Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

连接

您必须在运行 RISE with SAP 解决方案的 Amazon 云和本地数据中心之间建立连接。您还需要连接以实现直接数据传输（以避免通过本地位置路由数据），以及在 SAP 系统和 Amazon 云上运行的应用程序之间进行通信。下图提供了使用 SAP VPC 与 RISE 连接的示例概述。

有关更多详细信息，请参阅以下主题：

建立与 RISE 的连接的角色和责任

在 RISE with SAP 的领导下，SAP 企业云服务 (ECS) 团队管理 SAP S/4HANA 私有云环境。SAP 提供的补充条款和条件中有一个关于排除任务的部分。您负责运行此类任务。您也可以使用第三方服务提供商为您管理排除的任务。有关更多详细信息，请参阅 SAP 产品政策。

使用 SAP 部署 RISE 所需的主要任务是在开启 SAP VPC 的情况下建立与 RISE 的网络连接 Amazon。根据RISE与SAP的协议，你负责建立与RISE的连接。

我们建议您花点时间了解有关如何在开启 SAP VPC 的情况下将您的本地网络和/或现有网络连接 Amazon Web Services 账户 到 RISE 的可用选项 Amazon。请查看后续章节以了解更多信息。

从本地网络连接到 RISE

使用 Amazon VPN 或 Amazon Direct Connect 或两者的组合支持在开启 SAP 的情况下 Amazon 从本地连接到 RISE。

使用 SAP VPC 连接到 RISE Amazon VPN

允许使用Amazon 站点到站点 VPN 通过 SAP VPC 从 RISE 访问您的远程网络。 Amazon 云端和您的本地位置之间的流量通过互联网协议安全 (IPsec) 进行加密，并通过互联网上的安全隧道进行传输。与之相比，此选项高效、快速，且成本更优化。 Amazon Direct Connect有关更多信息，请参阅使用将您的 VPC 连接到远程网络 Amazon Virtual Private Network。

每个 VPN 隧道最多可以获得 1.25 Gbps 的带宽。有关更多信息，请参阅站点到站点 VPN 配额。

要超越单个 VPN 隧道吞吐量 1.25 Gbps 的默认最大限制，请参阅如何使用与传输网关关联的多个站点到站点 VPN 隧道实现 ECMP 路由？

使用此选项时，SAP 需要以下详细信息：

您可以从本地 VPN 设备获取这些详细信息。

使用 SAP VPC 连接到 RISE Amazon Direct Connect

Amazon Direct Connect 如果您需要比基于 Internet 的连接更高的吞吐量和更稳定的网络体验，请使用。 Amazon Direct Connect 通过标准的以太网光纤电缆将您的内部网络链接到 Di Amazon rect Connect 位置。您可以为公共 Amazon 服务创建虚拟接口。例如，您可以创建与 Amazon S3 或 Amazon VPC 的接口，同时绕过网络路径中的互联网服务提供商。有关更多信息，请参阅Amazon Direct Connect 连接。

您可以选择专用于单个客户的 1 Gbps、10 Gbps 或 100 Gbps 以太网端口的专用连接，也可以选择 Amazon Direct Connect 合作伙伴的托管连接（合作伙伴已与云建立网络链接）。 Amazon 托管连接的可用速度从 50 Mbps 到 10 Gbps 不等。您可以从获准支持此模式的 Amazon Direct Connect 交付合作伙伴那里订购托管连接。有关更多信息，请参阅 Amazon Direct Connect 交付合作伙伴。

要进行连接，请使用由 SAP Amazon Web Services 账户 管理的虚拟专用网关或与 SAP Amazon Web Services 账户 管理的虚拟专用网关 Amazon Web Services 账户 关联的 Direct Connect 网关。有关更多信息，请参阅 Direct Connect 网关。Direct Connect 网关也可以连接到 Amazon Transit Gateway. 有关更多信息，请参阅 使用您的单曲连接到 RISE Amazon Web Services 账户。

您必须获得 SAP 的授权书才能在 SAP Amazon Web Services 账户 管理的中 Amazon Direct Connect 建立连接。

从你的连接到 RISE Amazon Web Services 账户

您可以通过以下方式从您的 Amazon Web Services 账户 连接到 RISE。

Amazon VPC 对等连接

VPC 对等互连支持使用私有 IPv4 和 IPv6 地址在两 Amazon 个 VPC 之间建立网络连接。实例可以通过同一个网络进行通信。有关更多信息，请参阅什么是 VPC 对等连接？

在设置对等连接之前，您需要创建申请 SAP 批准。要成功实现 VPC 对等互连，定义的 IPv4 无类域间路由 (CIDR) 块不得重叠。请向 SAP 查询，了解可以在 RISE 和 SAP VPC 中使用的 CIDR 范围。

VPC 对等互 one-on-one 连是 VPC 之间的连接，不是可传递的。流量无法通过中间 VPC 从一个 VPC 传输到另一个 VPC。您必须设置多个对等连接才能在 RISE 与 SAP VPC 和多个 VPC 之间建立直接通信。

VPC 对等互连跨平台起作用。 Amazon Web Services 区域所有区域间流量都经过加密，没有单点故障或带宽瓶颈。流量保持 Amazon 在全球网络上，永远不会穿越公共互联网，从而减少了常见漏洞利用和 DDoS 攻击的威胁。在虚拟网络层使用 AES-256 加密对流量进行加密。

可用区内 VPC 对等互连的数据传输是免费的，跨可用区域的数据传输按每 GB 收费。有关更多信息，请参阅 Amazon EC2 定价。在您的中 Amazon Web Services 账户，使用由 SAP Amazon Web Services 账户 管理的可用区 ID 来避免跨可用区数据传输费用。您可以向 SAP 索要可用区 ID。有关更多信息，请参阅您的 Amazon 资源的可用区 ID。

Amazon Transit Gateway

Amazon Transit Gateway 是用于互连 Amazon VPC 的网络传输中心。它充当云路由器，通过充当中央通信中心来解决复杂的对等互连设置问题。您只需与由 SAP Amazon Web Services 账户 管理的连接建立一次即可。

Transit Gateway 自己动手 Amazon Web Services 账户

要与由 SAP Amazon Web Services 账户 管理的 SAP 建立连接，请在 Amazon Transit Gateway 中创建并共享 Amazon Web Services 账户。然后，SAP 会创建一个附件，使流量能够流经路由表中的条目。正如您 Amazon Transit Gateway 所在的那样 Amazon Web Services 账户，您可以保留对流量路由的控制。

要实现跨区域对等互连 Amazon Transit Gateway ，请连接由 SAP Amazon Web Services 账户 管理 Amazon Transit Gateway 的不同区域。 Amazon Web Services 账户 Amazon Transit Gateway 在 SAP Amazon Web Services 账户 管理中，目前仅限于跨区域对等互连。有关更多信息，请参阅 T ransit 网关对等连接附件。

Transit Gateway 由 SAP Amazon Web Services 账户 管理

如果你已经在另一个 Amazon 地区拥有公交网关，并且无法在使用 SAP 的 RISE 的地区创建另一个 Amazon Web Services 账户 公交网关，那么 SAP 可以通过 SAP 账户提供 RISE 中的 Transit Gateway。此账户及其中的 Transit Gateway 均由 SAP 管理。这使您能够通过 Transit Gateway Amazon Web Services 账户 和 SAP 管理的 Transit Gateway 在您自己的账户与 RISE with SAP 账户之间建立跨区域通信。您无法将 RISE 环境之外的 VPC 的 VPC 附件连接到 SAP 管理的 Transit Gateway。

使用您的单曲连接到 RISE Amazon Web Services 账户

您可以使用自己的 SAP VPC 在本地和 RISE 之间建立连接 Amazon Web Services 账户。此方法为您提供了更多的控制权，但也需要在中管理 Amazon 服务 Amazon Web Services 账户。您可以使用以下任一选项。

下图显示了同一 Amazon 区域内的此选项。

下图显示了不同 Amazon 地区的此选项。

使用共享 Amazon 着陆区连接到 RISE

现代 SAP 环境有多种连接要求。可以通过本地和 Amazon 云端以及各种 SaaS 解决方案和其他云服务提供商访问服务。

创建 Amazon 着陆区有助于 RISE 与 SAP 的安全且可扩展的连接。它具有以下好处：

着陆区旨在通过自动设置遵循W Amazon ell Architected 框架的 Amazon 环境来帮助组织实现其云计划。它提供了可扩展性，可以满足所有场景，从最简单的连接（只需要通过SAP连接到本地环境的RISE），到需要连接到多个 SaaS 解决方案、多个 CSP 和本地连接的复杂需求。

着陆区的关键组成部分和优势包括：

我们建议使用带有 SAP 连接的 RISE Amazon 着陆区。

建造着 Amazon 陆区

您可以使用实现 Amazon 着陆区Amazon Control Tower。它提供了建造着陆区的自动化流程，包括管理和治理服务。

在一个简单的场景中，着陆区所包含的占地面积最小，侧重于通常以连接为中心 Amazon Transit Gateway。有关更多信息，请参阅着陆区。

以下是该过程的总体概述：

Amazon 专业服务或Amazon 合作伙伴通过SAP为RISE建立和维护着陆区（Landing zone）提供帮助。

通过最近的 Amazon Direct Connect POP（包括 Amazon 本地区域）连接 RISE

Amazon Direct Connect Point of Presence (POP) 是一种物理交叉连接，允许用户建立从其场所到 Amazon Web Services 区域 或 Amazon 本地区域的网络连接。您可以使用位于 Amazon 本地区域的最近的 Direct Connect POP，通过在父区域上运行的 SAP VPC，从更低的网络延迟中受益 Amazon Web Services 区域。有关更多信息，请参阅Amazon 本地区域的流Amazon Direct Connect 量。

以下是一个示例场景-您居住在菲律宾，并且您想在 Amazon 新加坡地区部署带有 SAP 的 RISE。你可以在马尼拉使用 Direct Connect POP 从本地数据中心或办公室设置 Direct Connect。与直接连接到新加坡 Amazon 地区相比，该策略提供了更低的网络延迟。

下图显示了通过最近的 Amazon Direct Connect POP 进行的 RISE 连接。

以下是使用 Amazon Direct Connect POP 时的一些注意事项：

如果弹性至关重要，请使用 SAP VPC 设置与 Amazon Web Services 区域 正在运行的 RISE 的二级 Direct Connect。使用 Amazon 站点到站点 VPN 来获得成本更优 Amazon Web Services 区域 化的连接选项。这些服务在父级内部运行 Amazon Web Services 区域，可作为备用连接选项，确保在出现中断或故障时不间断连接。

连接到 RISE 的决策树

您必须建立所需的连接才能在 SAP 开启的情况下继续 RISE Amazon。以下是前几节中描述的几种连接模式：

您还必须考虑是否要连接：

下图中显示的决策树可帮助您根据自己的需求（例如未来计划中的额外账户 Amazon 或 RISE 帐户、专线（安全、性能）和带宽需求，来决定哪种连接是合适的。

其他考虑因素

本节提供有关连接到 RISE 时其他注意事项的信息。

开启 RISE 的 SAP 商业技术平台 (BTP) Amazon

你可以使用 SAP Business Technology Platf Amazon orm BTP 服务，通过 SAP 扩展 RISE 的功能。SAP 建议 SAP Cloud Connector 通过互联网将 RISE 与 SAP VPC 与 SAP BTP 连接 当 RISE with SAP 和 SAP BTP 都运行时 Amazon，网络流量将被加密并包含 Amazon 在全球网络中，无需通过互联网（参见下图）。这为RISE与SAP和SAP BTP之间的任何集成用例提供了更好的安全性和性能。有关更多信息，请参阅 Amazon VPC 常见问题。

如上图所示，您可以将 Transit Gateway 配置为同时处理 RISE 和 BTP 网络流量。有关更多信息，请参阅如何通过 Amazon VPC 从本地路由互联网流量？

SAP 还提供适用于 SAP BTP 的 SAP 专用链接服务。 Amazon SAP Private Link 通过安全的连接将 S Amazon AP BTP 连接起来，而无需在你 Amazon Web Services 账户中使用公有 IP。

您可以从 Cloud Foundry 上运行的 SAP BTP 应用程序连接到 Amazon 终端节点服务。通过建立此连接，您可以直接连接到 Amazon 服务或例如连接到 S/4HANA 系统。有关支持 Amazon 服务的完整列表，请参阅在 SA P BTP 中使用亚马逊 Web 服务。

您可以使用 SAP 私有链接服务在 SAP BTP 和 Amazon 服务之间建立安全和私密的通信。通过使用私有 IP 地址范围 (RFC 1918)，可以减少应用程序的攻击面。连接不需要互联网网关。如果你不需要这种额外的安全层，你仍然可以在没有 SAP Private Link 的情况下通过 SAP BTP 的公共 API 进行连接，并从 Amazon 全球网络中受益。有关更多信息，请参阅 Amazon VPC 常见问题。

SAP Private Link Amazon 目前支持从 SAP BTP Cloud Foundry 发起的 Amazon连接

对于跨 Amazon 区域的 Amazon 服务，你可以在与 SAP BTP Cloud Foundry 运行时相同的 Amazon 区域中创建 VPC，然后通过 VPC 对等连接或连接这些 VPC。 Amazon Transit Gateway有关支持的区域列表，请参阅适用于 Cloud Foundry 环境的地区和 API 终端节点。

从 RISE 连接到云解决方案或 SaaS

在对 SAP 环境进行现代化改造时，你可以订阅独立软件供应商提供的多个 SAP 云解决方案或 SaaS，将 RISE 与 SAP 解决方案相辅相成。

当云解决方案运行时 Amazon，RISE与SAP的连接将保持 Amazon 在全球网络中，而无需互联网连接。连接是通过 RISE 中提供的 squid 代理服务器与 SAP VPC 保持的。

如果您的云在其他数据中心或其他云服务提供商上运行，则需要互联网连接。

SaaS 云解决方案不提供通过 VPN、Direct Connect 或任何其他私有连接方式的连接。您可以实施集中式互联网出口架构来管理这种连接。有关更多信息，请参阅集中式互联网出口。

多云到 RISE 的连接模式

在复杂的连接场景中，您可能需要将 Amazon RISE 与 SAP 设置与本地、托管系统、各种 SaaS 解决方案和其他云服务提供商集成。

直接从 Amazon 环境中管理连接，使依赖关系与本地网络基础设施脱钩，从而提高整体环境的可用性和弹性。

您可以使用公共或私有连接将多云与 RISE 连接起来。

公共连接

连接通过公共互联网路由。这种模式通常用于从带有 SAP 的 RISE 到跨多个云运行的 SaaS 解决方案的连接。建立通过公共互联网路由的连接时，请考虑以下几点：

私有连接

以下三种是在不同云服务提供商之间建立私有连接的选项：

下图描述了选择多云连接方法的因素。

有关更多信息，请参阅设计与 Microsoft Azure Amazon 之间的私有网络连接。

如何实现与 RISE 的连接的退款功能

如果您是一家拥有子公司的公司，则可能有不同的RISE合同，因此需要单独部署， Amazon Web Services 账户 同时需要互连的网络连接。在这种情况下，您需要在着陆区（多账户）设置中部署 Transit Gateway 连接。它可以扩展你的 RISE 部署，并与多个 RISE 与 SAP VPC 集成。

Transit Gateway 流量日志可实现有效的成本管理。Transit Gateway Flow Logs 可以与成本和使用量报告 (CUR) 集成，后者可以归因于业务部门的退款。有关更多信息，请参阅使用 Transit Gateway 流日志记录网络流量。

上图显示了如何使用 Transit Gateway 将多个 RISE 与 SAP VPC 连接起来，并通过流日志提供按存储容量使用计费功能。

有关更多信息，请参阅以下博客：

使用以下步骤启用此设置：