Connessione ivity with SAP RI edizione Standard
Con il panorama applicativo SAP gestito all'interno dell'istanza riservata edizione Standard e in esecuzione in una rete virtuale separata, in questo articolo vengono fornite opzioni di connettività disponibili.
Peering di rete virtuale con SAP RI edizione Standard/ECS
Un peering di rete virtuale (vnet) è il modo più efficiente per connettersi in modo sicuro tra due reti virtuali, tutto in uno spazio di indirizzi di rete privato. Le reti con peering vengono visualizzate come una per scopi di connettività, consentendo alle applicazioni di comunicare tra loro. Le applicazioni in esecuzione in reti virtuali diverse, sottoscrizioni, tenant o aree di Azure possono comunicare direttamente. Come il traffico di rete in una singola rete virtuale, il traffico di peering rimane in uno spazio indirizzi privato e non attraversa Internet.
Per le distribuzioni di SAP RI edizione Standard/ECS, il peering virtuale è il modo migliore per stabilire la connettività con l'ambiente Azure esistente del cliente. I vantaggi principali sono:
- Riduzione al minimo della latenza di rete e velocità effettiva massima tra sap RI edizione Standard orizzontale e applicazioni e servizi in esecuzione in Azure.
- Nessuna complessità e costi aggiuntivi con un percorso di comunicazione locale diverso per SAP RI edizione Standard, usando invece hub di rete di Azure esistenti.
Il peering di rete virtuale può essere configurato all'interno della stessa area dell'ambiente gestito SAP, ma anche tramite il peering di rete virtuale globale tra due aree di Azure. Con SAP RI edizione Standard/ECS disponibile in molte aree di Azure, l'area deve corrispondere al carico di lavoro in esecuzione nelle reti virtuali dei clienti a causa della latenza e delle considerazioni sui costi di peering. Tuttavia, alcuni degli scenari (ad esempio, la distribuzione centrale di S/4HANA per una società presente a livello globale) richiedono anche di eseguire il peering delle reti a livello globale. Per un panorama SAP distribuito a livello globale, è consigliabile usare l'architettura di rete in più aree all'interno dell'ambiente Azure, con SAP RI edizione Standard peering in locale in ogni area geografica agli hub di rete.
Questo diagramma mostra una tipica rete virtuale hub e spoke del cliente SAP. Il peering di reti virtuali tra tenant connette SAP RI edizione Standard e le reti virtuali hub del cliente.
Sia le reti virtuali SAP che le reti virtuali dei clienti sono protette con gruppi di sicurezza di rete (NSG), consentendo la comunicazione sulle porte SAP e di database tramite il peering. La comunicazione tra le reti virtuali con peering viene protetta tramite questi gruppi di sicurezza di rete, limitando la comunicazione da e verso l'ambiente SAP del cliente.
Poiché SAP RI edizione Standard/ECS viene eseguito nel tenant e nelle sottoscrizioni di AZURE di SAP, configurare il peering di rete virtuale tra tenant diversi. A tale scopo, configurare il peering con l'ID risorsa di Azure della rete fornita da SAP e approvare il peering da SAP. Aggiungere un utente dal tenant Microsoft Entra opposto come utente guest, accettare l'invito dell'utente guest e seguire il processo documentato in Creare un peering di rete virtuale - sottoscrizioni diverse. Contattare il rappresentante SAP per i passaggi esatti necessari. Coinvolgere i rispettivi team all'interno dell'organizzazione che gestiscono la rete, l'amministrazione degli utenti e l'architettura per consentire il completamento rapido di questo processo.
Vpn da rete virtuale a rete virtuale
In alternativa al peering di rete virtuale, è possibile stabilire una connessione VPN (Virtual Private Network) tra i gateway VPN, distribuiti sia nella sottoscrizione SAP RI edizione Standard/ECS che nei clienti. È possibile stabilire una connessione da rete virtuale a rete virtuale tra questi due gateway VPN, abilitando la comunicazione rapida tra le due reti virtuali separate. Le rispettive reti e gateway possono risiedere in aree di Azure diverse.
Questo diagramma mostra una tipica rete virtuale hub e spoke del cliente SAP. Il gateway VPN situato nell'istanza riservata di SAP edizione Standard rete virtuale si connette tramite una connessione da rete virtuale a rete virtuale nel gateway contenuto nella rete virtuale hub del cliente.
Anche se il peering di rete virtuale è il modello di distribuzione consigliato e più tipico, una rete virtuale VPN da rete virtuale a rete virtuale può potenzialmente semplificare un peering virtuale complesso tra le reti virtuali SAP RI edizione Standard/ECS. Il Gateway VPN funge solo da punto di ingresso nella rete del cliente ed è gestito e protetto da un team centrale. La velocità effettiva di rete è limitata dallo SKU del gateway scelto su entrambi i lati. Per soddisfare i requisiti di resilienza, assicurarsi che i gateway di rete virtuale con ridondanza della zona vengano usati per tale connessione.
I gruppi di sicurezza di rete sono in vigore sia sulla rete virtuale sap che sul cliente, in modo identico all'architettura di peering, consentendo la comunicazione con le porte SAP NetWeaver e HANA in base alle esigenze. Per informazioni dettagliate su come configurare la connessione VPN e le impostazioni da usare, contattare il rappresentante SAP.
Connessione ivity in locale
Con una distribuzione di Azure del cliente esistente, la rete locale è già connessa tramite ExpressRoute (ER) o VPN. Lo stesso percorso di rete locale viene in genere usato per i carichi di lavoro gestiti da SAP RI edizione Standard/ECS. L'architettura preferita consiste nell'usare ER/Gateway VPN esistenti nel cliente per questo scopo, con la rete virtuale SAP RI edizione Standard connessa come rete spoke connessa all'hub di rete virtuale del cliente.
Questo diagramma mostra una tipica rete virtuale hub e spoke del cliente SAP. Connessione in locale con una connessione. Il peering di reti virtuali tra tenant connette SAP RI edizione Standard rete virtuale alla rete hub del cliente. Il peering di rete virtuale ha il transito del gateway remoto abilitato, consentendo l'accesso alla rete virtuale SAP RI edizione Standard dall'ambiente locale.
Con questa architettura, i criteri centrali e le regole di sicurezza che regolano la connettività di rete ai carichi di lavoro dei clienti si applicano anche ai carichi di lavoro gestiti da SAP RI edizione Standard/ECS. Lo stesso percorso di rete locale viene usato sia per la rete virtuale SAP RI edizione Standard/ECS del cliente.
Se attualmente non è presente la connettività da Azure a locale, contattare il rappresentante SAP per informazioni dettagliate sui modelli di connessioni possibili per il carico di lavoro ri edizione Standard. Se SAP RI edizione Standard/ECS stabilisce l'ambiente locale all'interno dell'istanza riservata edizione Standard direttamente, tale connessione locale è disponibile solo per raggiungere la rete virtuale gestita da SAP. Tale connessione ExpressRoute o VPN dedicata all'interno di SAP RI edizione Standard non può essere usata per accedere alle reti virtuali di Azure del cliente.
Nota
Una rete virtuale può avere un solo gateway, locale o remoto. Con il peering di rete virtuale stabilito tra SAP RI edizione Standard tramite il transito del gateway remoto, non è possibile aggiungere gateway nella rete virtuale SAP RI edizione Standard/ECS. Non è possibile combinare il peering di rete virtuale con il transito del gateway remoto con un altro gateway di rete virtuale nella rete virtuale SAP RI edizione Standard/ECS.
rete WAN virtuale con l'istanza riservata di SAP edizione Standard carichi di lavoro gestiti
Analogamente all'uso di un'architettura di rete hub-spoke con connettività sia alla rete virtuale SAP RI edizione Standard/ECS che all'hub locale, è possibile usare l'hub vWAN (Virtual Wan) di Azure per lo stesso scopo. Ri edizione Standard carico di lavoro è una rete spoke connessa all'hub di rete vWAN. Entrambe le opzioni di connessione a SAP RI edizione Standard descritte in precedenza, il peering di rete virtuale e la rete vpn da rete virtuale a rete virtuale, sono disponibili con vWAN.
L'hub di rete vWAN viene distribuito e gestito dal cliente nella propria sottoscrizione. Il cliente gestisce anche interamente la connessione e il routing locali tramite l'hub di rete vWAN, con accesso a SAP RI edizione Standard rete virtuale spoke con peering.
Connessione ivity durante la migrazione a SAP RI edizione Standard
La migrazione del panorama applicativo SAP a SAP RI edizione Standard viene eseguita in diverse fasi in diversi mesi o più tempo. Alcuni ambienti SAP vengono già migrati e in uso in modo produttivo, mentre si preparano altri sistemi SAP per la migrazione. Nella maggior parte dei progetti dei clienti, i sistemi più grandi e più critici vengono migrati al centro o alla fine del progetto. È necessario prendere in considerazione un'ampia larghezza di banda per la migrazione dei dati o la replica del database e non influire sul percorso di rete degli utenti negli ambienti ri edizione Standard già produttivi. I sistemi SAP già migrati potrebbero anche dover comunicare con il panorama SAP ancora in locale o nel provider di servizi esistente.
Durante la pianificazione della migrazione a SAP RI edizione Standard, pianificare come in ogni fase i sistemi SAP siano raggiungibili per la base utente e come viene instradato il trasferimento dei dati alla rete virtuale RI edizione Standard/ECS. Spesso sono coinvolti più posizioni e parti, ad esempio provider di servizi e data center esistenti con una connessione alla rete aziendale. Assicurarsi che non vengano create soluzioni temporanee con connessioni VPN senza considerare come nelle fasi successive viene eseguita la migrazione dei dati SAP per i sistemi più critici per l'azienda.
Integrazione DNS con carichi di lavoro gestiti da SAP RI edizione Standard/ECS
L'integrazione delle reti di proprietà dei clienti con l'infrastruttura basata sul cloud e la fornitura di un concetto di risoluzione dei nomi trasparente è una parte essenziale di un'implementazione di progetto riuscita. Questo diagramma descrive uno degli scenari di integrazione comuni delle sottoscrizioni di proprietà di SAP, delle reti virtuali e dell'infrastruttura DNS con i servizi DNS e della rete locale del cliente. In questa configurazione, l'hub di Azure o i server DNS locali contengono tutte le voci DNS. L'infrastruttura DNS è in grado di risolvere le richieste DNS provenienti da tutte le origini (client locali, servizi di Azure del cliente e ambienti gestiti SAP).
Descrizione e specifiche della progettazione:
Configurazione DNS personalizzata per le reti virtuali di proprietà di SAP
Due macchine virtuali all'interno dei server DNS dell'istanza riservata edizione Standard/PCE host di rete virtuale di Azure
I clienti devono fornire e delegare a SAP un sottodominio/zona (ad esempio ecs.contoso.com) per assegnare nomi e creare voci DNS in avanti e inversa per le macchine virtuali che eseguono l'ambiente gestito SAP. I server DNS SAP mantengono un ruolo DNS master per la zona delegata
Il trasferimento della zona DNS dal server DNS SAP ai server DNS del cliente è il metodo primario per replicare le voci DNS dall'ambiente RI edizione Standard/PCE.
Le reti virtuali di Azure del cliente usano anche la configurazione DNS personalizzata che fa riferimento ai server DNS dei clienti che si trovano nella rete virtuale dell'hub di Azure.
Facoltativamente, i clienti possono configurare un server d'inoltro DNS privato all'interno delle reti virtuali di Azure. Tale server d'inoltro esegue quindi il push delle richieste DNS provenienti dai servizi di Azure ai server DNS SAP destinati alla zona delegata (ad esempio ecs.contoso.com).
Il trasferimento di zona DNS è applicabile alle progettazioni quando i clienti gestiscono soluzioni DNS personalizzate (ad esempio, server AD DS o BIND) all'interno della rete virtuale hub.
Nota
Sia le zone DNS fornite da Azure che le zone private di Azure non supportano la funzionalità di trasferimento della zona DNS, pertanto non possono essere usate per accettare la replica DNS dai server DNS SAP RI edizione Standard/PCE/ECS. INOLTRE, SAP in genere non supporta provider di servizi DNS esterni per la zona delegata.
SAP ha pubblicato un post di blog sull'implementazione DNS con SAP RI edizione Standard in Azure. Per informazioni dettagliate, vedere qui.
Per altre informazioni sull'utilizzo di DNS di Azure per SAP, all'esterno dell'utilizzo con SAP RI edizione Standard/ECS, vedere i dettagli nel post di blog seguente.
Connessioni Internet in uscita e in ingresso con SAP RI edizione Standard/ECS
I carichi di lavoro SAP che comunicano con applicazioni e interfacce esterne potrebbero richiedere un percorso di uscita di rete a Internet. Analogamente, la base utente dell'azienda (ad esempio, SAP Fiori) richiede un ingresso Internet o connessioni in ingresso al panorama SAP. Per sap RI edizione Standard carichi di lavoro gestiti, collaborare con il rappresentante SAP per esplorare le esigenze per questi percorsi di comunicazione https/RFC/altri. La comunicazione di rete verso/da Internet è per impostazione predefinita non abilitata per i clienti SAP RI edizione Standard/ECS e la rete predefinita usa solo intervalli IP privati. La connettività Internet richiede la pianificazione con SAP per proteggere in modo ottimale il panorama SAP del cliente.
Se si abilita il traffico associato a Internet o in ingresso con SAP RI edizione Standard, la comunicazione di rete è protetta tramite diverse tecnologie di Azure, ad esempio gruppi di sicurezza di rete, gruppi di sicurezza di rete, gateway applicazione con Web Application Firewall (WAF), server proxy e altri in base all'uso e ai protocolli di rete. Questi servizi vengono completamente gestiti tramite SAP all'interno della rete virtuale e della sottoscrizione SAP RI edizione Standard/ECS. Il percorso di rete SAP RI edizione Standard da e verso Internet rimane in genere all'interno della rete virtuale SAP RI edizione Standard/ECS solo e non transita nelle reti virtuali del cliente.
Le applicazioni all'interno della rete virtuale di un cliente si connettono a Internet direttamente dalla rispettiva rete virtuale o tramite i servizi gestiti centralmente del cliente, ad esempio Firewall di Azure, gateway app Azure lication, gateway NAT e altri. Connessione ivity to SAP BTP from non-SAP RI edizione Standard/ECS applications accetta lo stesso percorso associato a Internet di rete sul lato. Se è necessario un Connessione er SAP Cloud per tale integrazione, eseguirlo nelle macchine virtuali del cliente. In altre parole, SAP BTP o qualsiasi comunicazione di endpoint pubblico si trova in un percorso di rete gestito dai clienti stessi se non è coinvolto il carico di lavoro SAP RI edizione Standard.
Connettività SAP BTP
SAP Business Technology Platform (BTP) offre un'ampia gamma di applicazioni a cui si accede in genere tramite IP/nome host pubblico tramite Internet. I servizi del cliente in esecuzione nelle sottoscrizioni di Azure accedono a BTP tramite il metodo di accesso in uscita configurato, ad esempio il firewall centrale o gli INDIRIZZI IP pubblici in uscita. Alcuni servizi SAP BTP, ad esempio SAP Data Intelligence, sono tuttavia accessibili tramite un peering di rete virtuale separato anziché un endpoint pubblico.
SAP offre collegamento privato Servizio per i clienti che usano SAP BTP in Azure. Il servizio SAP collegamento privato connette i servizi SAP BTP tramite un intervallo IP privato nella rete di Azure del cliente e quindi accessibile privatamente tramite il servizio di collegamento privato anziché tramite Internet. Contattare SAP per la disponibilità di questo servizio per i carichi di lavoro SAP RI edizione Standard/ECS.
Vedere la documentazione di SAP e una serie di post di blog sull'architettura dei metodi di connettività di SAP BTP collegamento privato Service e private, sulla gestione di DNS e certificati nella serie di blog SAP Introduzione al servizio BTP collegamento privato per Azure.
Porte di comunicazione di rete con SAP RI edizione Standard
Qualsiasi servizio di Azure con accesso alla rete virtuale del cliente può comunicare con il panorama SAP in esecuzione all'interno della sottoscrizione di SAP RI edizione Standard/ECS tramite le porte disponibili.
Diagramma delle porte aperte in un sistema SAP RI edizione Standard/ECS. Connessioni RFC per BAPI e IDoc, https per OData e Rest/SOAP. ODBC/JDBC per le connessioni dirette al database a SAP HANA. Tutte le connessioni tramite il peering di rete virtuale privata. gateway applicazione con ip pubblico per https come opzione potenziale, gestita tramite SAP.
È possibile accedere al sistema SAP in SAP RI edizione Standard tramite le porte di rete aperte, come configurato e aperto da SAP per l'uso. I protocolli https, RFC e JDBC/ODBC possono essere usati tramite intervalli di indirizzi di rete privati. Inoltre, le applicazioni possono accedere tramite https in un indirizzo IP disponibile pubblicamente, esposte da SAP RI edizione Standard gateway applicazione di Azure gestito. Per informazioni dettagliate e impostazioni per il gateway applicazione e le porte aperte del gruppo di sicurezza di rete, contattare SAP.
Per altre informazioni, vedere Integrazione dei servizi di Azure con SAP RI edizione Standard come la connettività disponibile consente di estendere il panorama applicativo SAP con i servizi di Azure.
Passaggi successivi
Vedere la documentazione:
- Integrazione di Azure con l'istanza riservata di SAP edizione Standard
- Integrazione dei servizi di Azure con SAP RI edizione Standard
- Identità e sicurezza in Azure con l'istanza riservata di SAP edizione Standard
- Peering di rete virtuale
- Integrazione DNS con SAP RI edizione Standard nella guida alla serie di ambienti multicloud - Azure | Blog SAP
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per