本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SAP 支持访问
SAP 支持访问

在某些情况下，可能需要允许 SAP 支持工程师访问 Amazon 云端的 SAP HANA 系统。以下信息仅作为对[《SAP HANA Administration Guide》](https://help.sap.com/hana/SAP_HANA_Administration_Guide_en.pdf)的“Getting Support”部分所包含信息的补充。

需要执行几个步骤来配置与 SAP 的正确连接。这些步骤取决于您是要使用与 SAP 的现有远程网络连接，还是要从 Amazon 云端的系统直接与 SAP 建立新连接。

## 通过 Amazon 云端的 SAProuter 设置支持通道


从 Amazon 云端设置与 SAP 的直接支持连接时，请考虑以下步骤：

1. 对于 SaProuter 实例，创建和配置特定的 SaProuter 安全组，该安全组仅允许对 SAP 支持网络进行必需的入站和出站访问。这应仅限于 SAP 提供给您连接的特定 IP 地址以及 TCP 端口 3299。有关创建和配置安全组的其他详细信息，请参阅 [Amazon EC2 安全组文档](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-network-security.html)。

1. 在 VPC 的公有子网中启动要安装 SaProuter 软件的实例，并为其分配弹性 IP 地址。

1. 安装 SAProuter 软件并创建一个 saprouttab 文件，该文件允许从 SAP 访问 Amazon 云端的 SAP HANA 系统。

1. 设置与 SAP 的连接。对于您的互联网连接，请使用**安全网络通信 (SNC)**。有关更多细信息，请参阅 [SAP 远程支持 – 帮助](https://support.sap.com/remote-support/help.html)页面。

1. 修改现有 SAP HANA 安全组，以信任已创建的新 SAProuter 安全组。
**提示**  
为了增强安全性，在出于支持目的不需要托管 SAProuter 服务的 EC2 实例时，请关闭该实例

![\[SAProuter 的支持连接\]](http://docs.amazonaws.cn/sap/latest/sap-hana/images/hana-ops-saprouter.jpg)


 **图 13：在 Amazon 云端使用 SAProuter 的支持连接** 

## 通过本地 SAProuter 设置支持通道


在许多情况下，您可能已经在数据中心和 SAP 之间配置了支持连接。这可以很容易扩展以支持 Amazon 云端的 SAP 系统。此方案假定您已通过互联网上的安全 VPN 隧道或通过使用 [Amazon Direct Connect](https://www.amazonaws.cn/directconnect/)，建立了数据中心与 Amazon 云之间的连接。

您可以按如下方式扩展此连接：

1. 确保存在正确的 saprouttab 条目，以允许从 SAP 访问 VPC 中的资源。

1. 修改 SAP HANA 安全组以允许从本地部署 SAProuter IP 地址进行访问。

1. 确保网关上已打开适合的防火墙端口，以允许流量通过 TCP 端口 3299。

![\[在本地使用 SAProuter 的支持连接\]](http://docs.amazonaws.cn/sap/latest/sap-hana/images/hana-ops-saprouter-onprem.jpg)


 **图 14：在本地使用 SAProuter 的支持连接**