共用方式為

SAP RISE 的 連線 性

  • 發行項

在 RISE 內運作並在不同的虛擬網路中執行的 SAP 環境,本文中提供可用的連線選項。

使用 SAP RISE/ECS 的虛擬網路對等互連

虛擬網路 (vnet) 對等互連是安全連線到兩個虛擬網路之間最高效的方式,全都在專用網位址空間中。 對等互連網路會顯示為連線用途,讓應用程式彼此通訊。 在不同虛擬網路、訂用帳戶、Azure 租使用者或區域中執行的應用程式可以直接通訊。 就像單一虛擬網路上的網路流量一樣,對等互連流量會保留在私人地址空間中,而且不會周游因特網。

針對 SAP RISE/ECS 部署,虛擬對等互連是建立與客戶現有 Azure 環境連線的慣用方式。 主要優點包括:

  • 將 SAP RISE 環境與在 Azure 中執行的應用程式和服務之間的網路等待時間和最大輸送量降到最低。
  • SAP RISE 的不同內部部署通訊路徑不需要額外的複雜度和成本,而是使用現有的 Azure 網路中樞。

虛擬網路對等互連可以設定在與 SAP 受控環境相同的區域內,也可以透過 任何兩個 Azure 區域之間的全域虛擬網路對等互連 進行設定。 由於延遲和對等互連成本考慮,許多 Azure 區域中都有可用的 SAP RISE/ECS,區域應該與在客戶虛擬網路中執行的工作負載相符。 不過,某些案例(例如全球目前公司的中央 S/4HANA 部署)也需要全域對等互連網路。 針對這類全域分散的 SAP 環境,建議您在自己的 Azure 環境中使用多區域網路架構,並在每個地理位置本機將 SAP RISE 對等互連連線到您的網路中樞。

Customer peering with SAP RISE/ECS

SAP 和客戶虛擬網路都受到網路安全組 (NSG) 的保護,允許透過對等互連在 SAP 和資料庫埠上進行通訊。 對等互連虛擬網路之間的通訊會透過這些 NSG 保護,限制客戶 SAP 環境的通訊。

由於 SAP RISE/ECS 會在 SAP 的 Azure 租使用者和訂用帳戶中執行,因此請設定不同租使用者之間的虛擬網路對等互連。 您可以使用 SAP 提供的網路的 Azure 資源識別碼來設定對等互連,並讓 SAP 核准對等互連來完成此設定。 將來自相反 Microsoft Entra 租使用者的使用者新增為來賓使用者、接受來賓用戶邀請,並遵循建立虛擬網路對等互連 - 不同訂用帳戶中所述的程式。 請連絡您的 SAP 代表以取得所需的確切步驟。 在組織中與網路、使用者管理和架構打交道的個別小組互動,以便快速完成此程式。

VPN vnet 對 vnet

除了虛擬網路對等互連,您也可以在 VPN 閘道之間建立虛擬專用網(VPN)連線,部署在 SAP RISE/ECS 訂用帳戶和客戶所擁有的兩者中。 您可以在這兩個 VPN 閘道之間建立 vnet 對 vnet 連線 ,以在兩個不同的虛擬網路之間快速通訊。 個別的網路和閘道可以位於不同的 Azure 區域中。

Diagram ofSAP RISE/ECS VPN connection to customer virtual network.

雖然虛擬網路對等互連是建議且更典型的部署模型,但 VPN vnet 對 vnet 可能會簡化客戶與 SAP RISE/ECS 虛擬網路之間的複雜虛擬對等互連。 VPN 閘道 只會作為進入客戶的網路點,並由中央小組管理及保護。 網路輸送量受限於雙方選擇的閘道 SKU。 若要解決復原需求,請確定 區域備援虛擬網路網關 會用於這類連線。

網路安全組對客戶和 SAP 虛擬網路都有效,這與能夠視需要與 SAP NetWeaver 和 HANA 埠通訊的對等互連架構相同。 如需如何設定 VPN 連線以及應該使用哪些設定的詳細資訊,請連絡您的 SAP 代表。

連線 回到內部部署

透過現有的客戶 Azure 部署,內部部署網路已透過 ExpressRoute (ER) 或 VPN 連線。 相同的內部部署網路路徑通常用於 SAP RISE/ECS 受控工作負載。 慣用的架構是針對此目的使用客戶中現有的 ER/VPN 閘道,而連線的 SAP RISE 虛擬網路則被視為連線到客戶的虛擬網路中樞的輪輻網路。

Example diagram of SAP RISE/ECS as spoke network peered to customer's virtual network hub and on-premises.

使用此架構時,控管客戶工作負載網路連線的中央原則和安全性規則也適用於 SAP RISE/ECS 受控工作負載。 客戶和 SAP RISE/ECS 虛擬網路使用相同的內部部署網路路徑。

如果目前沒有 Azure 與內部部署連線能力,請連絡您的 SAP 代表,以取得 RISE 工作負載可能連線模型的詳細數據。 如果 SAP RISE/ECS 直接在 RISE 內建立內部部署,則這類內部部署連線僅適用於連線到 SAP 受控虛擬網路。 SAP RISE 內的這類專用 ExpressRoute 或 VPN 連線無法用來存取客戶自己的 Azure 虛擬網路。

注意

虛擬網路只能有 一個閘道、本機或遠端。 使用遠端閘道傳輸在 SAP RISE 之間建立虛擬網路對等互連後,SAP RISE/ECS 虛擬網路中就無法新增任何閘道。 無法將虛擬網路對等互連與遠端閘道傳輸與 SAP RISE/ECS 虛擬網路中的另一個虛擬網路閘道結合在一起。

具有SAP RISE 受控工作負載的虛擬 WAN

類似於使用中樞和輪輻網路架構來連線到 SAP RISE/ECS 虛擬網路和內部部署,Azure 虛擬 Wan (vWAN) 中樞也可用於相同的用途。 RISE 工作負載是連線至 vWAN 網路中樞的輪輻網路。 先前所述的 SAP RISE 的兩個連線選項 – 虛擬網路對等互連,以及 VPN vnet 對 vnet - 都可供 vWAN 使用。

vWAN 網路中樞是由客戶在自己的訂用帳戶中部署和管理。 客戶也會透過 vWAN 網路中樞完全管理內部部署連線和路由,並存取 SAP RISE 對等互連輪輻虛擬網路。

移轉至 SAP RISE 期間的 連線 性

將 SAP 環境移轉至 SAP RISE 會在數個月或更長的數個階段中完成。 有些 SAP 環境已移轉,且在有效率地使用中,同時準備其他 SAP 系統以進行移轉。 在大部分的客戶專案中,最大且最重要的系統會在專案中間或結尾移轉。 您必須考慮有充足的頻寬來進行數據遷移或資料庫複寫,而不會影響使用者的網路路徑到已具生產力的 RISE 環境。 已移轉的 SAP 系統也可能需要與仍在內部部署或現有服務提供者的 SAP 環境通訊。

在移轉規劃至 SAP RISE 期間,規劃每個階段的 SAP 系統如何連線到您的使用者基底,以及如何路由傳送至 RISE/ECS 虛擬網路的數據。 通常牽涉到多個位置和合作物件,例如現有的服務提供者和數據中心,且與公司網路有連線。 請確定沒有建立 VPN 連線的暫存解決方案,而不考慮在後續階段,SAP 數據會如何針對大部分業務關鍵系統進行移轉。

DNS 與 SAP RISE/ECS 受控工作負載整合

將客戶擁有的網路與雲端式基礎結構整合,並提供順暢的名稱解析概念,是成功專案實作的重要部分。 此圖說明 SAP 擁有的訂用帳戶、虛擬網路和 DNS 基礎結構與客戶局域網路和 DNS 服務的其中一個常見整合案例。 在這類設定中,Azure 中樞或內部部署 DNS 伺服器會保存所有 DNS 專案。 DNS 基礎結構能夠解析來自所有來源的 DNS 要求(內部部署客戶端、客戶的 Azure 服務和 SAP 受控環境)。

Diagram shows customer DNS servers are located both within customer's hub as well as SAP RISE virtual networks, with DNS zone transfer between them.

設計描述和細節:

  • SAP 擁有虛擬網路的自定義 DNS 組態

  • RISE/PCE Azure 虛擬網路主機 DNS 伺服器內的兩部 VM

  • 客戶必須提供和委派給 SAP 子域/區域(例如,例如,ecs.contoso.com),以指派名稱,併為執行 SAP 受控環境的虛擬機建立正向和反向 DNS 專案。 SAP DNS 伺服器會保存委派區域的主要 DNS 角色

  • DNS 區域從 SAP DNS 伺服器傳輸到客戶的 DNS 伺服器是從 RISE/PCE 環境複寫 DNS 專案的主要方法。

  • 客戶的 Azure 虛擬網路也會使用自定義 DNS 設定,參考位於 Azure 中樞虛擬網路中的客戶 DNS 伺服器。

  • 或者,客戶可以在其 Azure 虛擬網路內設定私人 DNS 轉寄站。 這類轉寄站接著會將來自 Azure 服務的 DNS 要求推送至以委派區域為目標的 SAP DNS 伺服器(例如 ecs.contoso.com)。

當客戶在其中樞虛擬網路內操作自定義 DNS 解決方案(例如 AD DS 或 BIND 伺服器)時,DNS 區域傳輸適用於設計。

注意

Azure 提供的 DNS 和 Azure 私人區域都不支援 DNS 區域傳輸功能,因此無法用來接受 SAP RISE/PCE/ECS DNS 伺服器的 DNS 複寫。 此外,SAP 通常不支援委派區域的外部 DNS 服務提供者。

SAP 在 Azure 中使用 SAP RISE 在 DNS 實作上發佈了部落格文章,如需詳細資訊,請參閱這裡。

若要進一步閱讀 SAP 的 Azure DNS 使用量,請在使用 SAP RISE/ECS 的使用量之外,請參閱下列 部落格文章中的詳細數據

使用SAP RISE/ECS的因特網輸出和輸入連線

與外部應用程式和介面通訊的 SAP 工作負載可能需要因特網的網路輸出路徑。 同樣地,貴公司的使用者群(例如 SAP Fiori)需要因特網輸入或連入 SAP 環境連線。 針對 SAP RISE 受控工作負載,請與您的 SAP 代表合作,探索這類 HTTPs/RFC/其他通訊路徑的需求。 根據預設,SAP RISE/ECS 客戶不會啟用因特網之間的網路通訊,預設網路只會使用私人 IP 範圍。 因特網連線需要透過 SAP 進行規劃,才能以最佳方式保護客戶的 SAP 環境。

如果啟用與 SAP RISE 的因特網系結或連入流量,網路通訊會透過各種 Azure 技術來保護,例如 NSG、ASG、應用程式閘道 搭配 Web 應用程式防火牆 (WAF)、Proxy 伺服器和其他專案,視使用和網路協定而定。 這些服務完全透過 SAP RISE/ECS 虛擬網路和訂用帳戶內的 SAP 來管理。 SAP RISE 來回因特網的網路路徑通常只會保留在 SAP RISE/ECS 虛擬網路內,而且不會從客戶自己的 vnet/s 傳輸至/移出。

Diagram shows SAP Cloud Connector VM from SAP RISE virtual network connecting through Internet to SAP BTP. SAP RISE/ECS provides inbound/outbound internet connectivity. Customer's own workloads go through own internet breakout, not crossing over to SAP RISE virtual network

客戶自己虛擬網路內的應用程式會直接從個別虛擬網路或透過客戶的集中管理服務,例如 Azure 防火牆、Azure 應用程式閘道、NAT 閘道等,直接連線到因特網。 從非 SAP RISE/ECS 應用程式對 SAP BTP 的 連線 性會採用您端相同的網路因特網系結路徑。 如果這類整合需要 SAP Cloud 連線 er,請在客戶的 VM 上執行。 換句話說,如果 SAP RISE 工作負載未涉及,SAP BTP 或任何公用端點通訊會位於客戶本身所管理的網路路徑上。

SAP BTP 連線能力

SAP Business Technology Platform (BTP) 提供許多應用程式,通常透過因特網透過公用IP/主機名來存取。 在其 Azure 訂用帳戶中執行的客戶服務會透過設定 的輸出存取方法來存取 BTP,例如中央防火牆或輸出公用 IP。 不過,某些SAP BTP服務,例如SAP資料智慧,是透過 個別的虛擬網路對等互連 而不是公用端點進行存取。

SAP 為使用 Azure 上的 SAP BTP 的客戶提供 Private Link 服務 。 SAP Private Link 服務會透過私人IP範圍將 SAP BTP 服務連線到客戶的 Azure 網路,因此可透過私人連結服務私下存取,而不是透過因特網存取。 請連絡 SAP 以取得 SAP RISE/ECS 工作負載此服務的可用性。

請參閱 SAP 的檔 和一系列部落格文章,以瞭解 SAP BTP Private Link 服務和私人連線方法的架構,以及下列 SAP 部落格系列 開始使用 BTP Private Link Service for Azure 中的 DNS 和憑證。

使用SAP RISE的網路通訊埠

任何可存取客戶虛擬網路的 Azure 服務都可以透過可用的埠,與 SAP RISE/ECS 訂用帳戶內執行的 SAP 環境通訊。

Diagram of SAP's open ports for integration with SAP services

SAP RISE 中的 SAP 系統可以透過開啟的網路埠來存取,如 SAP 所設定及開啟以供您使用。 HTTPs、RFC 和 JDBC/ODBC 通訊協定可以透過專用網位址範圍使用。 此外,應用程式可以透過公用IP上的 HTTPs 存取,而 SAP RISE 受控 Azure 應用程式閘道所公開。 如需應用程式閘道和 NSG 開啟埠的詳細資料和設定,請連絡 SAP。

請參閱將 Azure 服務與 SAP RISE 整合的進一步檔,說明可用的連線如何讓您使用 Azure 服務擴充 SAP 環境。

下一步

請參閱檔案: