cloud を選択します。
この画面から、Create SAP HANA database をクリックして新しいインスタンスを作成できます。

作成するインスタンスの種類を選択します：ここでは、SAP HANAデータベースインスタンスを作成します。

次に、インスタンス名と説明を付けます。
管理ユーザーDBADMINのパスワードも定義します。
右側には、SAP HANA Cloudを24時間無休で1か月運用行する費用の見積もりが表示されます。

インスタンスのメモリとストレージを定義します。作成後も変更可能です。

次に、本ブログの主題であるアベイラビリティーゾーンとレプリカを設定します。

アベイラビリティーゾーンを定義し、データベースインスタンスを配置する場所を指定できます。 データベースインスタンスを、接続するアプリケーションサーバーまたはその他のシステムの近くに配置することによって通信遅延を最小化できます。

アベイラビリティーゾーンの選択を容易にするために、2つの選択リストを提供しています：SAP HANA CloudとMicrosoft Azure。
Microsoft Azureリストを使用すると、サブスクリプションIDに基づいて、Microsoft Azureアカウントで使用されるアベイラビリティーゾーンを導出できます。

以下の例では、SAP HANA Cloudリストを使用してAWS上にインスタンスを作成しています。アベイラビリティーゾーンは自動的に割り当てられます。ここでは、レプリカを設定していません。

1つのレプリカを構築する場合は、同じアベイラビリティーゾーンへの同期レプリケーション、または別のアベイラビリティーゾーンへの非同期レプリケーションのいずれかを選択できます。

2つのレプリカを構築する場合は、必ず1つのレプリカは同期され、もう1つのレプリカは非同期になります。２レプリカ構成がSAP HANA Cloudが提供する最も堅牢なアーキテクチャです。

これまで、アベイラビリティーゾーンは自動的に割り当てられていました。使用するアベイラビリティーゾーンを選択することも可能です。各クラウドプロバイダーのAZをこちらでご確認いただけます：AWS, Azure, GCP

レプリカを設定したら、Script Server、ドキュメントストア、IP許可リスト、クラウドコネクタなどの追加機能を有効化できます。

次に、データレイクを設定できます。これで、HANA Cloudインスタンスの作成は完了です。

同期レプリカの管理

同期レプリカが作成されると、SAP HANAコックピットを介して通常のSAP HANA Cloudデータベースとして監視できます。同じHANAインスタンスを持つ2番目のホストとしてコックピットに表示されます。レプリカ名は、番号が接尾辞として付いた主データベース名になります。

以下のスクリーンショットでは、メインデータベースとレプリカのメモリとCPU使用率を確認できます。

Manage Servicesページで、HANAインスタンスが2つのホストで動作していると表示されます。
レプリカホストは、メインホストと同じ名前を共有し、末尾に「-1」が付いています。
すべてのサービスが稼働しており、問題が発生した場合にレプリカインスタンスが自動的に引き継ぐ準備ができています。

非同期レプリカの管理

非同期レプリカはHANAコックピットには表示されません。別のSAP HANA Cloudインスタンスであるため、ユーザーは通常の状況ではデータベースにアクセスする必要がありません。

M_SERVICE_REPLICATIONおよびM_SYSTEM_REPLICATIONシステムビューで、システムレプリケーションが正しく動作していることを確認できます。

プライマリデータベースで災害が発生した場合、SAP HANA Cloud Centralを介してレプリカへのテイクオーバーを手動で実行できます。

既存データベースの変更

SAP HANA Cloud Centralを使用して、既存のデータベースを変更することができます。既存のデータベースインスタンスに追加のレプリカをデプロイする、または既存のレプリカを削除することが可能です。

バックアップ＆リカバリー

SAP HANA Cloudデータベースは、毎日フルバックアップを実行し、15分ごとにデルタバックアップを実行します。

日次のフルバックアップは、データベースがオンラインの場合にのみ行われます。最大15回分のバックアップが保持されます。
デルタバックアップにより、最新のデータを常に迅速に復元することが可能です。目標復旧時点（RPO）は15分以内です。

バックアップは、インフラストラクチャープロバイダーの機能を使用して暗号化され、同じリージョン内の別のアベイラビリティーゾーンに複製されます。 SAP HANAコックピットで利用可能なデータベースバックアップに関する情報を表示できます。

バックアップを復元する場合は、Start Recoveryメニューオプションを使用して、バックアップが存在する時点を選択し、データベースインスタンスを復元します。「ポイントインタイム」リカバリオプションは、SAP HANA Cloud、データレイクが接続されているインスタンスには適用されません。データレイクインスタンスのリカバリは、サービスリクエストを介してのみ実行できます。 データベースインスタンスは、リカバリ中にオフラインになります。

SAP HANA Cloudのバックアップストレージに追加費用はかかりません。
HANAクラウドデータベースのバックアップを無効にすることはできませんが、データレイクのバックアップを無効にすることは可能です。

インスタンスをバックアップから再作成

バックアップからデータベースインスタンスを再作成する機能も提供しています。別のアベイラビリティーゾーンで再作成することも可能です。

データベースはバックアップから再作成されるため、稼働中である必要はありません。したがって、データベースの再作成も効果的な災害復旧手段です。
インスタンスは正常に再作成されるまでオフラインになります。 インスタンスの再作成に追加費用はかかりません。

Maxime SIMON
SAPジャパン