本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 从您的 AWS 账户连接到 RISE
您可以通过以下方式从您的 AWS 账户连接到 RISE。
**Topics**
+ [Amazon VPC 对等连接](rise-connection-peering.md)
+ [AWS Transit Gate](rise-connection-transit.md)
+ [AWS 直连 Connect 网关](rise-connection-direct-connect-gateway.md)
+ [AWS 云广域网](rise-connection-cloud-wan.md)
+ [使用您的单一 AWS 账户连接到 RISE](rise-connection-accounts.md)
+ [使用共享 AWS 着陆区连接到 RISE](rise-landing-zone.md)
# Amazon VPC 对等连接
VPC 对等互连 AWS VPCs 使用私 IPv4 有 IPv6 地址实现两者之间的网络连接。实例可以通过同一网络进行通信。有关更多信息,请参阅[什么是 VPC 对等连接?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
在设置 VPC 对等连接之前,您需要创建请求以供 SAP 审批。要成功实现 VPC 对等互连,定义的 IPv4 无类域间路由 (CIDR) 块不得重叠。与 SAP 确认可在 RISE with SAP VPC 中使用的 CIDR 范围。
VPC 对等互 one-on-one连是相互之间的连接 VPCs,不是可传递的。流量无法通过中间 VPC 从一个 VPC 传输到另一个 VPC。您必须设置多个对等连接才能在 RISE 与 SAP VPC 和多个 VPCs对等连接之间建立直接通信。
VPC 对等互连跨 AWS 区域运行。所有区域间流量均经过加密,没有单点故障或带宽瓶颈。流量保持 AWS 在全球网络上,永远不会穿越公共互联网,从而减少了常见漏洞利用和 DDo S 攻击的威胁。
![\[跨多个账户、多个区域的 VPC 对等连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-peering.jpg)
同一可用区内的 VPC 对等连接的数据传输是免费的,跨可用区的数据传输按每 GB“传入数据”和“传出数据”收费。跨区域的 VPC 对等连接的数据传输按每 GB“传出数据”收费。有关更多信息,请参阅 [Amazon EC2 定价](https://aws.amazon.com/ec2/pricing/on-demand/)。在您的 AWS 账户中,使用 SAP 管理的 AWS 账户的可用区 ID 以避免跨可用区数据传输费用。您可以向 SAP 索要该可用区 ID。有关更多信息,请参阅[您的 IDs AWS 资源的可用区](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)。
| |
| --- |
| **定价示例 - 跨可用区的 VPC 对等连接** ![\[跨可用区的 VPC 对等连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-peering-pricing.png) 从 AWS 账户发送的 100GB 数据(由 SAP 通过 VPC Peering 与 AWS 账户对等互连进行管理)由客户管理: AZs 100GB \$1 每 GB 0.01 美元 = 1 美元(出账——计入 AWS 账户 — 由 SAP 管理)和 100GB \$1 每GB 0.01美元 = 1 美元(输入——账单到账户 — 由客户管理) AWS 由于数据传输费用已包含在RISE订阅中,因此由客户管理的 AWS 账户将仅产生流量费用,例如每GB0.01美元。 *[注意:当发件人是 AWS 账户——由客户管理而收款人是账户——由 SAP 管理时,费用示例也适用] AWS * |
| **定价示例 - 跨区域的 VPC 对等连接** *[注意:不同 AWS 地区的费用各不相同。有关更多信息,请参阅:[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[跨区域 VPC 对等连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-peering-across-regions-pricing.png) 1). 从 AWS 账户发送的 100GB 数据(由 SAP 通过 VPC Peering 与 AWS 账户对等互连管理)由跨区域的客户管理。 100GB \$1(每GB 0.01-0.138美元)= 1-13.8美元(出账——账单到账——由 SAP 管理) AWS 由于数据传输费用已包含在RISE订阅中,因此本示例中由客户管理的 AWS 账户不会产生费用。 2). 从 AWS 账户发送的 100GB 数据(由客户通过 VPC Peering 向 AWS 账户管理)由 SAP 跨区域管理。 100GB \$1(每 GB 0.01-0.138 美元)= 1-13.8 美元(已出账——账单到账户 — 由客户管理) AWS 由于数据传输的成本是针对 “数据输出” 计算的,因此本示例将由客户管理的 AWS 账户承担费用。 |
# AWS Transit Gate
AWS Transit Gateway 是连接亚马逊 VPCs的网络交通枢纽。它充当云路由器,通过作为中央通信中心来解决复杂的对等连接设置问题。您只需与 SAP 管理的 AWS 账户建立一次此连接。
**你自己的 AWS 账户中的 Transit Gateway**
要与 SAP 管理的 AWS 账户建立连接,请在 AWS 账户中通过 AWS 资源访问管理器 (RAM) 创建和共享 Tr AWS ansit Gateway。随后,SAP 会创建一个附件,使流量能够流经路由表中的条目。由于 AWS Transit Gateway 位于您的 AWS 账户中,因此您可以保留对流量路由的控制权。有关更多信息,请参阅[中转网关对等连接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html)。
![\[使用 Transit Gateway 实现跨多个账户、多个区域的连接\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-1.png)
**SAP 管理的 AWS 账户中的 Transit Gateway**
当你已经在另一个 AWS 地区拥有 Transit Gateway,并且无法在该地区创建另一个拥有 RISE with SAP AWS 账户的 Transit Gateway 账户时,SAP 可以为 RISE 中的 Transit Gateway 提供将由 SAP 管理的 SAP 账户。您可以通过 Transit Gateway 对等连接实现 Transit Gateway 和由 SAP 管理的 Transit Gateway 之间的通信。您无法将 RISE 环境之 VPCs 外的 VPC 附件连接到 SAP 管理的 Transit Gateway。
对于对等连接附件,每位 Transit Gateway 拥有者需按小时支付与其他 Transit Gateway 的对等连接附件费用,因此,SAP 账户中由 SAP 管理的 Transit Gateway 的对等连接附件(用于区域间 Transit Gateway 对等连接)的每小时费用已包含在 RISE 订阅中。但是,客户账户中由客户管理的 Transit Gateway 对等连接附件的每小时费用由客户支付。有关更多信息,请参阅:[Transit Gateway 定价](https://aws.amazon.com/transit-gateway/pricing/)。
| |
| --- |
| **定价示例-跨不同地区的 Transit VPCs Gateway** *[注意:不同 AWS 地区的费用各不相同。有关更多信息,请参阅:[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[跨越不同地区的 Transi VPCs t Gateway\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-different-regions-pricing.png) 1). 从账户中 X 区域的 VPC 发送的 100GB 数据(由 SAP 通过位于 AWS 账户中的 Transit Gateway 进行管理),由 SAP 管理,发送到位于另一个区域 Y 的对等公交网关,该网关位于该账户中,由客户管理,结尾为 AWS 账户中的 VPC,由客户管理,由客户管理: AWS AWS 100GB \$1 每 GB 0.02 美元 = 2 美元(Transit Gateway 数据处理)\$1 100GB \$1(每 GB 0.01-0.138 美元)= 1-13.8 美元(区域外)= 3-15.8 美元(总计-计入账户 — 由 SAP 管理) AWS 数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中,并且数据传输费用包含在 RISE 订阅中,因此客户管理的 AWS 账户不会为此示例产生数据传输费用。由于从对等互连附件发送到 Transit Gateway 的数据不收取数据处理费,而且入站区域间数据传输费用不收取,因此该 AWS 账户无需支付额外的数据传输费用,由客户管理。由客户管理的 AWS 账户仅按每小时每个 Transit Gateway 对等连接的费用进行计费。从可用区传出的数据将始终通过该可用区的 Transit Gateway 端点送达其他 VPC,因此不会产生跨可用区数据传输费用。 2). 从账户中 Y 区域的 VPC 发送的 100GB 数据(由客户通过位于 AWS 账户中的 Transit Gateway 进行管理),由客户管理,发送到位于不同区域 X 的对等公交网关(由 SAP 管理,结尾为账户中的 VPC),由 SAP 管理,由 SAP 管理,结尾为 AWS 账户中的 VPC,由 SAP 管理: AWS AWS 100GB \$1 每 GB 0.02 美元 = 2 美元(Transit Gateway 数据处理)\$1 100GB \$1(每 GB 0.01-0.138 美元)= 1-13.8 美元(区域外)= 3-15.8 美元(总计-账入账户 — 由客户管理) AWS 数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于 AWS 账户中(由客户管理),因此本示例的所有数据传输费用均由客户管理的 AWS 账户计费。此外,由客户管理的 AWS 账户将按每小时 Transit Gateway 对等连接的费用进行计费。 |
# AWS 直连 Connect 网关
AWS Di@@ [rect Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)是一项全球服务,可让您在本地网络与不同 AWS 地区的多个 Amazon VPCs 之间建立私有连接。此集中式连接中心可让您整合网络架构、降低复杂度,并维持安全且高带宽的连接,同时避免在业务关键型工作负载中使用公共互联网。
** AWS 您自己的 AWS 账户中的 Direct Connect 网关**
要与 SAP 管理的 AWS 账户建立连接,请创建将流量从私有 VIF 路由到 VPC 私有网关的 Di AWS rect Connect 网关。由于 AWS Direct Connect 网关位于您的 AWS 账户中,因此您可以保留对流量路由的控制权。
![\[您自己的账户中的 Direct Connect 网关\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-direct-connect-gateway.png)
当您需要从多个本地站点 and/or 进行连接时,使用多个 AWS 区域进行 RISE 和 SAP(即远程灾难恢复),则可以使用 Direct Connect Gateway 来简化连接
![\[您自己的账户中支持多区域的 Direct Connect 网关\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-direct-connect-gateway-multi-regions.png)
** AWS SAP 管理的 AWS 账户中的 Direct Connect 网关**
如果您不需要拥有和管理 AWS 账户,则可以请求 SAP 提供 Di AWS rect Connect 网关,该网关属于由 SAP 管理的 AWS 账户的一部分。
![\[您自己的账户中支持多区域的 Direct Connect 网关\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-direct-connect-gateway-sap-provided.png)
Di AWS rect Connect 网关本身不收取任何额外费用。你可以从 Di [AWS rect Connect](https://aws.amazon.com/directconnect/faqs/#Direct_Connect_Gateway) 中了解更多信息 FAQs。
# AWS 云广域网
[AWS Cloud WAN](https://aws.amazon.com/cloud-wan/) 是一项托管广域网 (WAN) 服务,旨在简化构建、管理和监控连接云和本地资源的统一全球网络的流程。它使组织能够使用集中控制面板和策略驱动的自动化,将数据中心、分支机构、远程站点和亚马逊虚拟私有云 (VPCs) 集中连接 AWS 全球主干网。有关更多信息,请参阅 [AWS 云 WAN 文档](https://docs.aws.amazon.com/network-manager/latest/cloudwan/what-is-cloudwan.html)。
**在您的 AWS 账户中使用 AWS 云广域网从本地连接到 RISE**
要与 RISE Environment(由 SAP 管理的AWS 账户)建立连接,请通过 AWS 账户中的 AWS 资源访问管理器 (RAM) 创建和共享 AWS Cloud WAN。随后,SAP 将接受共享的 Cloud WAN 并创建 VPC 附件,使流量能够流经路由表中的条目。由于 AWS Cloud WAN 位于您的 AWS 账户中,因此您可以保留对流量路由的控制权。
以下是创建全球云广域网的高级 step-by-step指南:
1. 在 AWS 网络管理器中,创建全局网络和相关的核心网络。
1. 创建核心网络策略 (CNP),用于定义分段、自治系统编号 (ASN) 范围、 AWS 区域和用于附加到分段的标签。
1. 应用该网络策略。
1. 通过资源访问管理器与管理 RISE with SAP 账户的 SAP ECS 共享核心网络。
1. 创建附件并为其添加标签。
1. 更新连接中的路由 VPCs ,使其包含核心网络。
有关更多详细信息,请参与以下文档:
+ [快速入门:创建 AWS 云广域网全球网络和核心网络](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-getting-started.html)
+ [在 C AWS loud WAN 策略版本中配置核心网络设置](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-core-network-config.html)
+ [构建可扩展且安全的多 VPC AWS 网络基础设施 — Cloud WAN](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/aws-cloud-wan.html)
![\[云 WAN\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-cloudwan-01.jpg)
1. **将 AWS Site-to-Site VPN (S2S VPN) 连接到 AWS 云广域网**-创建 Site-to-Site VPN 连接,目标网关类型设置为 “未关联”。您可以通过亚马逊 VPC 控制台在 VPN 连接下为 AWS 云广域网创建 AWS S2S Site-to-Site VPN 附件。创建 AWS S2S VPN 后,您可以[将其连接到 AWS Cloud WAN 核心网络](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-vpn-attachment-add.html)。有关更多信息,请参阅[如何为 AWS 云广域网创建 Site-to-Site VPN 连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/create-cwan-vpn-attachment.html)。
1. **使用 AWS Cloud WAN 连接 AWS Direct Connect 网**关 — 创建带有传输虚拟接口的 Direct Connect 网关,并将云广域网连接到您 AWS 账户中存在的 Direct Connect 网关。有关更多信息,请参阅[将AWS 云 WAN 连接到 Direct Connect 网关](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-global-hybrid-connectivity-with-aws-cloud-wan-and-aws-direct-connect-integration/)。有关为 Direct Connect Gateway 创建中转虚拟接口的详细步骤,您可以参考 AWS 文档-[创建到 Di AWS rect Connect 网关的传输虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-transit-vif-dx.html)。
您可以从[定价文档](https://aws.amazon.com/cloud-wan/pricing/)中估算部署 AWS Cloud WAN 的成本。以下是供您参考的定价示例。
**场景 A. AWS Cloud WAN 连接同一个区域 VPCs 中的两个**
![\[云广域网连接同一个区域 VPCs 中的两个\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-cloudwan-02.jpg)
| |
| --- |
| **定价示例 — AWS Cloud WAN 连接相同区域 VPCs 的两个区域** *[注意:不同 AWS 地区的费用各不相同。有关更多信息,请参阅:[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 账户中从 X 区域的 VPC 发送的 100GB 数据(由 SAP 通过位于 AWS 账户中的云广域网管理)由客户管理的 VPC 终止的客户管理。 AWS 100GB \$1 每 GB 0.02 美元 = 2 美元(云广域网数据处理)(按 AWS 账户计费 — 由 SAP 管理) 除了数据处理外,还会有 AWS 账户上的 VPC 连接成本 — 由 SAP 管理。[云 WAN 定价](https://aws.amazon.com/cloud-wan/pricing/)会因将 SAP VPC 连接到云 WAN 的区域而异。 例如,如果 SAP VPC 在美国东部(弗吉尼亚州北部)区域,美国东部(弗吉尼亚州北部)区域的 VPC 附件费用为每小时 0.065 美元。 0.065 美元 \$1 730 = 47.45 美元(每月固定费用计入账户,由 SAP 管理) AWS 因此,总费用 = 49.45 美元 数据处理和 VPC 连接费用由向 AWS 云广域网发送流量的 VPC 所有者收取。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中,并且数据传输费用包含在 RISE 订阅中,因此客户管理的 AWS 账户不会为此示例产生数据传输和连接费用。 由客户管理的 AWS 账户仅按每小时 VPC 连接的 Cloud WAN 费用计费。从可用区传出的数据将始终通过该可用区的云 WAN 端点送达其他 VPC,因此不会产生跨可用区数据传输费用。 |
**场景 B. AWS Cloud WAN 连接不同区域 VPCs 的两个**
![\[云广域网连接不同区域 VPCs 的两个\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-cloudwan-03.jpg)
| |
| --- |
| **定价示例 — AWS Cloud WAN 连接不同区域 VPCs 的两个** *[注意:不同 AWS 地区的费用各不相同。有关更多信息,请参阅:[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 从 Y 区域的 VPC 向 AWS 账户发送的 100GB 数据(由客户通过 AWS 云广域网管理到 AWS 账户)由不同区域 X 的 SAP 管理。 100GB \$1 每 GB 0.02 美元 = 2 美元(云广域网数据处理)\$1 100GB \$1(每 GB 0.01 美元至 0.138 美元)= 1 美元至 13.8 美元(区域外)= 3 至 15.8 美元(总计-计入账户 — 由客户管理) AWS 数据处理费用由将流量发送到云 WAN 的 VPC 拥有者支付。由于发送方的 VPC 位于 AWS 账户中(由客户管理),因此本示例的所有数据传输费用均由客户管理的 AWS 账户计费。此外,由客户管理的 AWS 账户将按区域 Y 中每小时 VPC 连接的价格计费。X 区域的 VPC 连接费用将由 AWS 账户收取,由 SAP 管理,费用包含在 RISE 订阅中。 |
# 使用您的单一 AWS 账户连接到 RISE
您可以使用您的 AWS 账户在本地和 RISE 之间通过 SAP VPC 建立连接。此方法为您提供更多控制权,但也需要在您的 AWS 账户中管理 AWS 服务。您可采用以下任一方案。
+ AWS Transit Gateway — 与 AWS SAP 管理的账户共享您 AWS 账户中的 T AWS ransit Gateway 资源。
+ AWS 使用 T AWS ransit Gateway 的 IPsec VPN — 通过互联网在远程网络和传输网关之间创建 VPN 连接。有关更多信息,请参阅 [AWS Site-to-Site VPN 的工作原理](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html)和[传输网关 VPN 附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)。
+ Direct Connect 网关 - 创建带中转虚拟接口的 Direct Connect 网关。有关更多信息,请参阅 [Direct Connect 网关的中转网关连接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html)。
要增强安全性,请参阅[如何通过 Di AWS rect Connect 连接建立 AWS VPN?](https://repost.aws/knowledge-center/create-vpn-direct-connect)
下图显示了相同 AWS 区域内的此选项。
![\[单个区域中的连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-own.jpg)
下图显示了不同 AWS 地区的此选项。
![\[跨区域连接示例\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-own-regions.jpg)
当您选择 AWS Site-to-Site VPN 和/或 AWS Direct Connect 使用账户中的 Transit Gateway 在本地和带有 SAP VPC 的 RISE 之间建立连接时,使用 AWS 账户中的 Transit Gateway(由客户管理),与使用 SAP VPC 的 RISE 位于同一 AWS AWS 区域或不同的区域,则适用以下条件。
**每小时费用:**
由于 AWS Site-to-Site VPN 驻留在 AWS 账户中(由客户管理),并与 AWS 账户中的 Transit Gateway 挂钩(由客户管理),因此 VPN 连接费用和 Transit Gateway 连接费用将 AWS 记入账户,由客户管理
由于 Direct Connect 和 Direct Connect Gateway 驻留在 AWS 账户中(由客户管理),由客户管理,因此 AWS 直接连接端口的工时费用和公交网关连接的费用将记入 AWS 账户,由客户管理。 AWS
对于对等连接附件,每位 Transit Gateway 所有者均需按小时支付与另一 Transit Gateway 的对等连接附件费用。
**数据处理费:**
从 VPC、Direct Connect 或 VPN to/via (Transit Gateway)发送的每千兆字节收取数据处理费。
根据来源和目的地,数据处理费用各不相同,将计入由客户管理的 AWS 账户,或者已经包含在RISE订阅中(有关成本估算示例:见下文)
有关更多信息,请参阅:
+ [AWS Site-to-Site VPN 定价](https://aws.amazon.com/vpn/pricing/)
+ [AWS 直接连接定价](https://aws.amazon.com/directconnect/pricing/)
+ [Transit Gateway 定价](https://aws.amazon.com/transit-gateway/pricing/)
| |
| --- |
| **定价示例 — 通过 VPN 或 Direct Connect VPCs 在同一地区的 Transit Gateway** *[注意:不同 AWS 地区的费用各不相同。有关更多信息,请参阅:[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[通过 VPN 或 Direct Connect 进入同一区域的 Transit Gateway VPCs\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-same-regions-via-vpndxc-pricing.png) 1). 从账户中的 VPC 发送的 200GB 数据(由 SAP 通过位于 AWS 账户中的 Transit Gateway 进行管理),由客户通过 VPN 或 AWS 账户中的 Direct Connect 管理,由 SAP 管理到本 AWS 地: 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)\$1 100 GB \$1 每 GB 0.09 美元 = 9 美元(VPN 数据传出,前 100 GB 免费,然后每 GB 0.09 美元)= 13 美元(向账户计费的数据传输总额 — 由 SAP 管理) AWS 或者 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)\$1 200GB \$1(每 GB 0.02-0.19 美元)= 4-38 美元(Direct Connect 数据传出)= 8-42 美元(向账户计费的数据传输总额 — 由 SAP 管理) AWS 数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中,并且数据传输费用包含在 RISE 订阅中,因此在本示例中,由客户管理的 AWS 账户不会产生数据传输费用。 2). 通过账户中的 VPN 或 Direct Connect 从本地发送的 200GB 数据 — 由客户通过位于 AWS 账户中的 Transit Gateway 进行管理 — 由客户管理到 AWS 账户中的 VPC — 由 SAP 管理: AWS 200GB \$1 每GB 0.00美元 = 0 美元(VPN 数据传入)\$1 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)\$1 0 美元(VPN 数据传入)= 4 美元(向账户计费的数据传输总额 — 由客户管理) AWS 或者 200GB \$1 每 GB 0.000 美元 = 0 美元(Direct Connect 数据传入)\$1 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)= 4 美元(计入账户的数据传输总额 — 由客户管理) AWS 数据传输 AWS 是免费的,这也适用于VPN和Direct Connect,因此唯一的数据处理费用是Transit Gateway的数据处理。由于 Transit Gateway 驻留在 AWS 账户中(由客户管理),因此数据传输费用由 AWS 账户收取,由客户管理 |
| **定价示例 — 通过 VPN 或 Direct Connect VPCs 在不同地区的 Transit Gateway** *[注意:不同 AWS 地区的费用各不相同。有关更多信息,请参阅:[Amazon EC2 定价 - 数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)]*。 ![\[通过 VPN 或 Direct Connect 进入不同区域的 Transit Gateway VPCs\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-transit-different-regions-via-vpndxc-pricing.png) 1). 从账户中的 VPC 发送的 200GB 数据 — 由 SAP 通过 AWS 账户内的 Transit Gateway 进行管理 — 由 SAP 管理,与 AWS 账户中不同区域的 Transit Gateway 对等 — 由客户通过 VPN 或 AWS 账户中的 Direct Connect 进行管理 — 由客户管理到本 AWS 地: 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)\$1 200GB \$1(每 GB 0.01-0.138 美元)= 2-27.6 美元(区域外)\$1 100GB \$1 每 GB 0.09 美元 = 9 美元(VPN 数据传输出去,前 100 GB 是免费的,然后是每 GB 0.09 美元)= 15-40.6 美元(向账户计费的数据总额 — 由 SAP 管理) AWS 或者 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)\$1 200GB \$1(每 GB 0.01-0.138 美元)= 2-27.6 美元(区域外)\$1 200GB \$1(每 GB 0.02-0.19 美元)= 4-38 美元(Direct Connect 数据传出)= 10-69.6 美元(计入账户的数据传输总额 — 由 SAP 管理) AWS 数据处理费用由将流量发送到 Transit Gateway 的 VPC 所有者支付。由于发送方的 VPC 位于由 SAP 管理的 AWS 账户中,并且数据传输费用包含在 RISE 订阅中,因此在本示例中,由客户管理的 AWS 账户不会产生数据传输费用。 2). 通过账户中的 VPN 或 Direct Connect 从本地发送的 200GB 数据 — 由客户通过 AWS 账户内的 Transit Gateway 进行管理 — 由客户通过 AWS 账户中不同区域的对等 Transit Gateway 进行管理 — 由 SAP 向 AWS 账户中的 VPC 管理 — 由 SAP 管理: AWS 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)\$1 200GB \$1 每 GB 0.000 美元 = 0 美元(VPN 数据传入)\$1 200GB \$1(每 GB 0.01-0.138 美元)= 2-27.6 美元(向账户计费的数据传输总额 — 由客户管理) AWS 或者 200GB \$1 每 GB 0.02 美元 = 4 美元(Transit Gateway 数据处理)\$1 200GB \$1 每 GB 0.000 美元 = 0 美元(Direct Connect 数据传入)\$1 200GB \$1(每GB 0.01-0.138 美元)= 2-27.6 美元(向账户计费的数据传输总额 — 由客户管理) AWS 数据传输到输入 AWS 是免费的,这也适用于VPN和Direct Connect,因此数据处理费用是Transit Gateway的数据处理费用和区域间数据传输费用。由于 Transit Gateway 位于由客户管理的 AWS 账户中,因此数据传输费用由客户管理的 AWS 账户计费。 |
# 使用共享 AWS 着陆区连接到 RISE
现代 SAP 环境具有多项连接需求。可以通过本地和 AWS 云端以及各种 SaaS 解决方案和其他云服务提供商访问服务。
创建 [AWS 登录区](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html)可为 RISE with SAP 连接建立安全、可扩展且架构完善的基础。它具有以下优势:
+ 通过标准化架构简化了 SAP 网络集成
+ 通过冗余连接方案增强了业务连续性
+ 通过分层网络控制加强了安全态势
+ 集中化管理网络资源与策略
+ 能够在更广泛的 AWS 解决方案中重复使用 [AWS Direct Connect](https://aws.amazon.com/directconnect/) 连接
+ 优化了网络性能,并减少了延迟
+ 通过 AWS 原生服务增强治理
着陆区旨在通过自动设置遵循W [AWS ell Architected](https://aws.amazon.com/architecture/well-architected/) 框架的 AWS 环境来帮助组织实现其云计划。它提供了可扩展性,可以满足所有场景,从最简单的连接(只需要通过SAP连接到本地环境的RISE)到连接多个SaaS解决方案 CSPs 、多个本地连接的复杂需求。
登录区的关键组件及优势包括:
+ **多账户结构** – 通过 [AWS Organizations](https://aws.amazon.com/organizations/) 构建组织良好的层次结构,单独配置用于生产、开发和共享服务的账户,确保明确分离关注点并强化安全边界。
+ **网络架构** ——它建立了一个集中式的 T [AWS ransit Gateway](https://aws.amazon.com/transit-gateway/) 作为网络中心,采用标准化 VPC 配置,将 RISE 和 SAP 账户与其他 AWS 账户连接起来。它还支持与 AWS Direct Connect 和 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/) 集成,在保持网络分段和安全控制的同时,将您的本地与 RISE 连接起来,同时保持网络分段和安全控制。
+ S@@ **ecurity Fram** ework-它通过集中式日志记录和监控实现全面 AWS 的安全服务集成,包括网络防火墙的实施以及身份和访问管理控制。
+ **自动化与管理** - 通过 [AWS Control Tower](https://aws.amazon.com/controltower/) 或 [AWS CDK](https://aws.amazon.com/cdk/) 与[登录区加速器(LZA)](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/)实施基础设施即代码部署,以便在整个环境中实施自动化账户预调配、标准化配置以及一致的策略执行。
+ **日志和监控**-它[AWS 配置包括 Config](https://aws.amazon.com/config/)、[AWS CloudTrail](https://aws.amazon.com/cloudtrail/)、[Amazon](https://aws.amazon.com/guardduty/) 在内的 AWS 服务, GuardDuty用于集中记录、监控和审核资源变更和安全事件。
+ **安全控制**-它通过配置规则、 CloudTrail 跟踪和 Sec AWS urity Hub 标准实施安全最佳实践,同时启用网络防火墙功能。
+ **自定义选项**-它允许根据特定的组织要求进行自定义,包括与现有基础架构的集成以及通过着陆区加速器配置添加 AWS 服务。
我们建议使用带有 SAP 连接的 RISE AWS 着陆区。
**选择您的实施方式**
AWS 提供了两种解决方案,用于通过SAP连接实现RISE的着陆区,每种解决方案都旨在满足不同的组织需求。
AWS Cont@@ [rol Tower 通过其基于控制](https://aws.amazon.com/controltower/)台的界面提供了简化的解决方案,通过标准化控件实现了快速部署。此方式适用于寻求快速实施且需要内置治理与合规控制能力的企业,尤其适合刚开始云之旅或需要简单 SAP 连接的企业。
[着陆区加速器 (LZA)](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/) 通过基础设施即代码扩展了 AWS 控制塔的功能,提供了广泛的自定义和自动化。该解决方案适用于具有复杂的 SAP 联网需求、实施多区域部署或制定了大规模扩展计划的企业。拥有既定 DevOps 实践的组织将受益于 LZA 的配置驱动方法。
这两种解决方案可为 RISE with SAP 连接建立安全且可扩展的基础。选择 Control Tower 可进行快速部署和可视化管理,选择 LZA 可增强自定义与自动化能力。
![\[使用共享登录区连接到 RISE\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/connectivity-rise-landing-zone.png)
**建造着 AWS 陆区**
您可以使用 Cont AWS rol Tower 和 Landing Zone Accelerator 实现 AWS 着陆区,后者为构建安全、可扩展的多账户环境(包括管理和治理服务)提供了自动流程。
有关详细的实施步骤或 LZA, AWS 提供了在 [SAP 开启的情况下为 RISE 构建企业就绪型网络基础的指南](https://aws.amazon.com/solutions/guidance/building-an-enterprise-ready-network-foundation-for-rise-with-sap-on-aws/)。 AWS该指南包含经过验证的架构模式、安全配置以及专为 RISE with SAP 部署设计的操作程序。在一个简单的场景中,着陆区的占地面积最小,侧重于网络连接,而网络连接通常以Tr AWS ansit Gateway为中心。有关更多信息,请参阅 [AWS 登录区](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-migration/aws-landing-zone.html)。
下面是该流程的总体概述:
1. **明确需求** – 了解企业的安全、合规及运维要求。这将帮助确定登录区应包含的适当护栏、控制措施和服务。查看 SAP 企业云服务 (ECS) 团队提供的 AWS 连接问卷。
1. **设计架构** — 规划整体架构,包括账户数量(管理、共享服务、工作负载账户)、网络设计(VPCs、子网、路由)、共享服务(记录、监控、身份管理)和安全控制(IAM、服务控制策略、护栏)。对于 LZA 实施,需规划[配置文件结构](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html)和自定义需求。
1. **设置 C AWS on** trol Tower — Control Tower 可根据最佳实践帮助设置和管理多账户 AWS 环境。它允许您创建和配置新 AWS 帐户,并在这些账户中部署基本安全配置。对于 LZA 实施,这将作为额外自定义设置的基础。
1. **部署着陆区加速器(可选)**-如果实施 LZA,请使用 AWS CDK 或部署安装程序堆栈。[AWS CloudFormation](https://aws.amazon.com/cloudformation/)针对联网、安全和 RISE with SAP 连接要求,实施标准化配置文件。
1. **“配置 AWS 组织**-组织” 使您能够集中管理和管理您的 AWS 帐户。通过创建必要的组织单位 (OUs) 和服务控制策略 (SCPs) 在 Control Tower 中配置组织。对于 LZA 实现,请确保与[配置文件结构 OUs ](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html)保持一致。
1. **部署核心账户与共享服务账户** - 创建并配置核心账户,例如管理账户、共享服务账户(用于日志记录、安全工具部署)以及任何其他所需的共享账户。在共享服务账户中部署共享服务 CloudTrail,例如 Config 和 Sec [AWS urity Hub](https://aws.amazon.com/security-hub/)。
1. **部署网络架构**-设置网络架构,包括子网、路由表和 VPCs中心辐射模型的 Transit Gateway。对于 LZA 实施,请通过[网络配置文件配置](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html) Direct Connect and/or Site-to-Site VPN。如果需要,可加入 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) 设置。
1. **配置 IAM** - 构建 IAM 角色、策略和组,以便控制跨登录区账户的访问和权限。
1. **实施安全控制**-部署安全服务和护栏,例如 Security Hub、Network Fi [re AWS wall](https://aws.amazon.com/network-firewall/) 和 Confi [AWS g](https://aws.amazon.com/config/) 规则。[AWS GuardDuty](https://aws.amazon.com/guardduty/)
1. **配置可观察性和监控**-设置集中式日志和监控解决方案,例如 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 和 AWS Config。[AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
1. 使用 “ AWS 连接问卷” **与 SAP 共享 Transit Gateway 详细信息**。接受传入的中转网关关联请求,并配置 RISE with SAP VPC 与登录区之间的路由。测试连接和失效转移方案。
1. **部署工作负载账户** - 使用登录区部署工作负载账户。为不同的工作负载类型创建单独的 AWS 账户,例如将开发、测试和生产环境分开,或者使用 Amazon Bedrock 的生成式 AI 工作负载,或者使用 Amaz SageMaker on 的数据分析工作负载。
1. **实施操作程序** - 建立监控、提醒和备份程序。编写操作程序文档并实施变更管理流程。考虑到多账户环境的复杂性,以及需要在整个企业内维持一致的安全与操作标准,建议构建自动化测试与验证体系。
1. **自动化和维护**-使用 CloudFormation 模板或 AWS CDK 自动部署和维护。对于 LZA 实施,需要维护配置文件并定期更新 LZA 版本。建立持续维护、更新和合规性检查流程。这包括保留 LZA 版本 up-to-date的最新版本,并定期检查以确保符合安全性和合规性标准。
1. **管理成本** - 监控网络传输成本,优化连接路径并采用成本分配标签。定期检查资源利用率,并配置预算和提醒。
最佳实践:
+ 至少在计划上线前 6-8 周开始实施
+ 实施冗余连接方案以实现高可用性
+ 使用登录区加速器进行标准化部署
+ 遵循 [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) 指南
+ 定期审查并更新安全控制措施
+ 维护文档和操作程序
+ LZA 实施可通过[配置文件](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/using-configuration-files.html)自动执行大部分设置工作。
与客户管理的 AWS 着陆区相关的费用因所使用的 AWS 服务而异。本段所述的 AWS 服务有自己的定价模式。有关价格的更多信息,请参阅所列 AWS 服务的专用定价页面。请参阅 [AWS 定价计算器](https://calculator.aws/#/)以配置符合您业务需求的成本估算。
定期审查并更新登录区配置,确保其持续满足不断变化的业务需求和安全要求。