本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 连接的实施步骤
本节更深入地探讨了RISE与SAP和您的本地环境之间的连接的实施步骤(不使用任何客户托管 AWS 帐户)。我们将详细介绍以下两种方案:第一种方案,为关键工作负载创建高弹性部署;第二种方案,为非关键工作负载创建经济高效的替代方案。
对于每种方案,我们将明确说明 SAP 所需的详细信息以及您需要在本地环境中执行的步骤。
## 方案 1:面向关键工作负载的弹性部署
![\[面向关键工作负载的弹性部署\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-option-1-resilience-connectivity.png)
[AWS Direct Connect (DX)](https://aws.amazon.com/directconnect/?nc=sn&loc=0) 有两种连接类型,即[专用](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html)连接和[托管](https://docs.aws.amazon.com/directconnect/latest/UserGuide/hosted_connection.html)。专用 DX 是在客户的私有网络与 AWS之间建立的物理以太网连接,供单个客户专用。托管 DX 是由 [AWS Direct Connect 合作伙伴](https://aws.amazon.com/directconnect/partners/)代表客户预调配的物理以太网连接。参阅 [AWS Direct Connect](https://aws.amazon.com/directconnect/) 自行熟悉该服务。
要为 RISE with SAP 部署设置弹性 Direct Connect 解决方案,请按照以下实施步骤操作:
**先决条件**
配置 Direct Connect 连接前,请确保您的本地网络已准备就绪。这包括:
+ 有关路由器配置的详细指导,请查看有关[使用 AWS Direct Connect 的 BGP](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html) 的 AWS 文档。
+ 使用 MD5 身份验证在路由器上配置边界网关协议 (BGP)。BGP 是使用 Direct Connect 的必备条件。
+ 验证您的网络是否能支持多个 BGP 连接以实现冗余。
**启动设置过程**
首先联系你的 SAP ECS(企业云服务)代表,申请 RISE with SAP on Di AWS rect Connect 设置的 “AWS 连接问卷”。本调查问卷将帮助收集预调配 Direct Connect 连接所需的必要信息。
我们建议您为计划建立的每个 Direct Connect 连接分别填写调查问卷来设置冗余连接,从而实现高可用性。查看 [Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)以了解最佳实践。
**填写 SAP 调查问卷**
填写 AWS 连接调查问卷时,请指定要设置弹性的 Di AWS rect Connect 配置。
在调查问卷中,提供以下有关您的 Direct Connect 连接的详细信息:
+ 该连接是新连接还是专用 Direct Connect 连接
+ 您将使用的 Direct Connect 提供商或合作伙伴
+ 具体的 Direct Connect 区域/位置
+ 所需的 Direct Connect 链路的最小数量
+ 主要 Direct Connect 链路和次要 Direct Connect 链路的子网 CIDR 数据块(采用 /30 CIDR 格式)
+ VLAN ID
+ 本地路由器的自治系统编号(ASN)
+ 本地网络的 IP 地址范围(以便正确配置防火墙)
此外,还应包括有关您的本地路由器的信息,例如品牌、型号和接口详细信息。
将填写完的调查问卷提交给您的 SAP ECS 代表。然后,SAP 将使用这些信息在 AWS上的 RISE with SAP 环境中预调配必要的 Direct Connect 资源。
**SAP 的责任**
在您提交填写完的调查问卷后,SAP 将处理以下任务(以下列表为示例性说明,且仅适用于此场景):
+ 创建虚拟接口(取决于您的 DX 类型:托管还是专用)
+ 创建 Direct Connect 网关
+ 如果您需要 SAP 在 RISE VPC 中预调配 Transit Gateway,请执行以下操作:
+ 设置 Transit Gateway(包括您提供的 ASN)
+ 为 VPC 创建中转网关连接
+ 更新路由表以允许 Transit Gateway 与 RISE with SAP 网络 VPC 进行通信
+ 将 Transit Gateway 与 Direct Connect 网关关联,包括将告知您的网络的 RISE with SAP 网络的 CIDR
**完成设置过程**
收到来自 SAP 的必要信息(例如 VLAN ID、BGP 对 IPs等体和可选的 BGP 身份验证密钥)后,请相应地配置本地路由器。这包括为 Direct Connect 连接设置 VLAN 接口和 BGP。有关详细说明,请参阅有关 Di [rect Connect 路由器配置](https://docs.aws.amazon.com/directconnect/latest/UserGuide/router-configuration.html)的 AWS 文档。
配置 active/active 拓扑:实施路由策略以平衡冗余的 Direct Connect 连接上的流量,利用 BGP 社区或更具体的子网通告来影响从本地网络 AWS 到您的本地网络的路径选择。
**建立和测试连接**
与 SAP 协调,同时为两个 Direct Connect 连接启用 BGP 会话。验证 BGP 路径,并通过模拟其中一个连接故障来测试失效转移场景,确保流量能正常失效转移至另一个连接。
确认两条路径都与 SAP 的 end-to-end连接。您还可以利用 [AWS Direct Connect Resiliency Toolkit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) [执行计划的失效转移测试](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_failover.html)以验证连接的弹性。
**维护连接**
定期检查并根据需要更新 Direct Connect 配置。与 SAP 协同实施所有变更。监控两个连接的性能和可用性,有关最佳实践,请参阅有关[监控 Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-overview.html) 的 AWS 文档。
通过执行这些步骤,您可以建立弹性的 Di AWS rect Connect 解决方案,在开启 SAP 环境的情况下将您的本地基础设施与 RISE 安全地连接 AWS,从而确保高可用性和可靠的网络性能。
## 方案 2:非关键工作负载的经济高效的替代方案
![\[非关键工作负载的经济高效的替代方案\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-option-2-cost-effective-connectivity.png)
一些 AWS 客户更喜欢将一个或多个 Di AWS rect Connect 连接作为其主要连接 AWS,再加上成本较低的备份解决方案。此外,他们可能还需要一种灵活可变的连接,该连接可在全球各地的网络位置之间快速建立或停用。为了实现这些目标,他们可以通过 AWS Site-to-Site VPN 备份实现 AWS Direct Connect 连接。
Site-to-SiteVPN 连接由三个关键组件组成:
1. 虚拟专用网关 (VGW)-旁边的路由器 AWS
1. 客户网关(CGW)- 客户端的路由器
1. 在配置中通过两条安全隧道将 VGW 和 CGW 绑定在一起的 S2S VPN 连接 IPSec active/passive
有关建立 AWS Site-to-Site VPN 连接的深入文档,请参阅 AWS 文档中的 [AWS Site-to-Site VPN 入门](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html)。
**先决条件**
此方法建立在前面的选项 1 中概述的设置弹性 AWS 直接连接解决方案的步骤之上。完成这些 Direct Connect 实施步骤后,您可以添加 Site-to-Site VPN 连接作为故障转移选项。
在配置 Direct Connect 连接时,您可以开始为 VPN 设置准备本地基础架构:
+ 查看有关 Site-to-Site VPN 的 AWS 文档,了解要求和最佳实践。
+ 确保您的防火墙允许 VPN 隧道所需的流量。
+ 确认您有两台客户网关设备或一台能够管理多个 VPN 隧道的设备。
添加 Site-to-Site VPN 连接可为您的主要 Direct Connect 链路提供更快、更灵活的备份。虽然此过程与设置 Direct Connect 的过程类似,但存在几项主要差异。
**启动设置过程**
首先,再次联系您的 SAP ECS 代表,并申请 “AWS 连接问卷”,以便在 AWS 设置时将 AWS Site-to-Site VPN 连接添加到 RISE。告知 SAP,您打算将 VPN 作为 Direct Connect 链路的失效转移方案实施。
**填写 SAP 调查问卷**
这次填写 AWS 连接调查问卷时,请指定除了 Direct Connect 连接之外还要设置 AWS Site-to-Site VPN。
在 AWS 连接调查问卷中,除了为 DX 填写的详细信息外,您还需要提供有关 VPN 连接的以下信息:
+ 客户 VPN 网关详细信息,例如您的客户网关设备的品牌和型号
+ 客户 VPN 网关面向互联网的公有 IP 地址
+ 路由类型(静态/动态)
+ 用于动态路由的 BGP ASN(用于 BGP 的客户网关 ASN。仅支持 16 位 ASN。)
+ BGP 会话 AWS 一侧的 ASN(16 位或 32 位 ASN)
+ 客户端 BGP 对等 IP 地址(如果与提供的 VPN 对等 IP 不同)
+ 第二个公有 IP 地址(可选:仅在使用主动-主动模式时)
+ 客户本地网络 IP 范围
将填好的问卷提交给 SAP。随后,他们将创建 VPN 连接并为您提供配置详细信息。
**SAP 的责任**
在您提交填写完的调查问卷后,SAP 将处理以下任务(以下列表为示例性说明,且仅适用于此场景):
+ 创建客户网关(使用您提供的信息,例如 BGP ASN、IP 地址和可选的私有证书)
+ 创建 AWS Site-to-Site VPN 并使用 SAP Transit Gateway 和你的客户网关将其连接到 RISE
+ 提供 VPN 配置文件供您在本地路由器上设置
+ 如果你需要 SAP 在 RISE VPC 中配置 Transit Gateway,SAP 会将必要的路由添加到 Transit Gateway 路由表并更新安全组
使用从 SAP 处收到的信息,在本地路由器上配置 VPN 隧道。实施路由策略,优先将 Direct Connect 连接而不是 VPN 作为主要路径。
有关必要设置的指导,请参阅有关 Di [rect Connect 路由器配置](https://docs.aws.amazon.com/directconnect/latest/UserGuide/router-configuration.html)的 AWS 文档。
**测试和验证连接**
与 SAP 协调以启用 VPN 连接并验证 end-to-end连通性。通过模拟 Direct Connect 故障来测试失效转移场景,确保流量能正常失效转移至 VPN。
与 SAP 确认,Direct Connect 和 VPN 路径的失效转移都按预期运行。
**维护连接**
定期检查并更新 Direct Connect 和 VPN 连接的配置。与 SAP 协同实施所有变更。
监控两个连接的性能和可用性,有关[最佳实践,请参阅有关监控 Direct Connect 和 VPN 的 AWS](https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-overview.html)文档。
通过实施这款 Direct Connect with Site-to-Site VPN 故障转移解决方案,您可以在开启 SAP 部署的情况下为 RISE 实现高度弹性的连接设置 AWS,从而确保无缝故障转移和可靠的网络性能。