本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 连接
<a name="connectivity-rise"></a>

您必须在运行 RISE with SAP 解决方案的 AWS 云和本地数据中心之间建立连接。您还需要连接以实现直接数据传输（以避免通过本地位置路由数据），以及在 SAP 系统和 AWS 云上运行的应用程序之间进行通信。下图提供了与 RISE with SAP VPC 的连接示例概览。

![\[由 SAP 管理的账户和本地数据中心之间的 RISE with SAP VPC 连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-connectivity.png)


有关更多详细信息，请参阅以下主题：

**Topics**
+ [建立连接的角色与责任](rise-responsibility.md)
+ [从本地网络连接到 RISE](rise-connection-on-premises.md)
+ [从您的 AWS 账户连接到 RISE](rise-accounts.md)
+ [连接到最近的 Direct Connect POP（包括本地区域）](rise-local-zone.md)
+ [RISE 连接方案决策树](rise-decision-tree.md)
+ [其他考虑因素](other-considerations.md)

# 建立连接的角色与责任
<a name="rise-responsibility"></a>

在使用 RISE with SAP 时，SAP 企业云服务（ECS）团队负责管理 SAP S/4HANA 私有云环境。SAP 提供的《补充条款和条件》**中包含“豁免任务”部分。此类任务由您负责执行。您也可以委托第三方服务提供商为您管理此类豁免任务。有关更多详细信息，请参阅 [SAP Product Policies](https://www.sap.com/about/agreements/policies.html)。

使用 SAP 部署 RISE 所需的主要任务是在开启 SAP VPC 的情况下建立与 RISE 的网络连接 AWS。根据 RISE with SAP 协议，您负责建立与 RISE 的连接。

我们建议您花点时间了解有关如何在开启 SAP VPC 的情况下将您的本地网络 and/or 现有 AWS 账户连接到 RISE 的可用选项 AWS。有关更多信息，请查看后续部分。

# 从本地网络连接到 RISE
<a name="rise-connection-on-premises"></a>

使用 AWS VPN 或 Di AWS rect Connect 或两者的组合支持在开启 SAP 的情况下 AWS 从本地连接到 RISE。

**Topics**
+ [使用 AWS VPN 连接到 RISE](rise-connection-vpc.md)
+ [使用 Di AWS rect Connect 连接 RISE](rise-connection-direct-connect.md)
+ [使用 SD-WAN 连接到 RISE](rise-connection-sd-wan.md)
+ [连接的实施步骤](rise-connection-implementation-steps.md)

# 使用 AWS VPN 连接到 RISE
<a name="rise-connection-vpc"></a>

允许使用 VP [AWS Site-to-Site N](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 通过 SAP VPC 从 RISE 访问您的远程网络。 AWS 云端和您的本地位置之间的流量通过 Internet 协议安全性 (IPsec) 进行加密，并通过互联网上的安全隧道进行传输。与 Di AWS rect Connect 相比，此选项效率高，实施速度更快。有关更多信息，请参阅[使用 AWS 虚拟专用网络将您的 VPC 连接到远程网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。

每条 VPN 隧道的最大带宽可达 1.25 Gbps。有关更多信息，请参阅 [Site-to-Site VPN 配额](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html)。

要超越单个 VPN 隧道吞吐量 1.25 Gbps 的默认最大限制，请参阅[如何使用与传输网关关联的多个 Site-to-Site VPN 隧道实现 ECMP 路由](https://repost.aws/knowledge-center/transit-gateway-ecmp-multiple-tunnels)？ 

采用此方案时，SAP 需要以下详细信息：
+ BGP ASN
+ 您设备的 IP 地址

您可以从本地 AWS VPN 设备获取这些详细信息。

使用 AWS 站点到站点 AWS VPN 将远程网络直接连接到 RISE 时， AWS VPN 连接的费用和数据传输费用包含在 RISE 订阅中。

有关更多信息，请参阅：[AWS 站点到站点 AWS VPN](https://aws.amazon.com/vpn/pricing/) 定价。

注意：由于与 “客户网关设备”（ Site-to-Site AWS VPN 连接端的物理设备或软件应用程序）的生命周期和运行相关的成本各不相同，因此本文档不考虑这一点。

# 使用 Di AWS rect Connect 连接 RISE
<a name="rise-connection-direct-connect"></a>

如果您需要比基于互联网的连接更高的吞吐量或更稳定的网络体验，请使用 Di AWS rect Connect。 AWS Direct Connect 通过标准的以太网光纤电缆将您的内部网络连接到 AWS Direct Connect 位置。您可以创建不同类型的虚拟接口 (VIFs) 来连接各种 AWS 服务。例如，您可以创建一个公有 VIF 来与 Amazon S3 等公共服务或私有资源（如 Amazon Private/Transit VPC）的 VIF 进行通信，同时绕过网络路径中的互联网服务提供商。有关更多信息，请参阅 [AWS Direct Connect 连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithConnections.html)。

您可以选择 1 Gbps、10 Gbps、100 或 400 Gbps 的专用连接，也可以选择 Direc AWS t Connect 合作伙伴的托管连接，其中合作伙伴已与云建立了网络链接。 AWS 托管连接的可用带宽为 50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps 和 25 Gbps。您可以从获准支持此模式的 AWS Direct Connect 交付合作伙伴处订购托管连接。有关更多信息，请参阅 [AWS Direct Connect 交付合作伙伴](https://aws.amazon.com/directconnect/partners/)。

要进行连接，请使用由 SAP 管理的 AWS 账户中的虚拟专用网关，或者在您的账户中使用与 SAP 管理的 AWS 账户中的虚拟专用网关关联的 Direct Connect 网关。 AWS 有关更多信息，请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。Direct Connect 网关也可以连接到 T AWS ransit Gateway。有关更多信息，请参阅[使用您的单一 AWS 账户连接到 RISE](rise-connection-accounts.md)。

要在 SAP 管理*的 AWS 账户中设置 Di AWS rect Connect 专用连接，您必须获得 SAP 的授权书*。

使用 AWS Direct Connect 将远程网络直接连接到 RISE 时，数据传出（出口）的费用包含在 RISE 订阅中。RISE 订阅中不包括与容量（通过网络连接传输数据的最大速率）和端口时间（配置端口供您使用 AWS 或 Di [AWS rect Connect 交付合作伙伴](https://aws.amazon.com/directconnect/partners/)的时间）相关的费用。 AWS Direct Connect不收取安装费，您可以随时取消，但是，您的 [AWS Direct Connect交付合作伙伴](https://aws.amazon.com/directconnect/partners/)或其他本地服务提供商提供的服务可能适用其他条款和条件。

有关更多信息，请参阅：[AWS Direct Connect 定价](https://aws.amazon.com/directconnect/pricing/)。

# 使用 SD-WAN 连接到 RISE
<a name="rise-connection-sd-wan"></a>

 **什么是 SD-WAN** 

 [软件定义广域网 (SD-WAN)](https://en.wikipedia.org/wiki/SD-WAN) 是一种网络技术，它使用软件来管理和路由不同网络上的流量，例如多路径标签交换 (MPLS)、公共互联网或 AWS 主干网络，重点是改善连接和应用程序性能。SD-WAN 主要运行于网络 OSI 模型的第 3 层（网络层），它提供了集中式控制、路由、路径选择、基于 IP 的策略，并且能够设定 SAP 等特定的关键业务应用的优先级，这使其非常适用于基于云的 RISE with SAP 环境。

[尽管 SD-WAN 主要在第 3 层运行，但它使用宽带互联网等重叠网络，但它可以利用第 2 层（数据链路）技术，例如 Direc [AWS t Connect](https://aws.amazon.com/directconnect/) 作为传输的底层网络，以及 VPN 等第 3 层（网络）技术。AWS Site-to-Site ](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)

在 SD-WAN 架构中，SD-WAN 头端设备充当集线器或集中式网络组件，而部署在分支机构、远程站点或数据中心的 [SD-WAN 边缘设备](https://en.wikipedia.org/wiki/SD-WAN#SD-WAN_edge)则作为 WAN 流量的入口和出口点。

有关更多详细信息，请参阅 [Reference Architectures for Implementing SD-WAN Solutions on AWS](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/sd-wan-deployment-models-ra.pdf?did=wp_card&trk=wp_card)。

 **场景 A：本地部署的 SD-WAN 设备（边缘 and/or 前端/集线器）** 

AWS T@@ [ransit Gateway Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) 允许您将 SD-WAN 网络扩展到 AWS 使用 [GRE（通用路由封装）](https://en.wikipedia.org/wiki/Generic_routing_encapsulation)隧道，而无需额外的基础架构。 AWS 通过 Tr [ansit Gateway Connect Peer](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html#tgw-connect-peer)，你可以在 AWS 账户中的传输网关和本地 SD-WAN 设备之间建立 GRE 隧道，后者通过 Direc AWS t Connect 连接作为底层传输进行连接。

必须将该设备配置为使用 [Connect 附件](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw-connect-attachment.html)通过 GRE 隧道在中转网关之间发送和接收流量。必须将该设备配置为使用 [BGP（边界网关协议）](https://aws.amazon.com/what-is/border-gateway-protocol/)进行动态路由更新和运行状况检查。

每个连接均可配置独立的路由表和 BGP 对等，这使您能够通过[虚拟路由和转发（VRF）](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html)将本地网络分段扩展到 AWS。带有 SAP VPC 的 RISE 已连接到 Tr AWS ansit Gateway。

此设置提供了一种简化的方法，可以 AWS 使用 Direct Connect 将软件定义广域网环境与 RISE 与 SAP AWS 连接起来，在简化整体架构的同时保持网络分离。

在这种情况下，[重叠网络](https://en.wikipedia.org/wiki/Overlay_network)是 SD-WAN（使用 GRE 隧道）， headend/hub 或边缘设备部署在本地，底层传输为 Direct Connect AWS 

 **模式 A-1：SD-WAN 设备与 Transit Gateway 集成，Direc AWS t Connect 与你的着 AWS 陆区集成 AWS ** 

![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成（带登录区）\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-a-1-sd-wan-tgw-dx-lz.png)


上图说明了如何在 AWS 不添加额外基础设施的情况下扩展和分段软件定义广域网流量的模式。您可以使用 Di AWS rect Connect 连接作为 AWS 账户中的底层传输来创建 Transit Gateway 连接附件。

来自 RISE with SAP VPC 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。

1. Transit Gateway Connect 附件使用 Direct Connect 连接作为底层传输，并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。

流至 RISE with SAP VPC 的入站流量：

1. 从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道，通过 Direct Connect 链路转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。

 **模式 A-2：SD-WAN 设备与 Transit Gateway 和 Direc AWS t Connect 集成，没有着 AWS 陆区 AWS ** 

![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成（无登录区）\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-a-2-sd-wan-tgw-dx-no-lz.png)


上图说明了如何在 AWS 不添加额外基础设施的情况下扩展和分段软件定义广域网流量的模式。在 RISE with SAP 中，您可以请求 SAP 创建 Transit Gateway Connect 附件，并将 Direct Connect 连接用作底层传输载体。如果需要，客户可以利用由 SAP 管理的 [Direct Connect 网关（DXGW）](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。

来自 RISE with SAP VPC 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。

1. Transit Gateway Connect 附件使用 Direct Connect 连接作为传输载体，并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。

流至 RISE with SAP VPC 的入站流量：

1. 从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道，通过 Direct Connect 链路转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。

 **场景 B：中的 SD-WAN 设备（边缘 and/or 前端/集线器设备） AWS ** 

在此场景中，SD-WAN 网络的虚拟设备部署在 AWS的 VPC 中。然后，您可以使用 VPC 附件作为 SD-WAN 虚拟设备与 AWS 账户中的 Transit Gateway 之间的 Transit Gateway 连接附件的底层传输。与场景 A 类似，Transit Gateway Connect 附件支持 GRE，与 VPN 连接相比，可提供更高的带宽性能。它支持 BGP 以实现动态路由，无需配置静态路由。此外，它与 [Transit Gateway Network Manager](https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html) 集成，可通过全局网络拓扑、附件级性能指标及遥测数据来实现高级可见性。

在本地和之间 AWS，[重叠网络](https://en.wikipedia.org/wiki/Overlay_network)是带有 GRE 的 SD-WAN 或内部 headend/hub 部署的 IPSec 隧道，底层传输可以是 Internet AWS、MLPS 或 Direct Connect。以下是此场景下的架构模式：

注意：以下各部分中介绍的各种网络模式仅适用于 AWS上现有的或新的登录区设置。有关 SD-WAN 设备部署和直接与 AWS 账户连接（由 SAP 管理），请参阅模式 A-2。

 **模式 B-1：SD-WAN 设备与 Transit Gate AWS way Connect AWS 集成到您的着陆区 AWS ** 

![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成（带登录区）\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-b-1-sd-wan-aws-tgw-dx-lz.png)


上图说明了一种模式，即借助[连接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)将 SD-WAN 网络与 Transit Gateway 集成，并将 SD-WAN 网络的（第三方）虚拟设备置于 AWS的设备 VPC 中。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备，以构建全网状拓扑。

来自 RISE with SAP 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。

1. Transit Gateway Connect 连接使用 VPC 附件作为传输载体，并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到设备 VPC 中的第三方设备。

1. 第三方虚拟设备会对流量进行封装处理，这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。

流至 RISE with SAP 的入站流量：

1. 从外部分支机构 AWS 到 RISE VPC 的流量通过互联网通过 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样，从企业数据中心流向 RISE VPC 的流量通过 Direct Connect 链路上的 SD-WAN 重叠网络到达设备 VPC 的虚拟专用网关。

1. 设备 VPC 中的第三方虚拟设备通过连接附件将流量转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE VPC。

 **模式 B-2：与 VPN 集成的 SD-WAN 设备 AWS AWS Site-to-Site ** 

![\[软件定义广域网设备与 VPN 集成 Site-to-Site\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-b-2-sd-wan-s2svpn.png)


上图说明了一种使用 AWS 站点-站点 VPN 连接将您的 SD-WAN 网络与 Transit Gateway 集成，并将软件定义广域网网络的（第三方）虚拟设备置于其中的设备 VPC 中的模式。 AWS当您的第三方虚拟设备不支持 GRE 时，可以使用此方案。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备，以构建全网状拓扑。

来自 RISE with SAP 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway 弹性网络接口（TGW ENI）。

1. 流量使用 Site-to-Site VPN 连接在 Transit Gateway 和第三方虚拟设备之间路由。

1. 第三方虚拟设备会对流量进行封装处理，这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。

流至 RISE with SAP 的入站流量：

1. 从外部分支机构 AWS 到 RISE VPC 的流量通过互联网通过 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样，从公司数据中心到 RISE VPC 的流量通过 Direct C AWS onnect 链路通过 SD-WAN 叠加层到达设备 VPC 的虚拟专用网关。

1. 设备 VPC 中的第三方虚拟设备通过 VP Site-to-Site N 连接将流量转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE VPC 的 TGW ENI。

# 连接的实施步骤
<a name="rise-connection-implementation-steps"></a>

本节更深入地探讨了RISE与SAP和您的本地环境之间的连接的实施步骤（不使用任何客户托管 AWS 帐户）。我们将详细介绍以下两种方案：第一种方案，为关键工作负载创建高弹性部署；第二种方案，为非关键工作负载创建经济高效的替代方案。

对于每种方案，我们将明确说明 SAP 所需的详细信息以及您需要在本地环境中执行的步骤。

## 方案 1：面向关键工作负载的弹性部署
<a name="option-1-resilient-deployment-for-critical-workloads"></a>

![\[面向关键工作负载的弹性部署\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-option-1-resilience-connectivity.png)


 [AWS Direct Connect (DX)](https://aws.amazon.com/directconnect/?nc=sn&loc=0) 有两种连接类型，即[专用](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html)连接和[托管](https://docs.aws.amazon.com/directconnect/latest/UserGuide/hosted_connection.html)。专用 DX 是在客户的私有网络与 AWS之间建立的物理以太网连接，供单个客户专用。托管 DX 是由 [AWS Direct Connect 合作伙伴](https://aws.amazon.com/directconnect/partners/)代表客户预调配的物理以太网连接。参阅 [AWS Direct Connect](https://aws.amazon.com/directconnect/) 自行熟悉该服务。

要为 RISE with SAP 部署设置弹性 Direct Connect 解决方案，请按照以下实施步骤操作：

 **先决条件** 

配置 Direct Connect 连接前，请确保您的本地网络已准备就绪。这包括：
+ 有关路由器配置的详细指导，请查看有关[使用 AWS Direct Connect 的 BGP](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html) 的 AWS 文档。
+ 使用 MD5 身份验证在路由器上配置边界网关协议 (BGP)。BGP 是使用 Direct Connect 的必备条件。
+ 验证您的网络是否能支持多个 BGP 连接以实现冗余。

 **启动设置过程** 

首先联系你的 SAP ECS（企业云服务）代表，申请 RISE with SAP on Di AWS rect Connect 设置的 “AWS 连接问卷”。本调查问卷将帮助收集预调配 Direct Connect 连接所需的必要信息。

我们建议您为计划建立的每个 Direct Connect 连接分别填写调查问卷来设置冗余连接，从而实现高可用性。查看 [Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)以了解最佳实践。

 **填写 SAP 调查问卷** 

填写 AWS 连接调查问卷时，请指定要设置弹性的 Di AWS rect Connect 配置。

在调查问卷中，提供以下有关您的 Direct Connect 连接的详细信息：
+ 该连接是新连接还是专用 Direct Connect 连接
+ 您将使用的 Direct Connect 提供商或合作伙伴
+ 具体的 Direct Connect 区域/位置
+ 所需的 Direct Connect 链路的最小数量
+ 主要 Direct Connect 链路和次要 Direct Connect 链路的子网 CIDR 数据块（采用 /30 CIDR 格式）
+ VLAN ID
+ 本地路由器的自治系统编号（ASN）
+ 本地网络的 IP 地址范围（以便正确配置防火墙）

此外，还应包括有关您的本地路由器的信息，例如品牌、型号和接口详细信息。

将填写完的调查问卷提交给您的 SAP ECS 代表。然后，SAP 将使用这些信息在 AWS上的 RISE with SAP 环境中预调配必要的 Direct Connect 资源。

 **SAP 的责任** 

在您提交填写完的调查问卷后，SAP 将处理以下任务（以下列表为示例性说明，且仅适用于此场景）：
+ 创建虚拟接口（取决于您的 DX 类型：托管还是专用）
+ 创建 Direct Connect 网关
+ 如果您需要 SAP 在 RISE VPC 中预调配 Transit Gateway，请执行以下操作：
  + 设置 Transit Gateway（包括您提供的 ASN）
  + 为 VPC 创建中转网关连接
  + 更新路由表以允许 Transit Gateway 与 RISE with SAP 网络 VPC 进行通信
  + 将 Transit Gateway 与 Direct Connect 网关关联，包括将告知您的网络的 RISE with SAP 网络的 CIDR

 **完成设置过程** 

收到来自 SAP 的必要信息（例如 VLAN ID、BGP 对 IPs等体和可选的 BGP 身份验证密钥）后，请相应地配置本地路由器。这包括为 Direct Connect 连接设置 VLAN 接口和 BGP。有关详细说明，请参阅有关 Di [rect Connect 路由器配置](https://docs.aws.amazon.com/directconnect/latest/UserGuide/router-configuration.html)的 AWS 文档。

配置 active/active 拓扑：实施路由策略以平衡冗余的 Direct Connect 连接上的流量，利用 BGP 社区或更具体的子网通告来影响从本地网络 AWS 到您的本地网络的路径选择。

 **建立和测试连接** 

与 SAP 协调，同时为两个 Direct Connect 连接启用 BGP 会话。验证 BGP 路径，并通过模拟其中一个连接故障来测试失效转移场景，确保流量能正常失效转移至另一个连接。

确认两条路径都与 SAP 的 end-to-end连接。您还可以利用 [AWS Direct Connect Resiliency Toolkit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) [执行计划的失效转移测试](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_failover.html)以验证连接的弹性。

 **维护连接** 

定期检查并根据需要更新 Direct Connect 配置。与 SAP 协同实施所有变更。监控两个连接的性能和可用性，有关最佳实践，请参阅有关[监控 Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-overview.html) 的 AWS 文档。

通过执行这些步骤，您可以建立弹性的 Di AWS rect Connect 解决方案，在开启 SAP 环境的情况下将您的本地基础设施与 RISE 安全地连接 AWS，从而确保高可用性和可靠的网络性能。

## 方案 2：非关键工作负载的经济高效的替代方案
<a name="option-2-cost-effective-alternative-for-non-critical-workloads"></a>

![\[非关键工作负载的经济高效的替代方案\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-option-2-cost-effective-connectivity.png)


一些 AWS 客户更喜欢将一个或多个 Di AWS rect Connect 连接作为其主要连接 AWS，再加上成本较低的备份解决方案。此外，他们可能还需要一种灵活可变的连接，该连接可在全球各地的网络位置之间快速建立或停用。为了实现这些目标，他们可以通过 AWS Site-to-Site VPN 备份实现 AWS Direct Connect 连接。

 Site-to-SiteVPN 连接由三个关键组件组成：

1. 虚拟专用网关 (VGW)-旁边的路由器 AWS 

1. 客户网关（CGW）- 客户端的路由器

1. 在配置中通过两条安全隧道将 VGW 和 CGW 绑定在一起的 S2S VPN 连接 IPSec active/passive 

有关建立 AWS Site-to-Site VPN 连接的深入文档，请参阅 AWS 文档中的 [AWS Site-to-Site VPN 入门](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html)。

 **先决条件** 

此方法建立在前面的选项 1 中概述的设置弹性 AWS 直接连接解决方案的步骤之上。完成这些 Direct Connect 实施步骤后，您可以添加 Site-to-Site VPN 连接作为故障转移选项。

在配置 Direct Connect 连接时，您可以开始为 VPN 设置准备本地基础架构：
+ 查看有关 Site-to-Site VPN 的 AWS 文档，了解要求和最佳实践。
+ 确保您的防火墙允许 VPN 隧道所需的流量。
+ 确认您有两台客户网关设备或一台能够管理多个 VPN 隧道的设备。

添加 Site-to-Site VPN 连接可为您的主要 Direct Connect 链路提供更快、更灵活的备份。虽然此过程与设置 Direct Connect 的过程类似，但存在几项主要差异。

 **启动设置过程** 

首先，再次联系您的 SAP ECS 代表，并申请 “AWS 连接问卷”，以便在 AWS 设置时将 AWS Site-to-Site VPN 连接添加到 RISE。告知 SAP，您打算将 VPN 作为 Direct Connect 链路的失效转移方案实施。

 **填写 SAP 调查问卷** 

这次填写 AWS 连接调查问卷时，请指定除了 Direct Connect 连接之外还要设置 AWS Site-to-Site VPN。

在 AWS 连接调查问卷中，除了为 DX 填写的详细信息外，您还需要提供有关 VPN 连接的以下信息：
+ 客户 VPN 网关详细信息，例如您的客户网关设备的品牌和型号
+ 客户 VPN 网关面向互联网的公有 IP 地址
+ 路由类型（静态/动态）
+ 用于动态路由的 BGP ASN（用于 BGP 的客户网关 ASN。仅支持 16 位 ASN。）
+ BGP 会话 AWS 一侧的 ASN（16 位或 32 位 ASN）
+ 客户端 BGP 对等 IP 地址（如果与提供的 VPN 对等 IP 不同）
+ 第二个公有 IP 地址（可选：仅在使用主动-主动模式时）
+ 客户本地网络 IP 范围

将填好的问卷提交给 SAP。随后，他们将创建 VPN 连接并为您提供配置详细信息。

 **SAP 的责任** 

在您提交填写完的调查问卷后，SAP 将处理以下任务（以下列表为示例性说明，且仅适用于此场景）：
+ 创建客户网关（使用您提供的信息，例如 BGP ASN、IP 地址和可选的私有证书）
+ 创建 AWS Site-to-Site VPN 并使用 SAP Transit Gateway 和你的客户网关将其连接到 RISE
+ 提供 VPN 配置文件供您在本地路由器上设置
+ 如果你需要 SAP 在 RISE VPC 中配置 Transit Gateway，SAP 会将必要的路由添加到 Transit Gateway 路由表并更新安全组

使用从 SAP 处收到的信息，在本地路由器上配置 VPN 隧道。实施路由策略，优先将 Direct Connect 连接而不是 VPN 作为主要路径。

有关必要设置的指导，请参阅有关 Di [rect Connect 路由器配置](https://docs.aws.amazon.com/directconnect/latest/UserGuide/router-configuration.html)的 AWS 文档。

 **测试和验证连接** 

与 SAP 协调以启用 VPN 连接并验证 end-to-end连通性。通过模拟 Direct Connect 故障来测试失效转移场景，确保流量能正常失效转移至 VPN。

与 SAP 确认，Direct Connect 和 VPN 路径的失效转移都按预期运行。

 **维护连接** 

定期检查并更新 Direct Connect 和 VPN 连接的配置。与 SAP 协同实施所有变更。

监控两个连接的性能和可用性，有关[最佳实践，请参阅有关监控 Direct Connect 和 VPN 的 AWS](https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-overview.html)文档。

通过实施这款 Direct Connect with Site-to-Site VPN 故障转移解决方案，您可以在开启 SAP 部署的情况下为 RISE 实现高度弹性的连接设置 AWS，从而确保无缝故障转移和可靠的网络性能。

# 从您的 AWS 账户连接到 RISE
<a name="rise-accounts"></a>

您可以通过以下方式从您的 AWS 账户连接到 RISE。

**Topics**
+ [Amazon VPC 对等连接](rise-connection-peering.md)
+ [AWS Transit Gate](rise-connection-transit.md)
+ [AWS 直连 Connect 网关](rise-connection-direct-connect-gateway.md)
+ [AWS 云广域网](rise-connection-cloud-wan.md)
+ [使用您的单一 AWS 账户连接到 RISE](rise-connection-accounts.md)
+ [使用共享 AWS 着陆区连接到 RISE](rise-landing-zone.md)

# Amazon VPC 对等连接
<a name="rise-connection-peering"></a>

VPC 对等互连 AWS VPCs 使用私 IPv4 有 IPv6 地址实现两者之间的网络连接。实例可以通过同一网络进行通信。有关更多信息，请参阅[什么是 VPC 对等连接？](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 

在设置 VPC 对等连接之前，您需要创建请求以供 SAP 审批。要成功实现 VPC 对等互连，定义的 IPv4 无类域间路由 (CIDR) 块不得重叠。与 SAP 确认可在 RISE with SAP VPC 中使用的 CIDR 范围。

VPC 对等互 one-on-one连是相互之间的连接 VPCs，不是可传递的。流量无法通过中间 VPC 从一个 VPC 传输到另一个 VPC。您必须设置多个对等连接才能在 RISE 与 SAP VPC 和多个 VPCs对等连接之间建立直接通信。

VPC 对等互连跨 AWS 区域运行。所有区域间流量均经过加密，没有单点故障或带宽瓶颈。流量保持 AWS 在全球网络上，永远不会穿越公共互联网，从而减少了常见漏洞利用和 DDo S 攻击的威胁。

![\[跨多个账户、多个区域的 VPC 对等连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-peering.jpg)


同一可用区内的 VPC 对等连接的数据传输是免费的，跨可用区的数据传输按每 GB“传入数据”和“传出数据”收费。跨区域的 VPC 对等连接的数据传输按每 GB“传出数据”收费。有关更多信息，请参阅 [Amazon EC2 定价](https://aws.amazon.com/ec2/pricing/on-demand/)。在您的 AWS 账户中，使用 SAP 管理的 AWS 账户的可用区 ID 以避免跨可用区数据传输费用。您可以向 SAP 索要该可用区 ID。有关更多信息，请参阅[您的 IDs AWS 资源的可用区](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)。


|  | 
| --- |
|   **定价示例 - 跨可用区的 VPC 对等连接**  ![\[跨可用区的 VPC 对等连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-peering-pricing.png) 从 AWS 账户发送的 100GB 数据（由 SAP 通过 VPC Peering 与 AWS 账户对等互连进行管理）由客户管理： AZs 100GB \$1 每 GB 0.01 美元 = 1 美元（出账——计入 AWS 账户 — 由 SAP 管理）和 100GB \$1 每GB 0.01美元 = 1 美元（输入——账单到账户 — 由客户管理） AWS  由于数据传输费用已包含在RISE订阅中，因此由客户管理的 AWS 账户将仅产生流量费用，例如每GB0.01美元。  *[注意：当发件人是 AWS 账户——由客户管理而收款人是账户——由 SAP 管理时，费用示例也适用] AWS *   | 
|   **定价示例 - 跨区域的 VPC 对等连接**   *[注意：不同 AWS 地区的费用各不相同。有关更多信息，请参阅：[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[跨区域 VPC 对等连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-peering-across-regions-pricing.png) 1). 从 AWS 账户发送的 100GB 数据（由 SAP 通过 VPC Peering 与 AWS 账户对等互连管理）由跨区域的客户管理。 100GB \$1（每GB 0.01-0.138美元）= 1-13.8美元（出账——账单到账——由 SAP 管理） AWS  由于数据传输费用已包含在RISE订阅中，因此本示例中由客户管理的 AWS 账户不会产生费用。 2). 从 AWS 账户发送的 100GB 数据（由客户通过 VPC Peering 向 AWS 账户管理）由 SAP 跨区域管理。 100GB \$1（每 GB 0.01-0.138 美元）= 1-13.8 美元（已出账——账单到账户 — 由客户管理） AWS  由于数据传输的成本是针对 “数据输出” 计算的，因此本示例将由客户管理的 AWS 账户承担费用。  | 

# AWS Transit Gate
<a name="rise-connection-transit"></a>

 AWS Transit Gateway 是连接亚马逊 VPCs的网络交通枢纽。它充当云路由器，通过作为中央通信中心来解决复杂的对等连接设置问题。您只需与 SAP 管理的 AWS 账户建立一次此连接。

 **你自己的 AWS 账户中的 Transit Gateway** 

要与 SAP 管理的 AWS 账户建立连接，请在 AWS 账户中通过 AWS 资源访问管理器 (RAM) 创建和共享 Tr AWS ansit Gateway。随后，SAP 会创建一个附件，使流量能够流经路由表中的条目。由于 AWS Transit Gateway 位于您的 AWS 账户中，因此您可以保留对流量路由的控制权。有关更多信息，请参阅[中转网关对等连接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html)。

![\[使用 Transit Gateway 实现跨多个账户、多个区域的连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-1.png)


 **SAP 管理的 AWS 账户中的 Transit Gateway** 

当你已经在另一个 AWS 地区拥有 Transit Gateway，并且无法在该地区创建另一个拥有 RISE with SAP AWS 账户的 Transit Gateway 账户时，SAP 可以为 RISE 中的 Transit Gateway 提供将由 SAP 管理的 SAP 账户。您可以通过 Transit Gateway 对等连接实现 Transit Gateway 和由 SAP 管理的 Transit Gateway 之间的通信。您无法将 RISE 环境之 VPCs 外的 VPC 附件连接到 SAP 管理的 Transit Gateway。

对于对等连接附件，每位 Transit Gateway 拥有者需按小时支付与其他 Transit Gateway 的对等连接附件费用，因此，SAP 账户中由 SAP 管理的 Transit Gateway 的对等连接附件（用于区域间 Transit Gateway 对等连接）的每小时费用已包含在 RISE 订阅中。但是，客户账户中由客户管理的 Transit Gateway 对等连接附件的每小时费用由客户支付。有关更多信息，请参阅：[Transit Gateway 定价](https://aws.amazon.com/transit-gateway/pricing/)。


|  | 
| --- |
|   **定价示例-跨不同地区的 Transit VPCs Gateway**   *[注意：不同 AWS 地区的费用各不相同。有关更多信息，请参阅：[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[跨越不同地区的 Transi VPCs t Gateway\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-different-regions-pricing.png) 1). 从账户中 X 区域的 VPC 发送的 100GB 数据（由 SAP 通过位于 AWS 账户中的 Transit Gateway 进行管理），由 SAP 管理，发送到位于另一个区域 Y 的对等公交网关，该网关位于该账户中，由客户管理，结尾为 AWS 账户中的 VPC，由客户管理，由客户管理： AWS AWS  100GB \$1 每 GB 0.02 美元 = 2 美元（Transit Gateway 数据处理）\$1 100GB \$1（每 GB 0.01-0.138 美元）= 1-13.8 美元（区域外）= 3-15.8 美元（总计-计入账户 — 由 SAP 管理） AWS  数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中，并且数据传输费用包含在 RISE 订阅中，因此客户管理的 AWS 账户不会为此示例产生数据传输费用。由于从对等互连附件发送到 Transit Gateway 的数据不收取数据处理费，而且入站区域间数据传输费用不收取，因此该 AWS 账户无需支付额外的数据传输费用，由客户管理。由客户管理的 AWS 账户仅按每小时每个 Transit Gateway 对等连接的费用进行计费。从可用区传出的数据将始终通过该可用区的 Transit Gateway 端点送达其他 VPC，因此不会产生跨可用区数据传输费用。 2). 从账户中 Y 区域的 VPC 发送的 100GB 数据（由客户通过位于 AWS 账户中的 Transit Gateway 进行管理），由客户管理，发送到位于不同区域 X 的对等公交网关（由 SAP 管理，结尾为账户中的 VPC），由 SAP 管理，由 SAP 管理，结尾为 AWS 账户中的 VPC，由 SAP 管理： AWS AWS  100GB \$1 每 GB 0.02 美元 = 2 美元（Transit Gateway 数据处理）\$1 100GB \$1（每 GB 0.01-0.138 美元）= 1-13.8 美元（区域外）= 3-15.8 美元（总计-账入账户 — 由客户管理） AWS  数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于 AWS 账户中（由客户管理），因此本示例的所有数据传输费用均由客户管理的 AWS 账户计费。此外，由客户管理的 AWS 账户将按每小时 Transit Gateway 对等连接的费用进行计费。  | 

# AWS 直连 Connect 网关
<a name="rise-connection-direct-connect-gateway"></a>

AWS Di@@ [rect Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)是一项全球服务，可让您在本地网络与不同 AWS 地区的多个 Amazon VPCs 之间建立私有连接。此集中式连接中心可让您整合网络架构、降低复杂度，并维持安全且高带宽的连接，同时避免在业务关键型工作负载中使用公共互联网。

 ** AWS 您自己的 AWS 账户中的 Direct Connect 网关** 

要与 SAP 管理的 AWS 账户建立连接，请创建将流量从私有 VIF 路由到 VPC 私有网关的 Di AWS rect Connect 网关。由于 AWS Direct Connect 网关位于您的 AWS 账户中，因此您可以保留对流量路由的控制权。

![\[您自己的账户中的 Direct Connect 网关\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-direct-connect-gateway.png)


当您需要从多个本地站点 and/or 进行连接时，使用多个 AWS 区域进行 RISE 和 SAP（即远程灾难恢复），则可以使用 Direct Connect Gateway 来简化连接

![\[您自己的账户中支持多区域的 Direct Connect 网关\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-direct-connect-gateway-multi-regions.png)


 ** AWS SAP 管理的 AWS 账户中的 Direct Connect 网关** 

如果您不需要拥有和管理 AWS 账户，则可以请求 SAP 提供 Di AWS rect Connect 网关，该网关属于由 SAP 管理的 AWS 账户的一部分。

![\[您自己的账户中支持多区域的 Direct Connect 网关\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-direct-connect-gateway-sap-provided.png)


Di AWS rect Connect 网关本身不收取任何额外费用。你可以从 Di [AWS rect Connect](https://aws.amazon.com/directconnect/faqs/#Direct_Connect_Gateway) 中了解更多信息 FAQs。

# AWS 云广域网
<a name="rise-connection-cloud-wan"></a>

 [AWS Cloud WAN](https://aws.amazon.com/cloud-wan/) 是一项托管广域网 (WAN) 服务，旨在简化构建、管理和监控连接云和本地资源的统一全球网络的流程。它使组织能够使用集中控制面板和策略驱动的自动化，将数据中心、分支机构、远程站点和亚马逊虚拟私有云 (VPCs) 集中连接 AWS 全球主干网。有关更多信息，请参阅 [AWS 云 WAN 文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html)。

 **在您的 AWS 账户中使用 AWS 云广域网从本地连接到 RISE** 

要与 RISE Environment（由 SAP 管理的AWS 账户）建立连接，请通过 AWS 账户中的 AWS 资源访问管理器 (RAM) 创建和共享 AWS Cloud WAN。随后，SAP 将接受共享的 Cloud WAN 并创建 VPC 附件，使流量能够流经路由表中的条目。由于 AWS Cloud WAN 位于您的 AWS 账户中，因此您可以保留对流量路由的控制权。

以下是创建全球云广域网的高级 step-by-step指南：

1. 在 AWS 网络管理器中，创建全局网络和相关的核心网络。

1. 创建核心网络策略 (CNP)，用于定义分段、自治系统编号 (ASN) 范围、 AWS 区域和用于附加到分段的标签。

1. 应用该网络策略。

1. 通过资源访问管理器与管理 RISE with SAP 账户的 SAP ECS 共享核心网络。

1. 创建附件并为其添加标签。

1. 更新连接中的路由 VPCs ，使其包含核心网络。

有关更多详细信息，请参与以下文档：
+  [快速入门：创建 AWS 云广域网全球网络和核心网络](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-getting-started.html) 
+  [在 C AWS loud WAN 策略版本中配置核心网络设置](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-core-network-config.html) 
+  [构建可扩展且安全的多 VPC AWS 网络基础设施 — Cloud WAN](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/aws-cloud-wan.html) 

![\[云 WAN\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-cloudwan-01.jpg)


1.  **将 AWS Site-to-Site VPN (S2S VPN) 连接到 AWS 云广域网**-创建 Site-to-Site VPN 连接，目标网关类型设置为 “未关联”。您可以通过亚马逊 VPC 控制台在 VPN 连接下为 AWS 云广域网创建 AWS S2S Site-to-Site VPN 附件。创建 AWS S2S VPN 后，您可以[将其连接到 AWS Cloud WAN 核心网络](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-vpn-attachment-add.html)。有关更多信息，请参阅[如何为 AWS 云广域网创建 Site-to-Site VPN 连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/create-cwan-vpn-attachment.html)。

1.  **使用 AWS Cloud WAN 连接 AWS Direct Connect 网**关 — 创建带有传输虚拟接口的 Direct Connect 网关，并将云广域网连接到您 AWS 账户中存在的 Direct Connect 网关。有关更多信息，请参阅[将AWS 云 WAN 连接到 Direct Connect 网关](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-hybrid-connectivity-with-aws-cloud-wan-and-aws-direct-connect-integration/)。有关为 Direct Connect Gateway 创建中转虚拟接口的详细步骤，您可以参考 AWS 文档-[创建到 Di AWS rect Connect 网关的传输虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-transit-vif-dx.html)。

您可以从[定价文档](https://aws.amazon.com/cloud-wan/pricing/)中估算部署 AWS Cloud WAN 的成本。以下是供您参考的定价示例。

 **场景 A. AWS Cloud WAN 连接同一个区域 VPCs 中的两个** 

![\[云广域网连接同一个区域 VPCs 中的两个\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-cloudwan-02.jpg)



|  | 
| --- |
|   **定价示例 — AWS Cloud WAN 连接相同区域 VPCs 的两个区域**   *[注意：不同 AWS 地区的费用各不相同。有关更多信息，请参阅：[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 账户中从 X 区域的 VPC 发送的 100GB 数据（由 SAP 通过位于 AWS 账户中的云广域网管理）由客户管理的 VPC 终止的客户管理。 AWS  100GB \$1 每 GB 0.02 美元 = 2 美元（云广域网数据处理）（按 AWS 账户计费 — 由 SAP 管理） 除了数据处理外，还会有 AWS 账户上的 VPC 连接成本 — 由 SAP 管理。[云 WAN 定价](https://aws.amazon.com/cloud-wan/pricing/)会因将 SAP VPC 连接到云 WAN 的区域而异。 例如，如果 SAP VPC 在美国东部（弗吉尼亚州北部）区域，美国东部（弗吉尼亚州北部）区域的 VPC 附件费用为每小时 0.065 美元。 0.065 美元 \$1 730 = 47.45 美元（每月固定费用计入账户，由 SAP 管理） AWS  因此，总费用 = 49.45 美元 数据处理和 VPC 连接费用由向 AWS 云广域网发送流量的 VPC 所有者收取。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中，并且数据传输费用包含在 RISE 订阅中，因此客户管理的 AWS 账户不会为此示例产生数据传输和连接费用。 由客户管理的 AWS 账户仅按每小时 VPC 连接的 Cloud WAN 费用计费。从可用区传出的数据将始终通过该可用区的云 WAN 端点送达其他 VPC，因此不会产生跨可用区数据传输费用。  | 

 **场景 B. AWS Cloud WAN 连接不同区域 VPCs 的两个** 

![\[云广域网连接不同区域 VPCs 的两个\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-cloudwan-03.jpg)



|  | 
| --- |
|   **定价示例 — AWS Cloud WAN 连接不同区域 VPCs 的两个**   *[注意：不同 AWS 地区的费用各不相同。有关更多信息，请参阅：[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 从 Y 区域的 VPC 向 AWS 账户发送的 100GB 数据（由客户通过 AWS 云广域网管理到 AWS 账户）由不同区域 X 的 SAP 管理。 100GB \$1 每 GB 0.02 美元 = 2 美元（云广域网数据处理）\$1 100GB \$1（每 GB 0.01 美元至 0.138 美元）= 1 美元至 13.8 美元（区域外）= 3 至 15.8 美元（总计-计入账户 — 由客户管理） AWS  数据处理费用由将流量发送到云 WAN 的 VPC 拥有者支付。由于发送方的 VPC 位于 AWS 账户中（由客户管理），因此本示例的所有数据传输费用均由客户管理的 AWS 账户计费。此外，由客户管理的 AWS 账户将按区域 Y 中每小时 VPC 连接的价格计费。X 区域的 VPC 连接费用将由 AWS 账户收取，由 SAP 管理，费用包含在 RISE 订阅中。  | 

# 使用您的单一 AWS 账户连接到 RISE
<a name="rise-connection-accounts"></a>

您可以使用您的 AWS 账户在本地和 RISE 之间通过 SAP VPC 建立连接。此方法为您提供更多控制权，但也需要在您的 AWS 账户中管理 AWS 服务。您可采用以下任一方案。
+  AWS Transit Gateway — 与 AWS SAP 管理的账户共享您 AWS 账户中的 T AWS ransit Gateway 资源。
+  AWS 使用 T AWS ransit Gateway 的 IPsec VPN — 通过互联网在远程网络和传输网关之间创建 VPN 连接。有关更多信息，请参阅 [AWS Site-to-Site VPN 的工作原理](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html)和[传输网关 VPN 附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)。
+ Direct Connect 网关 - 创建带中转虚拟接口的 Direct Connect 网关。有关更多信息，请参阅 [Direct Connect 网关的中转网关连接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html)。

  要增强安全性，请参阅[如何通过 Di AWS rect Connect 连接建立 AWS VPN？](https://repost.aws/knowledge-center/create-vpn-direct-connect) 

下图显示了相同 AWS 区域内的此选项。

![\[单个区域中的连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-own.jpg)


下图显示了不同 AWS 地区的此选项。

![\[跨区域连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-own-regions.jpg)


当您选择 AWS Site-to-Site VPN 和/或 AWS Direct Connect 使用账户中的 Transit Gateway 在本地和带有 SAP VPC 的 RISE 之间建立连接时，使用 AWS 账户中的 Transit Gateway（由客户管理），与使用 SAP VPC 的 RISE 位于同一 AWS AWS 区域或不同的区域，则适用以下条件。

 **每小时费用：**

由于 AWS Site-to-Site VPN 驻留在 AWS 账户中（由客户管理），并与 AWS 账户中的 Transit Gateway 挂钩（由客户管理），因此 VPN 连接费用和 Transit Gateway 连接费用将 AWS 记入账户，由客户管理

由于 Direct Connect 和 Direct Connect Gateway 驻留在 AWS 账户中（由客户管理），由客户管理，因此 AWS 直接连接端口的工时费用和公交网关连接的费用将记入 AWS 账户，由客户管理。 AWS 

对于对等连接附件，每位 Transit Gateway 所有者均需按小时支付与另一 Transit Gateway 的对等连接附件费用。

 **数据处理费：**

从 VPC、Direct Connect 或 VPN to/via （Transit Gateway）发送的每千兆字节收取数据处理费。

根据来源和目的地，数据处理费用各不相同，将计入由客户管理的 AWS 账户，或者已经包含在RISE订阅中（有关成本估算示例：见下文）

有关更多信息，请参阅：
+  [AWS Site-to-Site VPN 定价](https://aws.amazon.com/vpn/pricing/) 
+  [AWS 直接连接定价](https://aws.amazon.com/directconnect/pricing/) 
+  [Transit Gateway 定价](https://aws.amazon.com/transit-gateway/pricing/) 


|  | 
| --- |
|   **定价示例 — 通过 VPN 或 Direct Connect VPCs 在同一地区的 Transit Gateway**   *[注意：不同 AWS 地区的费用各不相同。有关更多信息，请参阅：[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[通过 VPN 或 Direct Connect 进入同一区域的 Transit Gateway VPCs\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-same-regions-via-vpndxc-pricing.png) 1). 从账户中的 VPC 发送的 200GB 数据（由 SAP 通过位于 AWS 账户中的 Transit Gateway 进行管理），由客户通过 VPN 或 AWS 账户中的 Direct Connect 管理，由 SAP 管理到本 AWS 地： 200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）\$1 100 GB \$1 每 GB 0.09 美元 = 9 美元（VPN 数据传出，前 100 GB 免费，然后每 GB 0.09 美元）= 13 美元（向账户计费的数据传输总额 — 由 SAP 管理） AWS  或者 200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）\$1 200GB \$1（每 GB 0.02-0.19 美元）= 4-38 美元（Direct Connect 数据传出）= 8-42 美元（向账户计费的数据传输总额 — 由 SAP 管理） AWS  数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中，并且数据传输费用包含在 RISE 订阅中，因此在本示例中，由客户管理的 AWS 账户不会产生数据传输费用。 2). 通过账户中的 VPN 或 Direct Connect 从本地发送的 200GB 数据 — 由客户通过位于 AWS 账户中的 Transit Gateway 进行管理 — 由客户管理到 AWS 账户中的 VPC — 由 SAP 管理： AWS  200GB \$1 每GB 0.00美元 = 0 美元（VPN 数据传入）\$1 200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）\$1 0 美元（VPN 数据传入）= 4 美元（向账户计费的数据传输总额 — 由客户管理） AWS  或者 200GB \$1 每 GB 0.000 美元 = 0 美元（Direct Connect 数据传入）\$1 200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）= 4 美元（计入账户的数据传输总额 — 由客户管理） AWS  数据传输 AWS 是免费的，这也适用于VPN和Direct Connect，因此唯一的数据处理费用是Transit Gateway的数据处理。由于 Transit Gateway 驻留在 AWS 账户中（由客户管理），因此数据传输费用由 AWS 账户收取，由客户管理  | 
|   **定价示例 — 通过 VPN 或 Direct Connect VPCs 在不同地区的 Transit Gateway**   *[注意：不同 AWS 地区的费用各不相同。有关更多信息，请参阅：[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[通过 VPN 或 Direct Connect 进入不同区域的 Transit Gateway VPCs\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-different-regions-via-vpndxc-pricing.png) 1). 从账户中的 VPC 发送的 200GB 数据 — 由 SAP 通过 AWS 账户内的 Transit Gateway 进行管理 — 由 SAP 管理，与 AWS 账户中不同区域的 Transit Gateway 对等 — 由客户通过 VPN 或 AWS 账户中的 Direct Connect 进行管理 — 由客户管理到本 AWS 地： 200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）\$1 200GB \$1（每 GB 0.01-0.138 美元）= 2-27.6 美元（区域外）\$1 100GB \$1 每 GB 0.09 美元 = 9 美元（VPN 数据传输出去，前 100 GB 是免费的，然后是每 GB 0.09 美元）= 15-40.6 美元（向账户计费的数据总额 — 由 SAP 管理） AWS  或者 200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）\$1 200GB \$1（每 GB 0.01-0.138 美元）= 2-27.6 美元（区域外）\$1 200GB \$1（每 GB 0.02-0.19 美元）= 4-38 美元（Direct Connect 数据传出）= 10-69.6 美元（计入账户的数据传输总额 — 由 SAP 管理） AWS  数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中，并且数据传输费用包含在 RISE 订阅中，因此在本示例中，由客户管理的 AWS 账户不会产生数据传输费用。 2). 通过账户中的 VPN 或 Direct Connect 从本地发送的 200GB 数据 — 由客户通过 AWS 账户内的 Transit Gateway 进行管理 — 由客户通过 AWS 账户中不同区域的对等 Transit Gateway 进行管理 — 由 SAP 向 AWS 账户中的 VPC 管理 — 由 SAP 管理： AWS  200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）\$1 200GB \$1 每 GB 0.000 美元 = 0 美元（VPN 数据传入）\$1 200GB \$1（每 GB 0.01-0.138 美元）= 2-27.6 美元（向账户计费的数据传输总额 — 由客户管理） AWS  或者 200GB \$1 每 GB 0.02 美元 = 4 美元（Transit Gateway 数据处理）\$1 200GB \$1 每 GB 0.000 美元 = 0 美元（Direct Connect 数据传入）\$1 200GB \$1（每GB 0.01-0.138 美元）= 2-27.6 美元（向账户计费的数据传输总额 — 由客户管理） AWS  数据传输到输入 AWS 是免费的，这也适用于VPN和Direct Connect，因此数据处理费用是Transit Gateway的数据处理费用和区域间数据传输费用。由于 Transit Gateway 位于由客户管理的 AWS 账户中，因此数据传输费用由客户管理的 AWS 账户计费。  | 

# 使用共享 AWS 着陆区连接到 RISE
<a name="rise-landing-zone"></a>

现代 SAP 环境具有多项连接需求。可以通过本地和 AWS 云端以及各种 SaaS 解决方案和其他云服务提供商访问服务。

创建 [AWS 登录区](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html)可为 RISE with SAP 连接建立安全、可扩展且架构完善的基础。它具有以下优势：
+ 通过标准化架构简化了 SAP 网络集成
+ 通过冗余连接方案增强了业务连续性
+ 通过分层网络控制加强了安全态势
+ 集中化管理网络资源与策略
+ 能够在更广泛的 AWS 解决方案中重复使用 [AWS Direct Connect](https://aws.amazon.com/directconnect/) 连接
+ 优化了网络性能，并减少了延迟
+ 通过 AWS 原生服务增强治理

着陆区旨在通过自动设置遵循W [AWS ell Architected](https://aws.amazon.com/architecture/well-architected/) 框架的 AWS 环境来帮助组织实现其云计划。它提供了可扩展性，可以满足所有场景，从最简单的连接（只需要通过SAP连接到本地环境的RISE）到连接多个SaaS解决方案 CSPs 、多个本地连接的复杂需求。

登录区的关键组件及优势包括：
+  **多账户结构** – 通过 [AWS Organizations](https://aws.amazon.com/organizations/) 构建组织良好的层次结构，单独配置用于生产、开发和共享服务的账户，确保明确分离关注点并强化安全边界。
+  **网络架构** ——它建立了一个集中式的 T [AWS ransit Gateway](https://aws.amazon.com/transit-gateway/) 作为网络中心，采用标准化 VPC 配置，将 RISE 和 SAP 账户与其他 AWS 账户连接起来。它还支持与 AWS Direct Connect 和 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/) 集成，在保持网络分段和安全控制的同时，将您的本地与 RISE 连接起来，同时保持网络分段和安全控制。
+  S@@ **ecurity Fram** ework-它通过集中式日志记录和监控实现全面 AWS 的安全服务集成，包括网络防火墙的实施以及身份和访问管理控制。
+  **自动化与管理** - 通过 [AWS Control Tower](https://aws.amazon.com/controltower/) 或 [AWS CDK](https://aws.amazon.com/cdk/) 与[登录区加速器（LZA）](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/)实施基础设施即代码部署，以便在整个环境中实施自动化账户预调配、标准化配置以及一致的策略执行。
+  **日志和监控**-它[AWS 配置包括 Config](https://aws.amazon.com/config/)、[AWS CloudTrail](https://aws.amazon.com/cloudtrail/)、[Amazon](https://aws.amazon.com/guardduty/) 在内的 AWS 服务， GuardDuty用于集中记录、监控和审核资源变更和安全事件。
+  **安全控制**-它通过配置规则、 CloudTrail 跟踪和 Sec AWS urity Hub 标准实施安全最佳实践，同时启用网络防火墙功能。
+  **自定义选项**-它允许根据特定的组织要求进行自定义，包括与现有基础架构的集成以及通过着陆区加速器配置添加 AWS 服务。

我们建议使用带有 SAP 连接的 RISE AWS 着陆区。

 **选择您的实施方式** 

 AWS 提供了两种解决方案，用于通过SAP连接实现RISE的着陆区，每种解决方案都旨在满足不同的组织需求。

AWS Cont@@ [rol Tower 通过其基于控制](https://aws.amazon.com/controltower/)台的界面提供了简化的解决方案，通过标准化控件实现了快速部署。此方式适用于寻求快速实施且需要内置治理与合规控制能力的企业，尤其适合刚开始云之旅或需要简单 SAP 连接的企业。

 [着陆区加速器 (LZA)](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/) 通过基础设施即代码扩展了 AWS 控制塔的功能，提供了广泛的自定义和自动化。该解决方案适用于具有复杂的 SAP 联网需求、实施多区域部署或制定了大规模扩展计划的企业。拥有既定 DevOps 实践的组织将受益于 LZA 的配置驱动方法。

这两种解决方案可为 RISE with SAP 连接建立安全且可扩展的基础。选择 Control Tower 可进行快速部署和可视化管理，选择 LZA 可增强自定义与自动化能力。

![\[使用共享登录区连接到 RISE\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-rise-landing-zone.png)


 **建造着 AWS 陆区** 

您可以使用 Cont AWS rol Tower 和 Landing Zone Accelerator 实现 AWS 着陆区，后者为构建安全、可扩展的多账户环境（包括管理和治理服务）提供了自动流程。

有关详细的实施步骤或 LZA， AWS 提供了在 [SAP 开启的情况下为 RISE 构建企业就绪型网络基础的指南](https://aws.amazon.com/solutions/guidance/building-an-enterprise-ready-network-foundation-for-rise-with-sap-on-aws/)。 AWS该指南包含经过验证的架构模式、安全配置以及专为 RISE with SAP 部署设计的操作程序。在一个简单的场景中，着陆区的占地面积最小，侧重于网络连接，而网络连接通常以Tr AWS ansit Gateway为中心。有关更多信息，请参阅 [AWS 登录区](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-migration/aws-landing-zone.html)。

下面是该流程的总体概述：

1.  **明确需求** – 了解企业的安全、合规及运维要求。这将帮助确定登录区应包含的适当护栏、控制措施和服务。查看 SAP 企业云服务 (ECS) 团队提供的 AWS 连接问卷。

1.  **设计架构** — 规划整体架构，包括账户数量（管理、共享服务、工作负载账户）、网络设计（VPCs、子网、路由）、共享服务（记录、监控、身份管理）和安全控制（IAM、服务控制策略、护栏）。对于 LZA 实施，需规划[配置文件结构](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html)和自定义需求。

1.  **设置 C AWS on** trol Tower — Control Tower 可根据最佳实践帮助设置和管理多账户 AWS 环境。它允许您创建和配置新 AWS 帐户，并在这些账户中部署基本安全配置。对于 LZA 实施，这将作为额外自定义设置的基础。

1.  **部署着陆区加速器（可选）**-如果实施 LZA，请使用 AWS CDK 或部署安装程序堆栈。[AWS CloudFormation](https://aws.amazon.com/cloudformation/)针对联网、安全和 RISE with SAP 连接要求，实施标准化配置文件。

1.  **“配置 AWS 组织**-组织” 使您能够集中管理和管理您的 AWS 帐户。通过创建必要的组织单位 (OUs) 和服务控制策略 (SCPs) 在 Control Tower 中配置组织。对于 LZA 实现，请确保与[配置文件结构 OUs ](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html)保持一致。

1.  **部署核心账户与共享服务账户** - 创建并配置核心账户，例如管理账户、共享服务账户（用于日志记录、安全工具部署）以及任何其他所需的共享账户。在共享服务账户中部署共享服务 CloudTrail，例如 Config 和 Sec [AWS urity Hub](https://aws.amazon.com/security-hub/)。

1.  **部署网络架构**-设置网络架构，包括子网、路由表和 VPCs中心辐射模型的 Transit Gateway。对于 LZA 实施，请通过[网络配置文件配置](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html) Direct Connect and/or Site-to-Site VPN。如果需要，可加入 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) 设置。

1.  **配置 IAM** - 构建 IAM 角色、策略和组，以便控制跨登录区账户的访问和权限。

1.  **实施安全控制**-部署安全服务和护栏，例如 Security Hub、Network Fi [re AWS wall](https://aws.amazon.com/network-firewall/) 和 Confi [AWS g](https://aws.amazon.com/config/) 规则。[AWS GuardDuty](https://aws.amazon.com/guardduty/)

1.  **配置可观察性和监控**-设置集中式日志和监控解决方案，例如 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 和 AWS Config。[AWS CloudTrail](https://aws.amazon.com/cloudtrail/)

1.  使用 “ AWS 连接问卷” **与 SAP 共享 Transit Gateway 详细信息**。接受传入的中转网关关联请求，并配置 RISE with SAP VPC 与登录区之间的路由。测试连接和失效转移方案。

1.  **部署工作负载账户** - 使用登录区部署工作负载账户。为不同的工作负载类型创建单独的 AWS 账户，例如将开发、测试和生产环境分开，或者使用 Amazon Bedrock 的生成式 AI 工作负载，或者使用 Amaz SageMaker on 的数据分析工作负载。

1.  **实施操作程序** - 建立监控、提醒和备份程序。编写操作程序文档并实施变更管理流程。考虑到多账户环境的复杂性，以及需要在整个企业内维持一致的安全与操作标准，建议构建自动化测试与验证体系。

1.  **自动化和维护**-使用 CloudFormation 模板或 AWS CDK 自动部署和维护。对于 LZA 实施，需要维护配置文件并定期更新 LZA 版本。建立持续维护、更新和合规性检查流程。这包括保留 LZA 版本 up-to-date的最新版本，并定期检查以确保符合安全性和合规性标准。

1.  **管理成本** - 监控网络传输成本，优化连接路径并采用成本分配标签。定期检查资源利用率，并配置预算和提醒。

最佳实践：
+ 至少在计划上线前 6-8 周开始实施
+ 实施冗余连接方案以实现高可用性
+ 使用登录区加速器进行标准化部署
+ 遵循 [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) 指南
+ 定期审查并更新安全控制措施
+ 维护文档和操作程序
+ LZA 实施可通过[配置文件](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html)自动执行大部分设置工作。

与客户管理的 AWS 着陆区相关的费用因所使用的 AWS 服务而异。本段所述的 AWS 服务有自己的定价模式。有关价格的更多信息，请参阅所列 AWS 服务的专用定价页面。请参阅 [AWS 定价计算器](https://calculator.aws/#/)以配置符合您业务需求的成本估算。

定期审查并更新登录区配置，确保其持续满足不断变化的业务需求和安全要求。

# 连接到最近的 Direct Connect POP（包括本地区域）
<a name="rise-local-zone"></a>

 AWS Direct Connect point-of-presence (POP) 是一种物理交叉连接，允许用户建立从自己的场所到 AWS 区域或 AWS 本地区域的网络连接。您可以使用最近的 Direct Connect POP（例如，在 AWS 本地区域中），从更低的设置和运行成本中受益，网络延迟与在父 AWS 区域上运行的 SAP VPC 的 RISE 相同或更低。有关更多信息，请参阅 [AWS Direct Connect 流量与 AWS 本地区域](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/direct-connect-traffic-flow-local-zone-ra.pdf)。

以下是一个示例场景-您居住在菲律宾，并且您想在 AWS 新加坡地区部署带有 SAP 的 RISE。您可以使用马尼拉的 Direct Connect POP，从您的本地数据中心或办事处设置 Direct Connect。与直接连接到新加坡 AWS 地区相比，该策略提供了更低的网络延迟。

下图显示了通过最近的 Di AWS rect Connect POP 进行的 RISE 连接。

![\[通过最近的 Direct Connect POP（包括本地区域）连接到 RISE\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-rise-direct-connect.png)


以下是使用 Di AWS rect Connect POP 时的一些注意事项：
+  VPCs 对基于区域（使用 SAP VPC 的 RISE）和基于本地区域的非 SAP 工作负载单独使用
+ 在直接连接 POP 和专用 VIF 连接中使用 AWS Direct Connect 网关
+ 在 Direct Connect POP 中使用 Direct Connect Gateway，在区域 VPCs （使用 SAP VPC 的 RISE）中使用 Transit VIF 连接。之所以这样做，是因为 AWS 直接连接 POP 中不存在直接 AWS 连接网关，而且 Tr AWS ansit Gateway 仅存在于区域中 AWS 。

如果弹性至关重要，请使用 SAP VPC 设置与运行 RISE 的 AWS 区域的辅助直接连接，或者使用 AWS Site-to-Site VPN 到 AWS 区域连接选项。这些服务在父 AWS 区域内运行，可作为故障转移连接选项，确保在出现中断或故障时不间断连接。

![\[跨区域连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-rise-direct-connect-2.png)


在本地 AWS 区域和同一区域内的可用区之间传输数据（“进入” 和 “传出” 本地区域中的 Amazon EC2）的成本各不相同。有关更多信息，请参阅：[EC2-按需定价-同一 AWS 区域内的数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer_within_the_same_AWS_Region) 

# RISE 连接方案决策树
<a name="rise-decision-tree"></a>

您必须建立所需的连接才能在 SAP 开启的情况下继续 RISE AWS。以下是前面几个部分中所述的几种连接模式：
+ 直接连接到 RISE VPC，支持 Site-to-Site VPN
+ 直接连接至 RISE VPC，由 Direct Connect 提供支持
+ 通过 VPC 对等互连通过您的 AWS 账户进行连接
+ 通过 Transit Gateway 建立连接，支持多账户部署
+ 通过由 SAP 管理的 Transit Gateway 建立连接，支持多账户部署

您还必须考虑连接方式：
+ 直接部署到要部署 RISE with SAP VPC 的 AWS 区域
+ 或通过 AWS 本地区域（最近的 Di AWS rect Connect POP），以更低的设置和运行成本受益，使用 SAP VPC 连接到您的 RISE 的网络延迟相同或更低

下图中显示的决策树可帮助您根据自己的需求（例如未来计划中的额外账户 AWS 或 RISE 帐户、专线（安全、性能）和带宽需求，来决定哪种连接是合适的。

![\[跨区域连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-decision-tree.png)


注意：

1. ECMP 需要 Transit Gateway 以使用 S2S VPN。

1. 建议使用 Direct Connect 网关连接到多个 AWS 区域。这简化了连接设置，避免了区域之间的 TGW 对等互连。 AWS 

# 其他考虑因素
<a name="other-considerations"></a>

此部分介绍了连接到 RISE 时的其他注意事项。

**Topics**
+ [开启 RISE 的 SAP BTP AWS](rise-btp.md)
+ [从 RISE 连接到 SaaS](rise-saas.md)
+ [多云环境的连接模式](rise-multi-cloud.md)
+ [实施 RISE 连接费用分摊功能](rise-chargeback.md)
+ [在 RISE 中连接到重叠 IP 开启 AWS](rise-oip.md)
+ [将 DNS 集成到 RISE 和 Route 53](rise-dns.md)

# 开启 RISE 的 SAP BTP AWS
<a name="rise-btp"></a>

你可以使用 SAP Business Technology Platf AWS orm BTP 服务，通过 SAP 扩展 RISE 的功能。SAP 建议通过 SAP Cloud 连接器，借助互联网将 RISE with SAP VPC 与 SAP BTP 相连。当 RISE with SAP 和 SAP BTP 同时运行 AWS （在同一 AWS 区域或不同 AWS 区域）时，网络流量将被加密并包含 AWS 在全球网络中，而无需通过互联网（见下图）。这为 RISE with SAP 与 SAP BTP 之间的所有集成使用案例提供了更出色的安全性和性能。有关更多信息，请参阅 [Amazon VPC FAQs -当两个实例使用公有 IP 地址通信或实例与公共 AWS 服务终端节点通信时，流量是否会通过 Internet 传输？](https://aws.amazon.com/vpc/faqs/) 。

![\[跨区域连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-btp-internet.png)


如上图所示，您可以将 Transit Gateway 配置为同时处理 RISE 和 BTP 网络流量。有关更多信息，请参阅[如何通过 Amazon VPC 路由来自本地环境的互联网流量？](https://guide.aws.dev/articles/ARUIFmbCauTQeyJogByCa5xg/how-to-route-internet-traffic-from-on-premise-via-aws-vpc) 

SAP 还提供适用于 SAP BTP 的 SAP 专用链接服务。 AWS SAP Private Link 通过安全连接连接 SAP BTP，无需 IPs 在你的 AWS 账户中使用公共连接。 AWS 

![\[使用连接多个账户 PrivateLink\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-btp-services.jpg)


您可以从 Cloud Foundry 上运行的 SAP BTP 应用程序连接到 AWS 终端节点服务。通过建立此连接，您可以直接连接到 AWS 服务，或者例如，连接到 S/4HANA 系统。有关支持 AWS 服务的完整列表，请参阅在 SA [P BTP 中使用亚马逊 Web 服务](https://help.sap.com/docs/private-link/private-link1/consume-amazon-web-services-in-sap-btp-beta)。

您可以使用 SAP 私有[链接服务在 SAP BTP 和 AWS 服务之间建立安全和私密](https://help.sap.com/docs/private-link/private-link1/what-is-sap-private-link-service)的通信。通过使用私有 IP 地址范围（RFC 1918），您可以减小应用程序的攻击面。该连接无需互联网网关。如果你不需要这种额外的安全层，你仍然可以在没有 SAP Private Link 的情况下通过 SAP BTP APIs 的公共网络进行连接，并从 AWS 全球网络中受益。有关更多信息，请参阅 [Amazon VPC FAQs](https://aws.amazon.com/vpc/faqs/)。

SAP Private Link AWS 目前支持从 SAP BTP Cloud Foundry 发起的 AWS连接

对于跨 AWS 区域的 AWS 服务，你可以在与 SAP BTP Cloud Foundry 运行时相同的 AWS 区域中创建 VPC，然后 VPCs 通过 VPC 对等互连或 Tr AWS ansit Gateway 进行连接。有关受支持的区域列表，请参阅 [Regions and API Endpoints Available for the Cloud Foundry Environment](https://help.sap.com/docs/btp/sap-business-technology-platform/regions-and-api-endpoints-available-for-cloud-foundry-environment)。

![\[使用连接多个地区的多个账户 PrivateLink\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-btp-regions.jpg)


SAP Private Link Service 是 SAP 在 SAP BTP 上提供的一项付费服务。有关更多信息，请参阅：[SAP Discovery Center – Services – SAP Private Link Service](https://discovery-center.cloud.sap/serviceCatalog/private-link-service)。

与 AWS 账户中的 AWS 服务（例如 AWS 网络负载均衡器或 Transit Gateway）相关的费用各不相同，这些服务由客户管理，以促进跨区域连接。有关价格的更多信息，请参阅所列 AWS 服务的专用定价页面。

# 从 RISE 连接到 SaaS
<a name="rise-saas"></a>

在对 SAP 环境进行现代化改造时，您可以订阅多种 SAP Cloud 解决方案或来自独立软件供应商的 SaaS，以作为 RISE with SAP 解决方案的有力补充。

当云解决方案运行时 AWS （在同一 AWS 区域或不同 AWS 区域），RISE与SAP的连接将保持 AWS 在全球网络中，而无需互联网连接。连接是通过 RISE 中提供的 squid 代理服务器与 SAP VPC 保持的。有关更多信息，请参阅 Amazon [VPC FAQs -当两个实例使用公有 IP 地址通信或实例与公共服务终端节点通信时，流量是否会通过互联网](https://aws.amazon.com/vpc/faqs/)传输？ AWS 。

![\[从 RISE 连接到云解决方案或 SaaS\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-saas1.png)


如果您的云在其他数据中心运行或通过其他云服务提供商平台运行，则需要互联网连接。

![\[从 RISE 连接到云解决方案或 SaaS\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-saas2.png)


SaaS 云解决方案不支持通过 VPN、Direct Connect 或任何其他私有连接方式来建立此连接。您可以实施集中式互联网出口架构来管理此连接。有关更多信息，请参阅[集中式互联网出口](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)。

# 多云环境的连接模式
<a name="rise-multi-cloud"></a>

在复杂的连接场景中，您可能需要将 AWS RISE 与 SAP 设置与本地、托管系统、各种 SaaS 解决方案和其他云服务提供商集成。

直接从 AWS 环境中管理连接，使依赖关系与本地网络基础设施脱钩，从而提高整体环境的可用性和弹性。

您可以使用公有连接或私有连接将多云环境与 RISE 相连。

![\[多云环境与 RISE 的连接模式\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-multi1.png)


 **公有连接** 

连接通过公共互联网进行路由。此模式通常用于 RISE with SAP 与跨多个云运行的 SaaS 解决方案之间的连接。在建立通过公共互联网路由的连接时，请注意以下事项：
+ 确保所有通信均已加密
+ 使用弹性负载均衡器和 Shield 等 AWS 服务保护端点 AWS 
+ 使用 Amazon 监控终端节点 CloudWatch
+ 确保托管的两个公有 IP 地址之间的流量通过网络路由 AWS AWS 

 **私有连接** 

可使用以下三种方案，在不同的云服务提供商之间建立私有连接：
+ Site-to-site 通过公共互联网路由的 VPN 加密隧道
+ 在托管基础架构中使用 AWS Direct Connect 进行私有互连（使用 ExpressRoute 适用于 Azure 的 Azure 和谷歌云平台的谷歌专用互连）
+ 在与多云连接提供商的设施中使用 AWS Direct Connect 进行私有互连

下图描述了选择多云连接方式时需考虑的因素。

![\[多云环境与 RISE 的连接模式\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-multi2.png)


有关更多信息，请参阅[设计与 Microsoft Azure AWS 之间的私有网络连接](https://aws.amazon.com/blogs/modernizing-with-aws/designing-private-network-connectivity-aws-azure/)。

# 实施 RISE 连接费用分摊功能
<a name="rise-chargeback"></a>

如果您是一家拥有子公司的公司，则可能有不同的RISE合同，因此需要在不同的 AWS 账户中进行部署，同时需要互连的网络连接。在此情况下，您必须在登录区（多账户）环境中部署 Transit Gateway 连接。它可以扩展你的 RISE 部署，并通过 SAP 与多个 RISE 集成 VPCs。

Transit Gateway 流日志支持高效的成本管理。Transit Gateway 流日志可与成本和使用情况报告（CUR）集成，进而将相关成本分摊至各个业务部门。有关更多信息，请参阅[使用 Transit Gateway 流日志记录网络流量](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html)。

![\[如何实现 RISE 连接费用分摊功能\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-chargeback.png)


上图显示了如何使用 Transit Gateway 将多个 RISE 与 SAP 连接起来， VPCs 并通过流日志提供退款功能。

有关更多信息，请参阅以下博客文章：
+  [使用 Tr AWS ansit Gateway Flow Logs 对多账户环境中的数据处理成本进行计费](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-transit-gateway-flow-logs-to-chargeback-data-processing-costs-in-a-multi-account-environment/) 
+  [共享服务退款操作方法：Transit Gateway 示例 AWS](https://aws.amazon.com/blogs/aws-cloud-financial-management/gs-chargeback-shared-services-an-aws-transit-gateway-example/) 

执行以下步骤来启用此设置：

1. 启用 Transit Gateway 流日志。有关更多信息，请参阅[创建发布到 Amazon S3 的流日志](https://docs.aws.amazon.com/vpc/latest/tgw/flow-logs-s3.html#flow-logs-s3-create-flow-log)。

1. 设置成本和使用情况报告，并配置 Athena 以使用该报告。有关更多信息，请参阅[创建成本和使用情况报告](https://docs.aws.amazon.com/cur/latest/userguide/cur-create.html)和[使用 Amazon Athena 查询成本和使用情况报告](https://docs.aws.amazon.com/cur/latest/userguide/cur-query-athena.html)。

1. 获取每个账户的 Transit Gateway 数据处理费用。

   1. 确定成本分配策略 - 在所有账户间平均分配成本，或按比例分配成本。

   1. 通过 [AWS Transit Gateway](https://catalog.workshops.aws/cur-query-library/en-US/queries/networking-and-content-delivery#aws-transit-gateway) 查询，计算每个账户的总网络流量及分配百分比。

   1. 通过从收集网络输入（上传）和 NetworkOut（下载） CloudWatch 的账户中收款，估算每个账户的费用。

      1. NetworkIn（上传）\$1 NetworkOut（下载）每个使用账户/在网络账户中处理的数据总数

      1. 使用百分比 x 总成本 = 每个使用账户的分摊成本

# 在 RISE 中连接到重叠 IP 开启 AWS
<a name="rise-oip"></a>

叠加 IP 是分配给 VPC CIDR 数据块之外的 EC2 实例的私有 IP 地址。它用于 [SAP 部署中的高可用性和故障转移场景 AWS](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-oip-sap-on-aws-high-availability-setup.html)，即使活动实例位于不同的可用区，也可以将流量定向到活动实例。此 IP 地址可路由，并通过路由表进行管理，无需修改应用程序配置即可实现无缝失效转移。

在以下情况下，叠加 IP 在 RISE 构造中非常重要：
+ SAP GUI 与 ASCS 实例中的 SAP 消息服务器的连接
+ 应用程序服务器与 ERS 实例中的 SAP 队列服务器的连接
+ 客户端与 HANA 数据库的连接（当客户端运行 XS 应用程序和 XS Advanced 应用程序时）

当主节点或主可用区出现可用性问题时，高可用集群软件会将叠加 IP 从主节点迁移至备用节点（反之亦然）。在发生此事件时，所有客户端连接都必须重新路由，以确保用户能够继续开展业务活动。

可通过以下两种方式连接到此叠加 IP 地址：[网络负载均衡器（NLB）](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-oip-overlay-ip-routing-with-network-load-balancer.html)和 [AWS Transit Gateway（TGW）](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-oip-overlay-ip-routing-using-aws-transit-gateway.html)。您可以在本 [SAP “使用叠加 IP 地址路由实现 AWS 高可用性” 指南](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-ha-overlay-ip.html)中参考更多详细信息。

 **NLB 配置** 

RISE with SAP 高可用性部署策略跨两个可用区实施，并涉及多个关键联网组件。在设置此配置时，SAP 会 NLBs 专门为两个关键叠加层实施 IPs，一个用于数据库，另一个用于 ASCS。为了管理 DNS 解析，SAP CNAMEs 在其的 RISE 托管 DNS 系统中包含了与亚马逊 NLB 地址（结尾为.amazonaws.com）相对应的 DNS 系统。

通过 VPC 对等连接来连接到 RISE with SAP VPC 时，您只能使用网络负载均衡器（NLB）地址访问该系统，而无法通过叠加 IP 地址直接访问。

 **Transit Gateway 配置** 

当您使用 TGW 时，SAP 的默认配置仅传播其当前正在使用的 VPC CIDR 范围的路由。这就要求客户必须手动为叠加 IP 所使用的 CIDR 范围（位于 VPC CIDR 范围之外）配置静态路由。这种额外的配置至关重要，因为它允许 IPs 通过 TGW 直接访问这些叠加层。如果未进行此静态路由配置，流量便只能借助网络负载均衡器通过效率较低的路径传输，而不是直接通过 TGW 传输。

此路由配置是客户在其 SAP 部署过程中需重点关注的关键细节，因为它会对来自终端用户及 RISE with SAP 外部的其他系统的网络流量传输效率产生重大影响。

![\[RISE 中的叠加 IP\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-oip.png)


# 将 DNS 集成到 RISE 和 Route 53
<a name="rise-dns"></a>

本文档提供了有关 “RISE with SAP” 部署的域名系统 (DNS) 集成选项的指导 AWS，重点介绍企业场景，在这些场景中，客户希望在 RISE 和 SAP 工作负载与跨 AWS 外部环境的现有工作负载之间实现名称解析。

双向 DNS 集成对于将 RISE 与 SAP 系统连接到各种 AWS 云和本地资源以及企业基础设施至关重要。在制造环境中，一个常见的使用案例是将 SAP 应用程序连接至车间设备。例如，SAP 可能需要与生产车间内的打印机通信，以生成标签、工作订单或货运单据。这就要求在 RISE with SAP 环境中能够解析“printer-line1.factory.company.local”这类内部主机名。

相反，外部系统和应用程序通常需要通过 DNS 查找来访问 RISE with SAP 环境中的资源，尤其是在调用 ODATA API 端点来开展业务事务（例如，生成工作订单）时。由于合规性和安全性要求，RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要，因此以下各部分将重点介绍私有网络内的 DNS 解析。

由于合规性和安全性要求，RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要，因此以下各部分将重点介绍私有网络内的 DNS 解析。

 **架构方案** 

将 RISE with SAP 与您现有的 DNS 设置集成时，您可以采用两大架构方案：条件 DNS 转发和 DNS 区域传输。您还必须考虑 DNS 区域委派相关事宜。这些选项和注意事项专为 AWS仅限部署和与外部环境（例如本地环境或其他云提供商） AWS 连接的混合场景而设计。

DNS 集成架构的选择取决于您的服务可靠性需求、现有 DNS 基础设施能力，以及可接受的运维复杂度，与自运营 DNS 基础设施相比，托管服务所需的维护工作和专业知识通常会更少。

在与 RISE with SAP 进行 DNS 集成时，我们建议通过 [Amazon Route 53](https://aws.amazon.com/route53/) Resolver 端点实施条件 DNS 转发。Route 53 可提供高度可用、可扩展的 DNS 服务，从而最大限度地降低运维开销。借助此方法，您无需设置和运行自己的 DNS 服务器，并且可进一步降低运维复杂度。此外，Route 53 还可通过亚马逊与您的现有环境和监控功能直接集成 CloudWatch。不过，如果您有特定的要求或技术限制，可以参考后续部分中详细介绍的替代方案。

推荐的 DNS 分割模式是为每个环境实施专用子域（例如，aws.corp.com、dc.corp.com 和 sap.corp.com），通过有条件的跨环境转发来对每个环境进行 DNS 本地解析。此方案通过将本地 DNS 请求保持在其相应的环境中来优化性能，进而减少延迟、提升系统韧性并简化 DNS 管理。具体而言，它能够有效地减少环境间网络链路故障产生的影响。

 **通用基础设施要求** 

在实施 DNS 集成方案之前，请确保满足以下先决条件（另见后续图表）：

1. 网络连接：T AWS ransit Gateway（或云广域网或 VPC 对等互连）通过 AWS Direct Connect 或 AWS Site-to-Site VPN 连接外部 AWS 环境、您的环境以及使用 SAP VPC 的 RISE。

1. 域委派：在 RISE with SAP 设置过程中，SAP 要求将子域（sap.<customer>.<domain>）委派给 RISE with SAP VPC 中的 RISE DNS 服务器。这使终端用户和应用程序能够通过您组织的域访问 RISE with SAP 系统。

 **条件 DNS 转发（推荐方案）** 

条件 DNS 转发支持将特定域名的查询选择性地转发到另一台 DNS 服务器进行解析（例如，Amazon Route 53 将 sap.corp.com 的 DNS 查询转发至 RISE DNS 服务器）。我们建议实施条件 DNS 转发，除非因技术限制导致无法采用此方案。此方案的核心优势在于，客户可以利用 Route 53，而不是在 AWS上设置和运营自己的 DNS 基础设施。这样一来，客户既简化了集成路径，又获得了 Route 53 高度可用且可靠的全球基础设施带来的优势。

以下参考架构概述了此方案所需的组件：

![\[RISE 中的 DNS 转发\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-forwarding.png)


1. 网络连接：请参阅“通用基础设施要求”

1. 域委派：请参阅“通用基础设施要求”

1. 在您的中央网络 VPC 中创建 Route 53 解析器终端节点（入站和出站），以处理您的 AWS 账户与 RISE with SAP 账户之间的 DNS 查询。请遵循 [Resolver 端点的最佳运维实践](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver.html)。我们建议在所有可用区部署多个终端节点并监控其利用率 CloudWatch 以实现主动扩展。向 SAP 提供您的本地 DNS 服务器的详细信息以及 Route 53 Resolver 端点的 IP 地址（用于转发和防火墙配置）。

1. 在工作负载中配置 Route 53 解析器规则 VPCs 以转发 DNS 查询，如下所示：

   1. SAP 绑定的 DNS 查询：转发到出站端点以通过 SAP DNS 服务器解析查询

   1. 企业数据中心绑定的 DNS 查询：转发到出站端点以通过本地 DNS 服务器解析查询

1. 将本地 DNS 服务器配置为转发 DNS 查询，如下所示：

   1. SAP 绑定的查询：转发到 SAP DNS 服务器（或者，从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输）

   1.  AWS绑定的查询：转发到入站端点

1. 对 SAP DNS 服务器进行如下配置：

   1. 企业数据中心绑定的 DNS 查询：转发到本地 DNS 服务器

   1.  AWS绑定的 DNS 查询：转发到入站端点

确保您的工作负载 VPCs 具有所有相关的解析器规则，用于通过中央网络 VPC 转发 DNS。我们建议使用 Route 53 配置文件来管理这些配置，因为它们可以在多个 VPCs 和 AWS 账户之间实现一致的 DNS 设置。这种方法允许您在整个 AWS 基础架构中定义和应用标准化的 DNS 配置，从而简化了 DNS 管理。

请注意，对于混合环境中的 DNS 解析，DNS 委派可作为条件转发的替代方案。虽然通常会建议您在 RISE with SAP 环境中使用条件转发，但 DNS 委派在特定场景中可能更具优势，尤其适用于存在许多分布式 DNS 解析器且没有集中式上游解析器的环境。但对于涉及 SAP DNS 服务器的场景，还需考虑其他技术注意事项，如“DNS 区域委派”部分中所述。

 **DNS 区域传输** 

通过区域传输，权威 DNS 服务器的 DNS 数据库会在一组辅助 DNS 服务器之间进行复制。您可以直接在本地 DNS 服务器和 RISE 环境中的 SAP DNS 服务器之间实现区域传输。但是，如果您想扩展区域传输以包括您的 AWS DNS 命名空间（例如 aws. <customer>。 <domain>) 要在本地和工作负载之间进行通信 VPCs，您需要在自己的 AWS 环境中操作自己的 DNS 服务器（例如 BIND）。这是因为 Route 53 不支持区域传输。请记住，与使用 Route 53 进行 DNS 转发相比，此方案会增加运维复杂性。

有关此方法的详细信息，请咨询您的 SAP 云架构师或您的 AWS 客户团队。有关运行您自己的 BIND DNS 服务器的最佳实践，请参阅[此链接](https://kb.isc.org/docs/bind-best-practices-authoritative)。

下图显示了通过区域传输将 RISE 环境与现有 DNS 环境（本地/ AWS ）集成的参考架构。

![\[RISE 中的 DNS 区域传输\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-zonetransfer.png)


1. 网络连接：请参阅“通用基础设施要求”

1. 域委派：请参阅“通用基础设施要求”

1. 在联网 VPC 中设置中央 DNS 服务器（例如，EC2 上的 BIND），或通过[相应修改 VPC DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)，在每个工作负载 VPC 中设置分散式 DNS 服务器。请向 SAP 提供您的本地 DNS 服务器和 AWS托管的 DNS 服务器的详细信息（用于区域传输和防火墙配置）。

1. 按如下方式配置 AWS托管的 DNS 服务器：

   1. SAP 绑定的查询：从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输

   1. 数据中心绑定的查询：从本地 DNS 服务器进行 dc.<customer>.<domain> 的区域传输

1. 对本地 DNS 服务器进行如下配置：

   1. SAP 绑定的 DNS 查询：从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输

   1.  AWS绑定的 DNS 查询：aws 的区域转移。 <customer>。 <domain>来自 AWS软管的 DNS 服务器

1. 对 SAP DNS 服务器进行如下配置：

   1. 客户数据中心绑定的 DNS 查询：从本地 DNS 服务器进行 dc.<customer>.<domain> 的区域传输

   1.  AWS绑定的 DNS 查询：aws 的区域转移。 <customer>。 <domain>来自 AWS软管的 DNS 服务器

 **DNS 区域委派** 

如果客户运行跨多个环境分布的多个 DNS 解析器，并且未使用集中式 DNS 解析器服务，则配置并维护 DNS 转发规则或区域传输可能会带来运维挑战。利用 DNS 区域委派功能，您可以在 DNS 层次结构中的单个点上定义特定子域的权限，从而简化整个基础设施的 DNS 管理工作。

使用具有 DNS 委派功能的 Amazon Route 53 Resolver 终端节点，您可以构建和维护跨本地和 AWS 环境的统一私有 DNS 命名空间。

然而，在 RISE 环境中与将区域委派功能与 SAP DNS 服务器结合使用时，有特定的技术注意事项。如果没有集中式上游解析器，由于缓存效率降低，向 SAP DNS 服务器进行区域委派会增加并发查询负载。此外，所有 DNS 解析器都需要指向 SAP DNS 服务器的直接网络路径，这可能需要额外的连接配置。实施此方案之前，请咨询 SAP ECS。

存在两种主要场景：

 **场景 1 AWS 上的 Route 53 中的父域** 

对于在云中运行大部分工作负载并 AWS 使用 Route 53 操作私有 DNS 根区域的客户，您可以将子域委托给外部 DNS 服务器。这包括同时委派给 SAP DNS 服务器（例如 sap.corp.com）和本地 DNS 服务器（例如 dc.corp.com）。

![\[父域在 Route 53 中的 DNS 区域委派\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-zonedelegation01.png)


1. 网络连接：请参阅“通用基础设施要求”

1. 域委派：请参阅“通用基础设施要求”

1. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点（入站和出站）

1. 将 IPs 本地和 SAP DNS 服务器配置为父域（例如 corp.com）的私有托管区域 (PHZ) 中的 NS 记录，并将 PHZ 与您的工作负载关联（Route VPCs 53 [配置文件](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html)可以帮助管理 PHZ 关联和解析器规则）。如果您的 DNS 服务器在同一域（例如 ns.dc.corp.com）中，则还需在父域中配置[粘附记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-name-servers-glue-records.html)。为相关子域 (dc.corp.com) 创建 Route 53 解析器委托规则，并将它们与您的工作负载 VPCs 相关联（参见上图）。

1. 在本地解析器上配置条件 DNS 转发，以允许解析父域和 SAP 域（SAP 端需进行相同配置）

 **场景 2 本地父域** 

对于刚开始云之旅但仍在本地维护根区域的客户，DNS 委派提供了一种集成 SAP 和 AWS 环境的有效方法，同时保持本地的 DNS 控制。

![\[父域在本地环境中的 DNS 区域委派\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-zonedelegation02.png)


1. 网络连接：请参阅“通用基础设施要求”

1. 域委派：请参阅“通用基础设施要求”

1. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点（入站和出站）

1. 为 aws.corp.com 配置 PHZ 并将其关联到您的中央网络和工作负载。 VPCs配置条件 DNS 转发规则，以允许 VPC 解析本地工作负载和 RISE with SAP 系统的查询（SAP 端需进行相同配置）。

1. 在域的本地权威名称服务器中，使用 sap.corp.com 和 aws.corp.com 的委派（NS）记录（例如 ns1.corp.com）更新 corp.com 区域。

将你的 R AWS oute 53 Resolver 入站终端节点和 SAP DNS 服务器配置 IPs 为 ns1.corp.com 区域文件中的目标记录。如果您的 DNS 服务器在同一域中，则还需在父域中配置粘附记录。

有关区域委派功能的更多详细信息，请参阅 Route 53 文档。以下博客文章为您提供了有关如何使用私有 DNS 的 Route 53 委托功能的更深入的 step-by-step指南：[使用 Amazon Route 53 Resolver 终端节点委派简化混合 DNS 管理](https://aws.amazon.com/blogs/networking-and-content-delivery/streamline-hybrid-dns-management-using-amazon-route-53-resolver-endpoints-delegation/)。

有关上述集成方法的更多信息，请联系您的 SAP 云架构师或您的 AWS 客户团队。