الاتصال مع SAP RISE
مع تشغيل مشهد SAP الخاص بك داخل RISE وتشغيله في شبكة ظاهرية منفصلة، في هذه المقالة نقدم خيارات الاتصال المتوفرة.
نظير الشبكة الافتراضية مع SAP RISE / ECS
نظير الشبكة الظاهرية (vnet) هو الطريقة الأكثر أداء للاتصال بأمان بين شبكتين ظاهريتين، كل ذلك في مساحة عنوان شبكة خاصة. تظهر الشبكات النظيرة كواحدة لأغراض الاتصال، مما يسمح للتطبيقات بالتحدث مع بعضها البعض. يمكن للتطبيقات التي تعمل في شبكات ظاهرية مختلفة أو اشتراكات أو مستأجري Azure أو مناطق الاتصال مباشرة. مثل حركة مرور الشبكة على شبكة ظاهرية واحدة، تظل نسبة استخدام الشبكة النظيرة في مساحة عنوان خاصة ولا تعبر الإنترنت.
بالنسبة لعمليات نشر SAP RISE/ECS، يعد النظير الافتراضي الطريقة المفضلة لإنشاء اتصال ببيئة Azure الحالية للعميل. الفوائد الأساسية هي:
- تقليل زمن انتقال الشبكة والحد الأقصى لمعدل النقل بين مشهد SAP RISE والتطبيقات والخدمات الخاصة التي تعمل في Azure.
- لا يوجد تعقيد إضافي وتكلفة إضافية مع مسار اتصال محلي مختلف ل SAP RISE، بدلا من ذلك باستخدام مركز (مراكز) شبكة Azure الحالية.
يمكن إعداد نظير الشبكة الافتراضية داخل نفس المنطقة التي توجد بها بيئة SAP المدارة، ولكن أيضا من خلال نظير الشبكة الافتراضية العالمية بين أي منطقتين من Azure. مع توفر SAP RISE/ECS في العديد من مناطق Azure، يجب أن تتطابق المنطقة مع حمل العمل الذي يعمل في الشبكات الظاهرية للعميل بسبب زمن الانتقال واعتبارات تكلفة التناظر. ومع ذلك، تتطلب بعض السيناريوهات (على سبيل المثال، نشر S/4HANA المركزي لشركة موجودة عالميا) أيضا نظير الشبكات على مستوى العالم. لمثل هذا المشهد SAP الموزع عالميا، نوصي باستخدام بنية شبكة متعددة المناطق داخل بيئة Azure الخاصة بك، مع تناظر SAP RISE محليا في كل جغرافية إلى مراكز الشبكة الخاصة بك.
يعرض هذا الرسم التخطيطي مركز عميل SAP نموذجي وشبكات افتراضية ناطقة. يربط نظير الشبكة الظاهرية عبر المستأجرين SAP RISE والشبكات الظاهرية لمركز العميل.
تتم حماية كل من SAP وشبكة (شبكات) العميل الظاهرية مع مجموعات أمان الشبكة (NSG)، مما يسمح بالاتصال على SAP ومنافذ قاعدة البيانات من خلال التناظر. يتم تأمين الاتصال بين الشبكات الظاهرية النظيرة من خلال مجموعات أمان الشبكة هذه، ما يحد من الاتصال من وإلى بيئة SAP للعميل.
نظرا لأن SAP RISE/ECS يعمل في مستأجر Azure الخاص ب SAP والاشتراكات، قم بإعداد تناظر الشبكة الظاهرية بين المستأجرين المختلفين. يمكنك إنجاز هذا التكوين عن طريق إعداد التناظر مع معرف مورد Azure الخاص بالشبكة المتوفرة من SAP وموافقة SAP على التناظر. أضف مستخدما من مستأجر Microsoft Entra المقابل كمستخدم ضيف، واقبل دعوة المستخدم الضيف واتبع العملية الموثقة في إنشاء شبكة ظاهرية نظيرة - اشتراكات مختلفة. اتصل بممثل SAP الخاص بك للحصول على الخطوات الدقيقة المطلوبة. قم بإشراك الفريق (الفرق) المعني داخل مؤسستك الذي يتعامل مع الشبكة وإدارة المستخدم والبنية لتمكين إكمال هذه العملية بسرعة.
VPN vnet-to-vnet
كبديل لنظير الشبكة الظاهرية، يمكن إنشاء اتصال الشبكة الخاصة الظاهرية (VPN) بين بوابات VPN، ونشرها في كل من اشتراك SAP RISE/ECS وتملك العملاء. يمكنك إنشاء اتصال vnet-to-vnet بين بوابتي VPN هاتين، ما يتيح الاتصال السريع بين الشبكتين الظاهريتين المنفصلتين. يمكن أن تتواجد الشبكات والبوابات المعنية في مناطق Azure مختلفة.
يعرض هذا الرسم التخطيطي مركز عميل SAP نموذجي وشبكات افتراضية ناطقة. تتصل بوابة VPN الموجودة في شبكة SAP RISE الظاهرية من خلال اتصال vnet-to-vnet بالبوابة الموجودة في الشبكة الظاهرية لمركز العميل.
في حين أن تناظر الشبكة الظاهرية هو نموذج النشر الموصى به والأكثر نموذجية، فإن VPN vnet-to-vnet يمكن أن يبسط التناظر الظاهري المعقد بين الشبكات الظاهرية للعميل وSAP RISE/ECS. تعمل بوابة VPN كنقطة دخول فقط إلى شبكة العميل ويتم إدارتها وتأمينها من قبل فريق مركزي. يقتصر معدل نقل الشبكة بواسطة بوابة SKU المختارة على كلا الجانبين. لمعالجة متطلبات المرونة، تأكد من استخدام بوابات الشبكة الظاهرية المكررة في المنطقة لمثل هذا الاتصال.
مجموعات أمان الشبكة سارية المفعول على كل من العميل وشبكة SAP الظاهرية، بشكل مماثل لبنية التناظر التي تمكن الاتصال بمنافذ SAP NetWeaver وHANA كما هو مطلوب. للحصول على تفاصيل حول كيفية إعداد اتصال VPN والإعدادات التي يجب استخدامها، اتصل بممثل SAP الخاص بك.
إمكانية الاتصال مجددًا داخل الشركة
مع توزيع Azure عميل حالي، تكون الشبكة المحلية متصلة بالفعل من خلال ExpressRoute (ER) أو VPN. عادةً ما يتم استخدام نفس مسار الشبكة المحلي لأحمال العمل المدارة من SAP RISE/ECS. البنية المفضلة هي استخدام بوابات ER/VPN الموجودة في العميل لهذا الغرض، مع شبكة SAP RISE الظاهرية المتصلة التي ينظر إليها على أنها شبكة محورية متصلة بمركز الشبكة الظاهرية للعميل.
يعرض هذا الرسم التخطيطي مركز عميل SAP نموذجي وشبكات افتراضية ناطقة. الاتصال إلى أماكن العمل مع اتصال. يربط نظير الشبكة الظاهرية عبر المستأجرين شبكة SAP RISE الظاهرية بشبكة مركز العميل. تم تمكين عبور البوابة عن بعد لنظير الشبكة الظاهرية، مما يتيح الوصول إلى شبكة SAP RISE الظاهرية من أماكن العمل.
باستخدام هذه البنية، تنطبق السياسات المركزية وقواعد الأمان التي تحكم اتصال الشبكة بأعباء عمل العملاء أيضا على أحمال العمل المدارة من SAP RISE / ECS. يتم استخدام نفس مسار الشبكة المحلية لكل من الشبكة الظاهرية لكل من العميل وSAP RISE/ECS.
إذا لم يكن هناك Azure موجود حاليا للاتصال المحلي، فاتصل بممثل SAP للحصول على تفاصيل نماذج الاتصالات الممكنة لحمل عمل RISE. إذا كان SAP RISE/ECS ينشئ محليا داخل RISE مباشرة، فإن هذا الاتصال المحلي متاح للوصول إلى الشبكة الظاهرية المدارة من SAP فقط. لا يمكن استخدام اتصال ExpressRoute أو VPN المخصص هذا داخل SAP RISE للوصول إلى شبكات Azure الظاهرية الخاصة بالعميل.
إشعار
يمكن أن يكون للشبكة الظاهرية بوابة واحدة فقط، محلية أو بعيدة. مع تأسيس تناظر الشبكة الظاهرية بين SAP RISE باستخدام النقل عن بعد للبوابة، لا يمكن إضافة أي بوابات في الشبكة الظاهرية SAP RISE/ECS. لا يمكن الجمع بين تناظر الشبكة الظاهرية والبوابة البعيدة مع بوابة شبكة ظاهرية أخرى في الشبكة الظاهرية SAP RISE/ECS.
شبكة WAN الظاهرية مع أحمال عمل SAP RISE المدارة
على غرار استخدام بنية شبكة محورية ومركزية مع الاتصال بكل من شبكة SAP RISE/ECS الظاهرية والشبكات المحلية، يمكن استخدام مركز Azure Virtual Wan (vWAN) لنفس الغرض. حمل عمل RISE هو شبكة محورية متصلة بمركز شبكة vWAN. يتوفر خيارا الاتصال ب SAP RISE الموضحين سابقا - تناظر الشبكة الظاهرية بالإضافة إلى VPN vnet-to-vnet - مع vWAN.
يتم نشر مركز شبكة vWAN وإدارته بواسطة العميل في الاشتراك الخاص. يدير العميل أيضا الاتصال والتوجيه المحليين بالكامل من خلال مركز شبكة vWAN، مع الوصول إلى شبكة SAP RISE الظاهرية المتناظرة.
الاتصال أثناء الترحيل إلى SAP RISE
يتم ترحيل مشهد SAP الخاص بك إلى SAP RISE في عدة مراحل على مدى عدة أشهر أو أكثر. يتم ترحيل بعض بيئات SAP الخاصة بك بالفعل وفي استخدامها بشكل منتج، أثناء إعداد أنظمة SAP الأخرى للترحيل. في معظم مشاريع العملاء، يتم ترحيل أكبر الأنظمة وأكثرها أهمية في منتصف المشروع أو في نهايته. تحتاج إلى التفكير في وجود نطاق ترددي وافر لترحيل البيانات أو النسخ المتماثل لقاعدة البيانات، وعدم التأثير على مسار شبكة المستخدمين إلى بيئات RISE المنتجة بالفعل. قد تحتاج أنظمة SAP التي تم ترحيلها بالفعل أيضا إلى الاتصال بمشهد SAP الذي لا يزال محليا أو لدى موفر الخدمة الحالي.
أثناء تخطيط الترحيل إلى SAP RISE، خطط لكيفية الوصول إلى أنظمة SAP في كل مرحلة لقاعدة المستخدم وكيفية توجيه نقل البيانات إلى الشبكة الظاهرية RISE/ECS. غالبا ما تشارك مواقع وأطراف متعددة، مثل موفر الخدمة الحالي ومراكز البيانات ذات الاتصال الخاص بشبكة شركتك. تأكد من عدم إنشاء حلول مؤقتة مع اتصالات VPN دون النظر في كيفية ترحيل بيانات SAP في المراحل اللاحقة للأنظمة الأكثر أهمية للأعمال.
تكامل DNS مع أحمال العمل المدارة من قبل SAP RISE/ECS
يعد تكامل الشبكات المملوكة للعملاء مع البنية الأساسية المستندة إلى السحابة وتوفير مفهوم سلس لتحليل الاسم جزءا حيويا من تنفيذ المشروع الناجح. يصف هذا الرسم التخطيطي أحد سيناريوهات التكامل الشائعة للاشتراكات المملوكة ل SAP والشبكات الظاهرية والبنية الأساسية ل DNS مع الشبكة المحلية للعميل وخدمات DNS. في مثل هذا الإعداد، يحتفظ مركز Azure أو خوادم DNS المحلية بجميع إدخالات DNS. بنية DNS الأساسية قادرة على حل طلبات DNS القادمة من جميع المصادر (العملاء المحليين وخدمات Azure الخاصة بالعميل والبيئات المُدارة بواسطة SAP).
وصف التصميم وتفاصيله:
تكوين DNS مخصص للشبكات الظاهرية المملوكة ل SAP
جهازان ظاهريان داخل خوادم DNS لمضيف الشبكة الظاهرية ل RISE/PCE Azure
يجب على العملاء توفير وتفويض نطاق فرعي/منطقة ل SAP (على سبيل المثال، ecs.contoso.com المثال) لتعيين الأسماء وإنشاء إدخالات DNS للأمام والعكس للأجهزة الظاهرية التي تقوم بتشغيل بيئة SAP المدارة. تحتفظ خوادم SAP DNS بدور DNS رئيسي للمنطقة المفوضة
نقل منطقة DNS من خادم SAP DNS إلى خوادم DNS للعميل هو الأسلوب الأساسي لنسخ إدخالات DNS من بيئة RISE/PCE.
تستخدم شبكات Azure الظاهرية للعميل أيضا تكوين DNS مخصصا يشير إلى خوادم DNS للعميل الموجودة في الشبكة الظاهرية لمركز Azure.
اختياريا، يمكن للعملاء إعداد معاد توجيه DNS خاص داخل شبكات Azure الظاهرية الخاصة بهم. ثم يدفع معيد التوجيه هذا طلبات DNS الواردة من خدمات Azure إلى خوادم SAP DNS التي تستهدف المنطقة المفوضة (مثال ecs.contoso.com).
ينطبق نقل منطقة DNS على التصميمات عندما يقوم العملاء بتشغيل حل DNS مخصص (على سبيل المثال، AD DS أو خوادم BIND) داخل شبكتهم الظاهرية المركزية.
إشعار
لا تدعم كل من مناطق DNS وAzure الخاصة المقدمة من Azure إمكانية نقل منطقة DNS، وبالتالي، لا يمكن استخدامها لقبول النسخ المتماثل لنظام أسماء النطاقات من خوادم SAP RISE/PCE/ECS DNS. بالإضافة إلى ذلك، لا يدعم SAP عادة موفري خدمة DNS الخارجيين للمنطقة المفوضة.
نشرت SAP منشور مدونة حول تنفيذ DNS باستخدام SAP RISE في Azure، راجع هنا للحصول على التفاصيل.
لمزيد من القراءة حول استخدام Azure DNS ل SAP، خارج الاستخدام مع SAP RISE/ECS راجع التفاصيل في منشور المدونة التالي.
اتصالات الإنترنت الصادرة والواردة مع SAP RISE/ECS
قد تتطلب أحمال عمل SAP التي تتصل بالتطبيقات والواجهات الخارجية مسار خروج الشبكة إلى الإنترنت. وبالمثل، تحتاج قاعدة مستخدمي شركتك (على سبيل المثال، SAP Fiori) إلى دخول الإنترنت أو اتصالات واردة إلى مشهد SAP. بالنسبة لأحمال العمل المدارة من SAP RISE، اعمل مع ممثل SAP لاستكشاف احتياجات مسارات الاتصال https/RFC/الأخرى. لا يتم تمكين اتصال الشبكة من/إلى الإنترنت افتراضيا لعملاء SAP RISE/ECS وتستخدم الشبكات الافتراضية نطاقات IP الخاصة فقط. يتطلب الاتصال بالإنترنت التخطيط باستخدام SAP، لحماية مشهد SAP الخاص بالعميل على النحو الأمثل.
إذا قمت بتمكين نسبة استخدام الشبكة المرتبطة بالإنترنت أو الواردة باستخدام SAP RISE، فإن اتصال الشبكة محمي من خلال تقنيات Azure المختلفة مثل NSGs وASGs وبوابة التطبيق مع جدار حماية تطبيق الويب (WAF) والخوادم الوكيلة وغيرها اعتمادا على الاستخدام وبروتوكولات الشبكة. تتم إدارة هذه الخدمات بالكامل من خلال SAP داخل الشبكة الظاهرية SAP RISE/ECS والاشتراك. مسار الشبكة SAP RISE من وإلى الإنترنت يبقى عادة داخل الشبكة الظاهرية SAP RISE/ECS فقط ولا يمر عبر/من شبكة (شبكات) vnet الخاصة بالعميل.
تتصل التطبيقات داخل الشبكة الظاهرية الخاصة بالعميل بالإنترنت مباشرة من الشبكة الظاهرية المعنية أو من خلال الخدمات المدارة مركزيا للعميل مثل Azure Firewall وAzure Application Gateway وبوابة NAT وغيرها. الاتصال إلى SAP BTP من تطبيقات غير SAP RISE/ECS تأخذ نفس مسار ربط الإنترنت بالشبكة من جانبك. إذا كانت هناك حاجة الاتصال SAP Cloud لمثل هذا التكامل، فقم بتشغيله على الأجهزة الظاهرية للعميل. بمعنى آخر، يكون SAP BTP أو أي اتصال نقطة نهاية عامة على مسار شبكة يديره العملاء أنفسهم إذا لم يكن حمل عمل SAP RISE مضمنا.
اتصال SAP BTP
يوفر SAP Business Technology Platform (BTP) العديد من التطبيقات التي يتم الوصول إليها عادة من خلال IP/hostname العام عبر الإنترنت. تصل خدمات العملاء التي تعمل في اشتراكات Azure الخاصة بهم إلى BTP من خلال طريقة الوصول الصادرة المكونة، مثل جدار الحماية المركزي أو عناوين IP العامة الصادرة. ومع ذلك، يتم الوصول إلى بعض خدمات SAP BTP، مثل SAP Data Intelligence، من خلال التصميم من خلال تناظر شبكة ظاهرية منفصلة بدلا من نقطة نهاية عامة.
يوفر SAP Private Link Service للعملاء الذين يستخدمون SAP BTP على Azure. تعمل خدمة SAP Private Link على توصيل خدمات SAP BTP من خلال نطاق IP خاص بشبكة Azure الخاصة بالعميل، وبالتالي يمكن الوصول إليها مع حفظ الخصوصية من خلال خدمة الارتباط التشعبي بدلاً من الإنترنت. اتصل ب SAP لتوفر هذه الخدمة لأحمال عمل SAP RISE/ECS.
راجع SAP's documentation وسلسلة من منشورات المدونات حول بنية خدمة الارتباط الخاص SAP BTP وطرق الاتصال الخاصة، التي تتعامل مع DNS والشهادات في سلسلة مدونات SAP التالية Getting Started with BTP Private Link Service for Azure.
منافذ اتصال الشبكة باستخدام SAP RISE
يمكن لأي خدمة Azure مع الوصول إلى الشبكة الظاهرية للعميل الاتصال بمشهد SAP الذي يعمل ضمن اشتراك SAP RISE/ECS عبر المنافذ المتاحة.
رسم تخطيطي للمنافذ المفتوحة على نظام SAP RISE/ECS. اتصالات RFC ل BAPI وIDoc وhttps ل OData وRest/SOAP. ODBC / JDBC لاتصالات قاعدة البيانات المباشرة بـ SAP Hana. جميع الاتصالات من خلال تناظر الشبكة الظاهرية الخاصة. بوابة التطبيق مع IP العام لـ https كخيار محتمل، تتم إدارتها من خلال SAP.
يمكن الوصول إلى نظام SAP الخاص بك في SAP RISE من خلال منافذ الشبكة المفتوحة، كما تم تكوينه وفتحه بواسطة SAP لاستخدامك. يمكن استخدام بروتوكولات https وRFC وJDBC/ODBC من خلال نطاقات عناوين الشبكة الخاصة. بالإضافة إلى ذلك، يمكن للتطبيقات الوصول من خلال https على IP متاح للجمهور، يتم عرضه بواسطة بوابة تطبيق Azure المدارة من SAP RISE. للحصول على تفاصيل وإعدادات لبوابة التطبيق ومنافذ NSG المفتوحة، اتصل ب SAP.
راجع المزيد من المستندات دمج خدمات Azure مع SAP RISE كيف يسمح لك الاتصال المتاح بتوسيع مشهد SAP الخاص بك مع خدمات Azure.
الخطوات التالية
تحقق من الوثائق: