與 SAP RISE 的連線
在 RISE 內運作並在不同的虛擬網路中執行的 SAP 環境,本文中提供可用的連線選項。
虛擬網路與 SAP RISE/ECS 對等互連
虛擬網路 (vnet) 對等互連是安全連線到兩個虛擬網路之間最高效的方式,全都在專用網位址空間中。 對等互連的網路會顯示為一個用於連線目的,讓應用程式能夠彼此交流。 在不同虛擬網路、訂用帳戶、Azure 租使用者或區域中執行的應用程式可以直接通訊。 與單一虛擬網路上的網路流量一樣,對等互連流量會保留在私人位址空間中,而且不會周游於網際網路。 適用虛擬網路對等互連費用。
針對 SAP RISE/ECS 部署,虛擬對等互連是建立與客戶現有 Azure 環境建立連線能力的慣用方式。 主要優點包括:
- 將 SAP RISE 環境與在 Azure 中執行的應用程式和服務之間的網路等待時間和最大輸送量降到最低。
- SAP RISE 工作負載的專用內部部署通訊路徑不需要額外的複雜度和成本。 請改用現有 Azure 網路中樞的內部部署通訊路徑。
虛擬網路對等互連可以在與 SAP 受控環境相同的區域內設定,但也可以透過任何兩個 Azure 區域之間的全域虛擬網路對等互連。 由於延遲和對等互連成本考慮,許多 Azure 區域中都有可用的 SAP RISE/ECS,區域應該與在客戶虛擬網路中執行的工作負載相符。 不過,某些案例(例如全球目前公司的中央 S/4HANA 部署)也需要全域對等互連網路。 針對這類全域分散的 SAP 環境,建議您在自己的 Azure 環境中使用多區域網路架構,並在每個地理位置本機將 SAP RISE 對等互連連線到您的網路中樞。
下圖顯示典型 SAP 客戶的中樞和輪輻虛擬網路。 跨租使用者虛擬網路對等互連會連線 SAP RISE 和客戶的中樞虛擬網路。
SAP 和客戶虛擬網路都受到網路安全組 (NSG) 的保護,允許透過對等互連在 SAP 和資料庫埠上進行通訊。 對等互連虛擬網路之間的通訊會透過這些 NSG 得到保護,從而限制與客戶 SAP 環境之間的通訊。
由於 SAP RISE/ECS 會在 SAP 的 Azure 租用戶和訂用帳戶中執行,因此需要在不同租用戶之間設定虛擬網路對等互連。 您可以使用 SAP 提供的網路的 Azure 資源識別碼來設定對等互連,並讓 SAP 核准對等互連來完成此設定。 將來自相反Microsoft Entra 租使用者的使用者新增為來賓使用者、接受來賓用戶邀請,並遵循建立虛擬網路對等互連 - 不同訂用帳戶中所述的程式。 請連絡 SAP 代表以取得所需的確切步驟。 請洽詢貴組織內處理網路、使用者管理和架構的個別小組,以快速完成此流程。
VPN vnet 對 vnet
除了虛擬網路對等互連,您也可以在 VPN 閘道之間建立虛擬專用網(VPN)連線,部署在 SAP RISE/ECS 訂用帳戶和客戶所擁有的兩者中。 您可以在這兩個 VPN 閘道之間建立 vnet 對 vnet 連線 ,以在兩個不同的虛擬網路之間快速通訊。 個別的網路和閘道可以位於不同的 Azure 區域中。
下圖顯示典型 SAP 客戶的中樞和輪輻虛擬網路。 位於SAP RISE虛擬網路中的 VPN 閘道會透過 vnet 對 vnet 連線到客戶中樞虛擬網路中包含的閘道。
雖然虛擬網路對等互連是建議且更典型的部署模型,但 VPN vnet 對 vnet 可能會簡化客戶與 SAP RISE/ECS 虛擬網路之間的複雜虛擬對等互連。 VPN 閘道只能作為客戶網路的進入點,並由中央小組管理及保護。 網路輸送量受限於雙方選擇的閘道 SKU。 若要解決復原需求,請確定 區域備援虛擬網路網關 會用於這類連線。
網路安全組對客戶和 SAP 虛擬網路都有效,這與能夠視需要與 SAP NetWeaver 和 HANA 埠通訊的對等互連架構相同。 關於如何設定 VPN 連線,以及應當使用哪些設定的詳細資訊,請連絡您的 SAP 代表。
回歸內部部署的連線能力
透過現有的客戶 Azure 部署,內部部署網路已透過 ExpressRoute (ER) 或 VPN 連線。 相同的內部部署網路路徑一般用於 SAP RISE/ECS 受控工作負載。 慣用的架構是針對此目的使用客戶中現有的 ER/VPN 閘道,而連線的 SAP RISE 虛擬網路則被視為連線到客戶的虛擬網路中樞的輪輻網路。
下圖顯示典型 SAP 客戶的中樞和輪輻虛擬網路。 透過連線來連線至內部部署。 跨租使用者虛擬網路對等互連會將 SAP RISE 虛擬網路連線到客戶的中樞網路。 虛擬網路對等互連已啟用遠端閘道傳輸,可讓SAP RISE 虛擬網路從內部部署存取。
透過此架構,治理客戶工作負載網路連線能力的中央原則和安全性規則也適用於 SAP RISE/ECS 受控工作負載。 客戶和 SAP RISE/ECS 虛擬網路使用相同的內部部署網路路徑。
如果目前沒有 Azure 與內部部署連線能力,請連絡您的 SAP 代表,以取得 RISE 工作負載可能連線模型的詳細數據。 如果 SAP RISE/ECS 直接在 RISE 內建立內部部署,則這類內部部署連線僅適用於連線到 SAP 受控虛擬網路。 SAP RISE 內的這類專用 ExpressRoute 或 VPN 連線無法用來存取客戶自己的 Azure 虛擬網路。
注意
虛擬網路只能有 一個閘道、本機或遠端。 使用遠端閘道傳輸在 SAP RISE 之間建立虛擬網路對等互連後,SAP RISE/ECS 虛擬網路中無法新增任何閘道。 無法將虛擬網路對等互連與遠端閘道傳輸與 SAP RISE/ECS 虛擬網路中的另一個虛擬網路閘道結合在一起。
具有SAP RISE 受控工作負載的虛擬 WAN
類似於使用中樞和輪輻網路架構來連線到 SAP RISE/ECS 虛擬網路和內部部署,Azure 虛擬 Wan (vWAN) 中樞也可用於相同的用途。 RISE 工作負載是連線至 vWAN 網路中樞的輪輻網路。 先前所述的 SAP RISE 的兩個連線選項 – 虛擬網路對等互連,以及 VPN vnet 對 vnet - 都可供 vWAN 使用。
vWAN 網路中樞是由客戶在自己的訂用帳戶中部署和管理。 客戶也會透過 vWAN 網路中樞完全管理內部部署連線和路由,並存取 SAP RISE 對等互連輪輻虛擬網路。
移轉至 SAP RISE 期間的連線能力
將 SAP 環境移轉至 SAP RISE 會在數個月或更長的數個階段中完成。 有些 SAP 環境已移轉,且在有效率地使用中,同時準備其他 SAP 系統以進行移轉。 在大部分的客戶專案中,最大且最重要的系統會在專案中間或結尾移轉。 您必須考慮有充足的頻寬來進行數據遷移或資料庫複寫,而不會影響使用者的網路路徑到已具生產力的 RISE 環境。 已移轉 SAP 系統也可能需要與仍在內部部署或現有服務提供者的 SAP 環境通訊。
在移轉規劃至 SAP RISE 期間,規劃每個階段的 SAP 系統如何連線到您的使用者基底,以及如何路由傳送至 RISE/ECS 虛擬網路的數據。 通常牽涉到多個位置和合作物件,例如現有的服務提供者和數據中心,且與公司網路有連線。 請確定沒有建立 VPN 連線的暫存解決方案,而不考慮在後續階段,SAP 數據會如何針對大部分業務關鍵系統進行移轉。
DNS 與 SAP RISE/ECS 受控工作負載整合
將客戶擁有的網路與雲端式基礎結構整合,並提供順暢的名稱解析概念,是成功專案實作的重要部分。 此圖說明 SAP 擁有的訂用帳戶、虛擬網路和 DNS 基礎結構與客戶局域網路和 DNS 服務的其中一個常見整合案例。 在這類設定中,Azure 中樞或內部部署 DNS 伺服器會保存所有 DNS 專案。 DNS 基礎結構能夠解析來自所有來源 (內部部署用戶端、客戶的 Azure 服務和 SAP 受控環境) 的 DNS 要求。
設計描述和細節:
SAP 擁有虛擬網路的自定義 DNS 組態
RISE/PCE Azure 虛擬網路主機 DNS 伺服器內的兩部 VM
客戶必須提供和委派給 SAP 子域/區域(例如,例如,ecs.contoso.com),以指派名稱,併為執行 SAP 受控環境的虛擬機建立正向和反向 DNS 專案。 SAP DNS 伺服器持有委派區域的主要 DNS 角色
DNS 區域從 SAP DNS 伺服器傳輸到客戶的 DNS 伺服器是從 RISE/PCE 環境複寫 DNS 專案的主要方法。
客戶的 Azure 虛擬網路也會使用自定義 DNS 設定,參考位於 Azure 中樞虛擬網路中的客戶 DNS 伺服器。
或者,客戶可以在其 Azure 虛擬網路內設定私人 DNS 轉寄站。 這類轉寄站接著會將來自 Azure 服務的 DNS 要求推送至以委派區域為目標的 SAP DNS 伺服器(例如 ecs.contoso.com)。
當客戶在其中樞虛擬網路內操作自定義 DNS 解決方案(例如 AD DS 或 BIND 伺服器)時,DNS 區域傳輸適用於設計。
注意
Azure 提供的 DNS 和 Azure 私人區域都不支援 DNS 區域傳輸功能,因此無法用來接受 SAP RISE/PCE/ECS DNS 伺服器的 DNS 複寫。 此外,SAP 通常不支援委派區域的外部 DNS 服務提供者。
SAP 在 Azure 中使用 SAP RISE 在 DNS 實作上發佈了部落格文章,如需詳細資訊,請參閱這裡。
若要進一步閱讀 Azure DNS for SAP 的使用方式,請在使用 SAP RISE/ECS 的使用量之外,請參閱下列部落格文章中的詳細資料。
使用 SAP RISE/ECS 的網際網路輸出和輸入連線
與外部應用程式和介面通訊的 SAP 工作負載可能需要因特網的網路輸出路徑。 同樣地,貴公司的使用者群(例如 SAP Fiori)需要因特網輸入或連入 SAP 環境連線。 針對 SAP RISE 受控工作負載,請與您的 SAP 代表合作,探索這類 HTTPs/RFC/其他通訊路徑的需求。 根據預設,SAP RISE/ECS 客戶不會啟用因特網之間的網路通訊,預設網路只會使用私人 IP 範圍。 網際網路連線能力需要規劃 SAP,才能以最佳方式保護客戶的 SAP 環境。
如果您使用 SAP RISE 啟用因特網系結或連入流量,網路通訊會透過各種 Azure 技術來保護,例如 NSG、ASG、應用程式閘道 搭配 Web 應用程式防火牆 (WAF)、Proxy 伺服器和其他專案,視使用和網路協定而定。 這些服務完全透過 SAP RISE/ECS 虛擬網路和訂用帳戶內的 SAP 來管理。 SAP RISE 來回因特網的網路路徑通常只會保留在 SAP RISE/ECS 虛擬網路內,而且不會從客戶自己的 vnet/s 傳輸至/移出。
客戶自己虛擬網路內的應用程式會直接從個別虛擬網路連線到因特網,或透過客戶的集中管理服務,例如 Azure 防火牆、Azure 應用程式閘道、NAT 閘道等。 從非 SAP RISE/ECS 應用程式連線到 SAP BTP 時,會採用您端相同的網路因特網系結路徑。 如果這類整合需要 SAP Cloud Connecter,請在客戶的 VM 上執行。 換句話說,如果 SAP RISE 工作負載未涉及,SAP BTP 或任何公用端點通訊會位於客戶本身所管理的網路路徑上。
SAP BTP 連線能力
SAP Business Technology Platform (BTP) 提供許多應用程式,通常會透過網際網路和公用IP/主機名稱來存取。 在其 Azure 訂用帳戶中執行的客戶服務會透過設定輸出存取方法來存取 BTP,例如中央防火牆或輸出公用 IP。 不過,某些SAP BTP服務,例如 SAP Data Intelligence,是透過個別的虛擬網路對等互連而不是公用端點進行存取。
SAP 針對源自 BTP 的單向要求,為使用 Azure 上的 SAP BTP 的客戶提供 Private Link 服務 。 SAP Private Link 服務會透過私人 IP 範圍將 SAP BTP 服務連線至客戶的 Azure 網路,因此可透過私人連結服務私下存取,而非透過網際網路存取。 請連絡 SAP 以取得這項服務的 SAP RISE/ECS 工作負載可用性。 在這裡深入瞭解 RISE 的 SAP Private Link 支援。
如需 SAP BTP Private Link 服務和私人連線方法的架構,處理下列 SAP 部落格系列 Azure 的 BTP Private Link 服務使用者入門中的 DNS 和憑證,請參閱下列 SAP 文件和一系列的部落格文章。
使用 SAP RISE 的網路通訊埠
任何可存取客戶虛擬網路的 Azure 服務都可以透過可用的連接埠,與 SAP RISE/ECS 訂用帳戶內執行的 SAP 環境通訊。
SAP RISE/ECS 系統上開放連接埠的圖表。 適用於 BAPI 和 IDoc 的 RFC 連線、適用於 OData 和 Rest/SOAP 的 HTTPS。 ODBC/JDBC,用於直接對 SAP Hana 的資料庫連線。 所有透過專用虛擬網路對等互連的連線。 應用程式閘道具有 https 公用 IP 作為潛在選項,由 SAP 管理。
SAP RISE 中的 SAP 系統可以透過開啟的網路連接埠來存取,由 SAP 設定及開啟以供您使用。 HTTPS、RFC 和 JDBC/ODBC 通訊協定可以透過私人網路位址範圍來使用。 此外,應用程式可以透過公用 IP 上的 HTTPS 存取,由 SAP RISE 受控 Azure 應用程式閘道公開。 如需有關應用程式閘道和 NSG 開啟連接埠的詳細資料和設定,請連絡 SAP。
請參閱將 Azure 服務與 SAP RISE 整合的進一步檔,說明可用的連線如何讓您使用 Azure 服務擴充 SAP 環境。
下一步
參閱文件: