将 DNS 集成到 RISE 和 Route 53 - 常规 SAP 指南
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 DNS 集成到 RISE 和 Route 53

本文档提供了有关 “RISE with SAP” 部署的域名系统 (DNS) 集成选项的指导 Amazon,重点介绍企业场景,在这些场景中,客户希望在 RISE 和 SAP 工作负载与跨 Amazon 外部环境的现有工作负载之间实现名称解析。

双向 DNS 集成对于将 RISE 与 SAP 系统连接到各种 Amazon 云和本地资源以及企业基础设施至关重要。在制造环境中,一个常见的使用案例是将 SAP 应用程序连接至车间设备。例如,SAP 可能需要与生产车间内的打印机通信,以生成标签、工作订单或货运单据。这就要求在 RISE with SAP 环境中能够解析“printer-line1.factory.company.local”这类内部主机名。

相反,外部系统和应用程序通常需要通过 DNS 查找来访问 RISE with SAP 环境中的资源,尤其是在调用 ODATA API 端点来开展业务事务(例如,生成工作订单)时。由于合规性和安全性要求,RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要,因此以下各部分将重点介绍私有网络内的 DNS 解析。

由于合规性和安全性要求,RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要,因此以下各部分将重点介绍私有网络内的 DNS 解析。

架构方案

将 RISE with SAP 与您现有的 DNS 设置集成时,您可以采用两大架构方案:条件 DNS 转发和 DNS 区域传输。您还必须考虑 DNS 区域委派相关事宜。这些选项和注意事项专为 Amazon仅限部署和与外部环境(例如本地环境或其他云提供商) Amazon 连接的混合场景而设计。

DNS 集成架构的选择取决于您的服务可靠性需求、现有 DNS 基础设施能力,以及可接受的运维复杂度,与自运营 DNS 基础设施相比,托管服务所需的维护工作和专业知识通常会更少。

在与 RISE with SAP 进行 DNS 集成时,我们建议通过 Amazon Route 53 Resolver 端点实施条件 DNS 转发。Route 53 可提供高度可用、可扩展的 DNS 服务,从而最大限度地降低运维开销。借助此方法,您无需设置和运行自己的 DNS 服务器,并且可进一步降低运维复杂度。此外,Route 53 还可通过亚马逊与您的现有环境和监控功能直接集成 CloudWatch。不过,如果您有特定的要求或技术限制,可以参考后续部分中详细介绍的替代方案。

推荐的 DNS 分割模式是为每个环境实施专用子域(例如,aws.corp.com、dc.corp.com 和 sap.corp.com),通过有条件的跨环境转发来对每个环境进行 DNS 本地解析。此方案通过将本地 DNS 请求保持在其相应的环境中来优化性能,进而减少延迟、提升系统韧性并简化 DNS 管理。具体而言,它能够有效地减少环境间网络链路故障产生的影响。

通用基础设施要求

在实施 DNS 集成方案之前,请确保满足以下先决条件(另见后续图表):

  1. 网络连接:T Amazon ransit Gateway(或云广域网或 VPC 对等互连)通过 Amazon Direct Connect 或 Amazon Site-to-Site VPN 连接外部 Amazon 环境、您的环境以及使用 SAP VPC 的 RISE。

  2. 域委派:在 RISE with SAP 设置过程中,SAP 要求将子域(sap.<customer>.<domain>)委派给 RISE with SAP VPC 中的 RISE DNS 服务器。这使终端用户和应用程序能够通过您组织的域访问 RISE with SAP 系统。

条件 DNS 转发(推荐方案)

条件 DNS 转发支持将特定域名的查询选择性地转发到另一台 DNS 服务器进行解析(例如,Amazon Route 53 将 sap.corp.com 的 DNS 查询转发至 RISE DNS 服务器)。我们建议实施条件 DNS 转发,除非因技术限制导致无法采用此方案。此方案的核心优势在于,客户可以利用 Route 53,而不是在 Amazon上设置和运营自己的 DNS 基础设施。这样一来,客户既简化了集成路径,又获得了 Route 53 高度可用且可靠的全球基础设施带来的优势。

以下参考架构概述了此方案所需的组件:

RISE 中的 DNS 转发

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 在您的中央网络 VPC 中创建 Route 53 解析器终端节点(入站和出站),以处理您的 Amazon 账户与 RISE with SAP 账户之间的 DNS 查询。请遵循 Resolver 端点的最佳运维实践。我们建议在所有可用区部署多个终端节点并监控其利用率 CloudWatch 以实现主动扩展。向 SAP 提供您的本地 DNS 服务器的详细信息以及 Route 53 Resolver 端点的 IP 地址(用于转发和防火墙配置)。

  4. 在工作负载中配置 Route 53 解析器规则 VPCs 以转发 DNS 查询,如下所示:

    1. SAP 绑定的 DNS 查询:转发到出站端点以通过 SAP DNS 服务器解析查询

    2. 企业数据中心绑定的 DNS 查询:转发到出站端点以通过本地 DNS 服务器解析查询

  5. 将本地 DNS 服务器配置为转发 DNS 查询,如下所示:

    1. SAP 绑定的查询:转发到 SAP DNS 服务器(或者,从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输)

    2. Amazon绑定的查询:转发到入站端点

  6. 对 SAP DNS 服务器进行如下配置:

    1. 企业数据中心绑定的 DNS 查询:转发到本地 DNS 服务器

    2. Amazon绑定的 DNS 查询:转发到入站端点

确保您的工作负载 VPCs 具有所有相关的解析器规则,用于通过中央网络 VPC 转发 DNS。我们建议使用 Route 53 配置文件来管理这些配置,因为它们可以在多个 VPCs 和 Amazon 账户之间实现一致的 DNS 设置。这种方法允许您在整个 Amazon 基础架构中定义和应用标准化的 DNS 配置,从而简化了 DNS 管理。

请注意,对于混合环境中的 DNS 解析,DNS 委派可作为条件转发的替代方案。虽然通常会建议您在 RISE with SAP 环境中使用条件转发,但 DNS 委派在特定场景中可能更具优势,尤其适用于存在许多分布式 DNS 解析器且没有集中式上游解析器的环境。但对于涉及 SAP DNS 服务器的场景,还需考虑其他技术注意事项,如“DNS 区域委派”部分中所述。

DNS 区域传输

通过区域传输,权威 DNS 服务器的 DNS 数据库会在一组辅助 DNS 服务器之间进行复制。您可以直接在本地 DNS 服务器和 RISE 环境中的 SAP DNS 服务器之间实现区域传输。但是,如果您想扩展区域传输以包括您的 Amazon DNS 命名空间(例如 aws. <customer>。 <domain>) 要在本地和工作负载之间进行通信 VPCs,您需要在自己的 Amazon 环境中操作自己的 DNS 服务器(例如 BIND)。这是因为 Route 53 不支持区域传输。请记住,与使用 Route 53 进行 DNS 转发相比,此方案会增加运维复杂性。

有关此方法的详细信息,请咨询您的 SAP 云架构师或您的 Amazon 客户团队。有关运行您自己的 BIND DNS 服务器的最佳实践,请参阅此链接

下图显示了通过区域传输将 RISE 环境与现有 DNS 环境(本地/ Amazon )集成的参考架构。

RISE 中的 DNS 区域传输

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 通过相应地修改 VPC DHCP 选项集,在您的网络 VPC(例如 BIND 开启 EC2)中设置中央 DNS 服务器,或者在每个工作负载 VPC 中分散设置。请向 SAP 提供您的本地 DNS 服务器和 Amazon托管的 DNS 服务器的详细信息(用于区域传输和防火墙配置)。

  4. 按如下方式配置 Amazon托管的 DNS 服务器:

    1. SAP 绑定的查询:从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输

    2. 数据中心绑定的查询:从本地 DNS 服务器进行 dc.<customer>.<domain> 的区域传输

  5. 对本地 DNS 服务器进行如下配置:

    1. SAP 绑定的 DNS 查询:从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输

    2. Amazon绑定的 DNS 查询:aws 的区域转移。 <customer>。 <domain>来自 Amazon软管的 DNS 服务器

  6. 对 SAP DNS 服务器进行如下配置:

    1. 客户数据中心绑定的 DNS 查询:从本地 DNS 服务器进行 dc.<customer>.<domain> 的区域传输

    2. Amazon绑定的 DNS 查询:aws 的区域转移。 <customer>。 <domain>来自 Amazon软管的 DNS 服务器

DNS 区域委派

如果客户运行跨多个环境分布的多个 DNS 解析器,并且未使用集中式 DNS 解析器服务,则配置并维护 DNS 转发规则或区域传输可能会带来运维挑战。利用 DNS 区域委派功能,您可以在 DNS 层次结构中的单个点上定义特定子域的权限,从而简化整个基础设施的 DNS 管理工作。

使用具有 DNS 委派功能的 Amazon Route 53 Resolver 终端节点,您可以构建和维护跨本地和 Amazon 环境的统一私有 DNS 命名空间。

然而,在 RISE 环境中与将区域委派功能与 SAP DNS 服务器结合使用时,有特定的技术注意事项。如果没有集中式上游解析器,由于缓存效率降低,向 SAP DNS 服务器进行区域委派会增加并发查询负载。此外,所有 DNS 解析器都需要指向 SAP DNS 服务器的直接网络路径,这可能需要额外的连接配置。实施此方案之前,请咨询 SAP ECS。

存在两种主要场景:

场景 1 Amazon 上的 Route 53 中的父域

对于在云中运行大部分工作负载并 Amazon 使用 Route 53 操作私有 DNS 根区域的客户,您可以将子域委托给外部 DNS 服务器。这包括同时委派给 SAP DNS 服务器(例如 sap.corp.com)和本地 DNS 服务器(例如 dc.corp.com)。

父域在 Route 53 中的 DNS 区域委派

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点(入站和出站)

  4. 将 IPs 本地和 SAP DNS 服务器配置为父域(例如 corp.com)的私有托管区域 (PHZ) 中的 NS 记录,并将 PHZ 与您的工作负载关联(Route VPCs 53 配置文件可以帮助管理 PHZ 关联和解析器规则)。如果您的 DNS 服务器在同一域(例如 ns.dc.corp.com)中,则还需在父域中配置粘附记录。为相关子域 (dc.corp.com) 创建 Route 53 解析器委托规则,并将它们与您的工作负载 VPCs 相关联(参见上图)。

  5. 在本地解析器上配置条件 DNS 转发,以允许解析父域和 SAP 域(SAP 端需进行相同配置)

场景 2 本地父域

对于刚开始云之旅但仍在本地维护根区域的客户,DNS 委派提供了一种集成 SAP 和 Amazon 环境的有效方法,同时保持本地的 DNS 控制。

父域在本地环境中的 DNS 区域委派

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点(入站和出站)

  4. 为 aws.corp.com 配置 PHZ 并将其关联到您的中央网络和工作负载。 VPCs配置条件 DNS 转发规则,以允许 VPC 解析本地工作负载和 RISE with SAP 系统的查询(SAP 端需进行相同配置)。

  5. 在域的本地权威名称服务器中,使用 sap.corp.com 和 aws.corp.com 的委派(NS)记录(例如 ns1.corp.com)更新 corp.com 区域。

将你的 R Amazon oute 53 Resolver 入站终端节点和 SAP DNS 服务器配置 IPs 为 ns1.corp.com 区域文件中的目标记录。如果您的 DNS 服务器在同一域中,则还需在父域中配置粘附记录。

有关区域委派功能的更多详细信息,请参阅 Route 53 文档。以下博客文章为您提供了有关如何使用私有 DNS 的 Route 53 委托功能的更深入的 step-by-step指南:使用 Amazon Route 53 Resolver 终端节点委托简化混合 DNS 管理

有关上述集成方法的更多信息,请联系您的 SAP 云架构师或您的 Amazon 客户团队。