本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 其他考虑因素
此部分介绍了连接到 RISE 时的其他注意事项。
**Topics**
+ [开启 RISE 的 SAP BTP AWS](rise-btp.md)
+ [从 RISE 连接到 SaaS](rise-saas.md)
+ [多云环境的连接模式](rise-multi-cloud.md)
+ [实施 RISE 连接费用分摊功能](rise-chargeback.md)
+ [在 RISE 中连接到重叠 IP 开启 AWS](rise-oip.md)
+ [将 DNS 集成到 RISE 和 Route 53](rise-dns.md)
# 开启 RISE 的 SAP BTP AWS
你可以使用 SAP Business Technology Platf AWS orm BTP 服务,通过 SAP 扩展 RISE 的功能。SAP 建议通过 SAP Cloud 连接器,借助互联网将 RISE with SAP VPC 与 SAP BTP 相连。当 RISE with SAP 和 SAP BTP 同时运行 AWS (在同一 AWS 区域或不同 AWS 区域)时,网络流量将被加密并包含 AWS 在全球网络中,而无需通过互联网(见下图)。这为 RISE with SAP 与 SAP BTP 之间的所有集成使用案例提供了更出色的安全性和性能。有关更多信息,请参阅 [Amazon VPC FAQs -当两个实例使用公有 IP 地址通信或实例与公共 AWS 服务终端节点通信时,流量是否会通过 Internet 传输?](https://aws.amazon.com/vpc/faqs/) 。
![\[跨区域连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-btp-internet.png)
如上图所示,您可以将 Transit Gateway 配置为同时处理 RISE 和 BTP 网络流量。有关更多信息,请参阅[如何通过 Amazon VPC 路由来自本地环境的互联网流量?](https://guide.aws.dev/articles/ARUIFmbCauTQeyJogByCa5xg/how-to-route-internet-traffic-from-on-premise-via-aws-vpc)
SAP 还提供适用于 SAP BTP 的 SAP 专用链接服务。 AWS SAP Private Link 通过安全连接连接 SAP BTP,无需 IPs 在你的 AWS 账户中使用公共连接。 AWS
![\[使用连接多个账户 PrivateLink\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-btp-services.jpg)
您可以从 Cloud Foundry 上运行的 SAP BTP 应用程序连接到 AWS 终端节点服务。通过建立此连接,您可以直接连接到 AWS 服务,或者例如,连接到 S/4HANA 系统。有关支持 AWS 服务的完整列表,请参阅在 SA [P BTP 中使用亚马逊 Web 服务](https://help.sap.com/docs/private-link/private-link1/consume-amazon-web-services-in-sap-btp-beta)。
您可以使用 SAP 私有[链接服务在 SAP BTP 和 AWS 服务之间建立安全和私密](https://help.sap.com/docs/private-link/private-link1/what-is-sap-private-link-service)的通信。通过使用私有 IP 地址范围(RFC 1918),您可以减小应用程序的攻击面。该连接无需互联网网关。如果你不需要这种额外的安全层,你仍然可以在没有 SAP Private Link 的情况下通过 SAP BTP APIs 的公共网络进行连接,并从 AWS 全球网络中受益。有关更多信息,请参阅 [Amazon VPC FAQs](https://aws.amazon.com/vpc/faqs/)。
SAP Private Link AWS 目前支持从 SAP BTP Cloud Foundry 发起的 AWS连接
对于跨 AWS 区域的 AWS 服务,你可以在与 SAP BTP Cloud Foundry 运行时相同的 AWS 区域中创建 VPC,然后 VPCs 通过 VPC 对等互连或 Tr AWS ansit Gateway 进行连接。有关受支持的区域列表,请参阅 [Regions and API Endpoints Available for the Cloud Foundry Environment](https://help.sap.com/docs/btp/sap-business-technology-platform/regions-and-api-endpoints-available-for-cloud-foundry-environment)。
![\[使用连接多个地区的多个账户 PrivateLink\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-btp-regions.jpg)
SAP Private Link Service 是 SAP 在 SAP BTP 上提供的一项付费服务。有关更多信息,请参阅:[SAP Discovery Center – Services – SAP Private Link Service](https://discovery-center.cloud.sap/serviceCatalog/private-link-service)。
与 AWS 账户中的 AWS 服务(例如 AWS 网络负载均衡器或 Transit Gateway)相关的费用各不相同,这些服务由客户管理,以促进跨区域连接。有关价格的更多信息,请参阅所列 AWS 服务的专用定价页面。
# 从 RISE 连接到 SaaS
在对 SAP 环境进行现代化改造时,您可以订阅多种 SAP Cloud 解决方案或来自独立软件供应商的 SaaS,以作为 RISE with SAP 解决方案的有力补充。
当云解决方案运行时 AWS (在同一 AWS 区域或不同 AWS 区域),RISE与SAP的连接将保持 AWS 在全球网络中,而无需互联网连接。连接是通过 RISE 中提供的 squid 代理服务器与 SAP VPC 保持的。有关更多信息,请参阅 Amazon [VPC FAQs -当两个实例使用公有 IP 地址通信或实例与公共服务终端节点通信时,流量是否会通过互联网](https://aws.amazon.com/vpc/faqs/)传输? AWS 。
![\[从 RISE 连接到云解决方案或 SaaS\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-saas1.png)
如果您的云在其他数据中心运行或通过其他云服务提供商平台运行,则需要互联网连接。
![\[从 RISE 连接到云解决方案或 SaaS\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-saas2.png)
SaaS 云解决方案不支持通过 VPN、Direct Connect 或任何其他私有连接方式来建立此连接。您可以实施集中式互联网出口架构来管理此连接。有关更多信息,请参阅[集中式互联网出口](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)。
# 多云环境的连接模式
在复杂的连接场景中,您可能需要将 AWS RISE 与 SAP 设置与本地、托管系统、各种 SaaS 解决方案和其他云服务提供商集成。
直接从 AWS 环境中管理连接,使依赖关系与本地网络基础设施脱钩,从而提高整体环境的可用性和弹性。
您可以使用公有连接或私有连接将多云环境与 RISE 相连。
![\[多云环境与 RISE 的连接模式\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-multi1.png)
**公有连接**
连接通过公共互联网进行路由。此模式通常用于 RISE with SAP 与跨多个云运行的 SaaS 解决方案之间的连接。在建立通过公共互联网路由的连接时,请注意以下事项:
+ 确保所有通信均已加密
+ 使用弹性负载均衡器和 Shield 等 AWS 服务保护端点 AWS
+ 使用 Amazon 监控终端节点 CloudWatch
+ 确保托管的两个公有 IP 地址之间的流量通过网络路由 AWS AWS
**私有连接**
可使用以下三种方案,在不同的云服务提供商之间建立私有连接:
+ Site-to-site 通过公共互联网路由的 VPN 加密隧道
+ 在托管基础架构中使用 AWS Direct Connect 进行私有互连(使用 ExpressRoute 适用于 Azure 的 Azure 和谷歌云平台的谷歌专用互连)
+ 在与多云连接提供商的设施中使用 AWS Direct Connect 进行私有互连
下图描述了选择多云连接方式时需考虑的因素。
![\[多云环境与 RISE 的连接模式\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-multi2.png)
有关更多信息,请参阅[设计与 Microsoft Azure AWS 之间的私有网络连接](https://aws.amazon.com/blogs/modernizing-with-aws/designing-private-network-connectivity-aws-azure/)。
# 实施 RISE 连接费用分摊功能
如果您是一家拥有子公司的公司,则可能有不同的RISE合同,因此需要在不同的 AWS 账户中进行部署,同时需要互连的网络连接。在此情况下,您必须在登录区(多账户)环境中部署 Transit Gateway 连接。它可以扩展你的 RISE 部署,并通过 SAP 与多个 RISE 集成 VPCs。
Transit Gateway 流日志支持高效的成本管理。Transit Gateway 流日志可与成本和使用情况报告(CUR)集成,进而将相关成本分摊至各个业务部门。有关更多信息,请参阅[使用 Transit Gateway 流日志记录网络流量](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html)。
![\[如何实现 RISE 连接费用分摊功能\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-chargeback.png)
上图显示了如何使用 Transit Gateway 将多个 RISE 与 SAP 连接起来, VPCs 并通过流日志提供退款功能。
有关更多信息,请参阅以下博客文章:
+ [使用 Tr AWS ansit Gateway Flow Logs 对多账户环境中的数据处理成本进行计费](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-transit-gateway-flow-logs-to-chargeback-data-processing-costs-in-a-multi-account-environment/)
+ [共享服务退款操作方法:Transit Gateway 示例 AWS](https://aws.amazon.com/blogs/aws-cloud-financial-management/gs-chargeback-shared-services-an-aws-transit-gateway-example/)
执行以下步骤来启用此设置:
1. 启用 Transit Gateway 流日志。有关更多信息,请参阅[创建发布到 Amazon S3 的流日志](https://docs.aws.amazon.com/vpc/latest/tgw/flow-logs-s3.html#flow-logs-s3-create-flow-log)。
1. 设置成本和使用情况报告,并配置 Athena 以使用该报告。有关更多信息,请参阅[创建成本和使用情况报告](https://docs.aws.amazon.com/cur/latest/userguide/cur-create.html)和[使用 Amazon Athena 查询成本和使用情况报告](https://docs.aws.amazon.com/cur/latest/userguide/cur-query-athena.html)。
1. 获取每个账户的 Transit Gateway 数据处理费用。
1. 确定成本分配策略 - 在所有账户间平均分配成本,或按比例分配成本。
1. 通过 [AWS Transit Gateway](https://catalog.workshops.aws/cur-query-library/en-US/queries/networking-and-content-delivery#aws-transit-gateway) 查询,计算每个账户的总网络流量及分配百分比。
1. 通过从收集网络输入(上传)和 NetworkOut(下载) CloudWatch 的账户中收款,估算每个账户的费用。
1. NetworkIn(上传)\$1 NetworkOut(下载)每个使用账户/在网络账户中处理的数据总数
1. 使用百分比 x 总成本 = 每个使用账户的分摊成本
# 在 RISE 中连接到重叠 IP 开启 AWS
叠加 IP 是分配给 VPC CIDR 数据块之外的 EC2 实例的私有 IP 地址。它用于 [SAP 部署中的高可用性和故障转移场景 AWS](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-oip-sap-on-aws-high-availability-setup.html),即使活动实例位于不同的可用区,也可以将流量定向到活动实例。此 IP 地址可路由,并通过路由表进行管理,无需修改应用程序配置即可实现无缝失效转移。
在以下情况下,叠加 IP 在 RISE 构造中非常重要:
+ SAP GUI 与 ASCS 实例中的 SAP 消息服务器的连接
+ 应用程序服务器与 ERS 实例中的 SAP 队列服务器的连接
+ 客户端与 HANA 数据库的连接(当客户端运行 XS 应用程序和 XS Advanced 应用程序时)
当主节点或主可用区出现可用性问题时,高可用集群软件会将叠加 IP 从主节点迁移至备用节点(反之亦然)。在发生此事件时,所有客户端连接都必须重新路由,以确保用户能够继续开展业务活动。
可通过以下两种方式连接到此叠加 IP 地址:[网络负载均衡器(NLB)](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-oip-overlay-ip-routing-with-network-load-balancer.html)和 [AWS Transit Gateway(TGW)](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-oip-overlay-ip-routing-using-aws-transit-gateway.html)。您可以在本 [SAP “使用叠加 IP 地址路由实现 AWS 高可用性” 指南](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-ha-overlay-ip.html)中参考更多详细信息。
**NLB 配置**
RISE with SAP 高可用性部署策略跨两个可用区实施,并涉及多个关键联网组件。在设置此配置时,SAP 会 NLBs 专门为两个关键叠加层实施 IPs,一个用于数据库,另一个用于 ASCS。为了管理 DNS 解析,SAP CNAMEs 在其的 RISE 托管 DNS 系统中包含了与亚马逊 NLB 地址(结尾为.amazonaws.com)相对应的 DNS 系统。
通过 VPC 对等连接来连接到 RISE with SAP VPC 时,您只能使用网络负载均衡器(NLB)地址访问该系统,而无法通过叠加 IP 地址直接访问。
**Transit Gateway 配置**
当您使用 TGW 时,SAP 的默认配置仅传播其当前正在使用的 VPC CIDR 范围的路由。这就要求客户必须手动为叠加 IP 所使用的 CIDR 范围(位于 VPC CIDR 范围之外)配置静态路由。这种额外的配置至关重要,因为它允许 IPs 通过 TGW 直接访问这些叠加层。如果未进行此静态路由配置,流量便只能借助网络负载均衡器通过效率较低的路径传输,而不是直接通过 TGW 传输。
此路由配置是客户在其 SAP 部署过程中需重点关注的关键细节,因为它会对来自终端用户及 RISE with SAP 外部的其他系统的网络流量传输效率产生重大影响。
![\[RISE 中的叠加 IP\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-oip.png)
# 将 DNS 集成到 RISE 和 Route 53
本文档提供了有关 “RISE with SAP” 部署的域名系统 (DNS) 集成选项的指导 AWS,重点介绍企业场景,在这些场景中,客户希望在 RISE 和 SAP 工作负载与跨 AWS 外部环境的现有工作负载之间实现名称解析。
双向 DNS 集成对于将 RISE 与 SAP 系统连接到各种 AWS 云和本地资源以及企业基础设施至关重要。在制造环境中,一个常见的使用案例是将 SAP 应用程序连接至车间设备。例如,SAP 可能需要与生产车间内的打印机通信,以生成标签、工作订单或货运单据。这就要求在 RISE with SAP 环境中能够解析“printer-line1.factory.company.local”这类内部主机名。
相反,外部系统和应用程序通常需要通过 DNS 查找来访问 RISE with SAP 环境中的资源,尤其是在调用 ODATA API 端点来开展业务事务(例如,生成工作订单)时。由于合规性和安全性要求,RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要,因此以下各部分将重点介绍私有网络内的 DNS 解析。
由于合规性和安全性要求,RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要,因此以下各部分将重点介绍私有网络内的 DNS 解析。
**架构方案**
将 RISE with SAP 与您现有的 DNS 设置集成时,您可以采用两大架构方案:条件 DNS 转发和 DNS 区域传输。您还必须考虑 DNS 区域委派相关事宜。这些选项和注意事项专为 AWS仅限部署和与外部环境(例如本地环境或其他云提供商) AWS 连接的混合场景而设计。
DNS 集成架构的选择取决于您的服务可靠性需求、现有 DNS 基础设施能力,以及可接受的运维复杂度,与自运营 DNS 基础设施相比,托管服务所需的维护工作和专业知识通常会更少。
在与 RISE with SAP 进行 DNS 集成时,我们建议通过 [Amazon Route 53](https://aws.amazon.com/route53/) Resolver 端点实施条件 DNS 转发。Route 53 可提供高度可用、可扩展的 DNS 服务,从而最大限度地降低运维开销。借助此方法,您无需设置和运行自己的 DNS 服务器,并且可进一步降低运维复杂度。此外,Route 53 还可通过亚马逊与您的现有环境和监控功能直接集成 CloudWatch。不过,如果您有特定的要求或技术限制,可以参考后续部分中详细介绍的替代方案。
推荐的 DNS 分割模式是为每个环境实施专用子域(例如,aws.corp.com、dc.corp.com 和 sap.corp.com),通过有条件的跨环境转发来对每个环境进行 DNS 本地解析。此方案通过将本地 DNS 请求保持在其相应的环境中来优化性能,进而减少延迟、提升系统韧性并简化 DNS 管理。具体而言,它能够有效地减少环境间网络链路故障产生的影响。
**通用基础设施要求**
在实施 DNS 集成方案之前,请确保满足以下先决条件(另见后续图表):
1. 网络连接:T AWS ransit Gateway(或云广域网或 VPC 对等互连)通过 AWS Direct Connect 或 AWS Site-to-Site VPN 连接外部 AWS 环境、您的环境以及使用 SAP VPC 的 RISE。
1. 域委派:在 RISE with SAP 设置过程中,SAP 要求将子域(sap..)委派给 RISE with SAP VPC 中的 RISE DNS 服务器。这使终端用户和应用程序能够通过您组织的域访问 RISE with SAP 系统。
**条件 DNS 转发(推荐方案)**
条件 DNS 转发支持将特定域名的查询选择性地转发到另一台 DNS 服务器进行解析(例如,Amazon Route 53 将 sap.corp.com 的 DNS 查询转发至 RISE DNS 服务器)。我们建议实施条件 DNS 转发,除非因技术限制导致无法采用此方案。此方案的核心优势在于,客户可以利用 Route 53,而不是在 AWS上设置和运营自己的 DNS 基础设施。这样一来,客户既简化了集成路径,又获得了 Route 53 高度可用且可靠的全球基础设施带来的优势。
以下参考架构概述了此方案所需的组件:
![\[RISE 中的 DNS 转发\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-forwarding.png)
1. 网络连接:请参阅“通用基础设施要求”
1. 域委派:请参阅“通用基础设施要求”
1. 在您的中央网络 VPC 中创建 Route 53 解析器终端节点(入站和出站),以处理您的 AWS 账户与 RISE with SAP 账户之间的 DNS 查询。请遵循 [Resolver 端点的最佳运维实践](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver.html)。我们建议在所有可用区部署多个终端节点并监控其利用率 CloudWatch 以实现主动扩展。向 SAP 提供您的本地 DNS 服务器的详细信息以及 Route 53 Resolver 端点的 IP 地址(用于转发和防火墙配置)。
1. 在工作负载中配置 Route 53 解析器规则 VPCs 以转发 DNS 查询,如下所示:
1. SAP 绑定的 DNS 查询:转发到出站端点以通过 SAP DNS 服务器解析查询
1. 企业数据中心绑定的 DNS 查询:转发到出站端点以通过本地 DNS 服务器解析查询
1. 将本地 DNS 服务器配置为转发 DNS 查询,如下所示:
1. SAP 绑定的查询:转发到 SAP DNS 服务器(或者,从 SAP DNS 服务器进行 sap.. 的区域传输)
1. AWS绑定的查询:转发到入站端点
1. 对 SAP DNS 服务器进行如下配置:
1. 企业数据中心绑定的 DNS 查询:转发到本地 DNS 服务器
1. AWS绑定的 DNS 查询:转发到入站端点
确保您的工作负载 VPCs 具有所有相关的解析器规则,用于通过中央网络 VPC 转发 DNS。我们建议使用 Route 53 配置文件来管理这些配置,因为它们可以在多个 VPCs 和 AWS 账户之间实现一致的 DNS 设置。这种方法允许您在整个 AWS 基础架构中定义和应用标准化的 DNS 配置,从而简化了 DNS 管理。
请注意,对于混合环境中的 DNS 解析,DNS 委派可作为条件转发的替代方案。虽然通常会建议您在 RISE with SAP 环境中使用条件转发,但 DNS 委派在特定场景中可能更具优势,尤其适用于存在许多分布式 DNS 解析器且没有集中式上游解析器的环境。但对于涉及 SAP DNS 服务器的场景,还需考虑其他技术注意事项,如“DNS 区域委派”部分中所述。
**DNS 区域传输**
通过区域传输,权威 DNS 服务器的 DNS 数据库会在一组辅助 DNS 服务器之间进行复制。您可以直接在本地 DNS 服务器和 RISE 环境中的 SAP DNS 服务器之间实现区域传输。但是,如果您想扩展区域传输以包括您的 AWS DNS 命名空间(例如 aws. 。 ) 要在本地和工作负载之间进行通信 VPCs,您需要在自己的 AWS 环境中操作自己的 DNS 服务器(例如 BIND)。这是因为 Route 53 不支持区域传输。请记住,与使用 Route 53 进行 DNS 转发相比,此方案会增加运维复杂性。
有关此方法的详细信息,请咨询您的 SAP 云架构师或您的 AWS 客户团队。有关运行您自己的 BIND DNS 服务器的最佳实践,请参阅[此链接](https://kb.isc.org/docs/bind-best-practices-authoritative)。
下图显示了通过区域传输将 RISE 环境与现有 DNS 环境(本地/ AWS )集成的参考架构。
![\[RISE 中的 DNS 区域传输\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-zonetransfer.png)
1. 网络连接:请参阅“通用基础设施要求”
1. 域委派:请参阅“通用基础设施要求”
1. 在联网 VPC 中设置中央 DNS 服务器(例如,EC2 上的 BIND),或通过[相应修改 VPC DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html),在每个工作负载 VPC 中设置分散式 DNS 服务器。请向 SAP 提供您的本地 DNS 服务器和 AWS托管的 DNS 服务器的详细信息(用于区域传输和防火墙配置)。
1. 按如下方式配置 AWS托管的 DNS 服务器:
1. SAP 绑定的查询:从 SAP DNS 服务器进行 sap.. 的区域传输
1. 数据中心绑定的查询:从本地 DNS 服务器进行 dc.. 的区域传输
1. 对本地 DNS 服务器进行如下配置:
1. SAP 绑定的 DNS 查询:从 SAP DNS 服务器进行 sap.. 的区域传输
1. AWS绑定的 DNS 查询:aws 的区域转移。 。 来自 AWS软管的 DNS 服务器
1. 对 SAP DNS 服务器进行如下配置:
1. 客户数据中心绑定的 DNS 查询:从本地 DNS 服务器进行 dc.. 的区域传输
1. AWS绑定的 DNS 查询:aws 的区域转移。 。 来自 AWS软管的 DNS 服务器
**DNS 区域委派**
如果客户运行跨多个环境分布的多个 DNS 解析器,并且未使用集中式 DNS 解析器服务,则配置并维护 DNS 转发规则或区域传输可能会带来运维挑战。利用 DNS 区域委派功能,您可以在 DNS 层次结构中的单个点上定义特定子域的权限,从而简化整个基础设施的 DNS 管理工作。
使用具有 DNS 委派功能的 Amazon Route 53 Resolver 终端节点,您可以构建和维护跨本地和 AWS 环境的统一私有 DNS 命名空间。
然而,在 RISE 环境中与将区域委派功能与 SAP DNS 服务器结合使用时,有特定的技术注意事项。如果没有集中式上游解析器,由于缓存效率降低,向 SAP DNS 服务器进行区域委派会增加并发查询负载。此外,所有 DNS 解析器都需要指向 SAP DNS 服务器的直接网络路径,这可能需要额外的连接配置。实施此方案之前,请咨询 SAP ECS。
存在两种主要场景:
**场景 1 AWS 上的 Route 53 中的父域**
对于在云中运行大部分工作负载并 AWS 使用 Route 53 操作私有 DNS 根区域的客户,您可以将子域委托给外部 DNS 服务器。这包括同时委派给 SAP DNS 服务器(例如 sap.corp.com)和本地 DNS 服务器(例如 dc.corp.com)。
![\[父域在 Route 53 中的 DNS 区域委派\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-zonedelegation01.png)
1. 网络连接:请参阅“通用基础设施要求”
1. 域委派:请参阅“通用基础设施要求”
1. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点(入站和出站)
1. 将 IPs 本地和 SAP DNS 服务器配置为父域(例如 corp.com)的私有托管区域 (PHZ) 中的 NS 记录,并将 PHZ 与您的工作负载关联(Route VPCs 53 [配置文件](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html)可以帮助管理 PHZ 关联和解析器规则)。如果您的 DNS 服务器在同一域(例如 ns.dc.corp.com)中,则还需在父域中配置[粘附记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-name-servers-glue-records.html)。为相关子域 (dc.corp.com) 创建 Route 53 解析器委托规则,并将它们与您的工作负载 VPCs 相关联(参见上图)。
1. 在本地解析器上配置条件 DNS 转发,以允许解析父域和 SAP 域(SAP 端需进行相同配置)
**场景 2 本地父域**
对于刚开始云之旅但仍在本地维护根区域的客户,DNS 委派提供了一种集成 SAP 和 AWS 环境的有效方法,同时保持本地的 DNS 控制。
![\[父域在本地环境中的 DNS 区域委派\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-dns-zonedelegation02.png)
1. 网络连接:请参阅“通用基础设施要求”
1. 域委派:请参阅“通用基础设施要求”
1. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点(入站和出站)
1. 为 aws.corp.com 配置 PHZ 并将其关联到您的中央网络和工作负载。 VPCs配置条件 DNS 转发规则,以允许 VPC 解析本地工作负载和 RISE with SAP 系统的查询(SAP 端需进行相同配置)。
1. 在域的本地权威名称服务器中,使用 sap.corp.com 和 aws.corp.com 的委派(NS)记录(例如 ns1.corp.com)更新 corp.com 区域。
将你的 R AWS oute 53 Resolver 入站终端节点和 SAP DNS 服务器配置 IPs 为 ns1.corp.com 区域文件中的目标记录。如果您的 DNS 服务器在同一域中,则还需在父域中配置粘附记录。
有关区域委派功能的更多详细信息,请参阅 Route 53 文档。以下博客文章为您提供了有关如何使用私有 DNS 的 Route 53 委托功能的更深入的 step-by-step指南:[使用 Amazon Route 53 Resolver 终端节点委派简化混合 DNS 管理](https://aws.amazon.com/blogs/networking-and-content-delivery/streamline-hybrid-dns-management-using-amazon-route-53-resolver-endpoints-delegation/)。
有关上述集成方法的更多信息,请联系您的 SAP 云架构师或您的 AWS 客户团队。