Amazon Transit Gateway 的配置步骤 - SAP HANA on Amazon
第 1 步:设置中转网关架构第 2 步:配置 Amazon 云和企业网络的路由。第 3 步:禁用源/目标检查第 4 步:测试配置第 5 步。更新重叠 IP 地址。
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Transit Gateway 的配置步骤

本节包括理解此方案的 Overlay 网络 IP 地址配置所需的简要步骤。有关 Amazon Transit Gateway 配置的详细步骤,请参阅 Amazon Transit Gateway 文档

第 1 步:设置中转网关架构

  1. 在部署 SAP 实例的 Amazon 区域的 Amazon 账户中创建 Transit Gateway。有关详细步骤,请参阅中转网关入门

  2. 将部署了 SAP 实例的 VPC(以及所需的任何其他 VPC)连接到中转网关。有关详细步骤,请参阅 VPC 的中转网关连接

    注意:对于连接,请仅选择运行 SAP 实例并配置了集群和 Overlay 网络 IP 的子网。在下图中,为中转网关连接选择了 SAP 实例的私有子网。

    图 2:将中转网关连接到私有子网

    将 Transit Gateway 连接到私有子网

  3. 根据您的连接,执行下列操作之一:

    • VPN 连接。将 VPN 连接到这个中转网关。有关详细步骤,请参阅中转网关 VPN 连接

      创建站点到站点 VPN 连接时,需要为 Overlay 网络 IP 地址指定静态路由。有关详细步骤,请参阅 VPN 路由选项

    • Amazon Direct Connect。将 Direct Connect 网关连接到这个中转网关。首先,将 Direct Connect 网关与中转网关关联。然后,创建一个中转虚拟接口,将 Amazon Direct Connect 连接到 Direct Connect 网关。在这里,您可以公布从本地到 Amazon 云以及从 Amazon 云到本地的前缀。有关详细步骤,请参阅将中转网关连接到 Direct Connect 网关

      当您将中转网关与 Direct Connect 网关关联时,您可以指定前缀列表,以便将 Overlay 网络 IP 地址通告到本地环境。有关详细步骤,请参阅允许的前缀交互

      注意:建议为业务关键型工作负载使用 Amazon Direct Connect。有关网络级别韧性的信息,请参阅 Amazon Direct Connect 中的韧性

第 2 步:配置 Amazon 云和企业网络的路由。

下表列出了示例配置中使用的 IP 地址。请确保为您的实施使用有效的私有 IP 地址。

描述 IP 范围/IP 地址

生产 SAP 系统的 VPC CIDR

(带有使用 Overlay 网络 IP 运行的高可用性集群)

10.0.0.0/16

非生产 SAP 系统的 VPC CIDR

(此 VPC 中的实例使用 Amazon Transit Gateway 访问生产集群重叠 IP)

192.168.1.0/24

企业网络 CIDR

(站点到站点 VPN 在企业网络到 Amazon Transit Gateway 之间配置)

192.168.2.0/24

Overlay 网络 IP 地址 CIDR

172.16.1.0/26

客户网关 IP 地址

34.216.94.150/32
注意

如果您使用的是 Amazon 客户端 VPN,则无需配置 Transit Gateway。您可以在路由表中为 Overlay 网络 IP 地址创建额外的条目。将流量路由到配置了 Overlay 网络 IP 地址的生产 SAP 系统 VPC 的子网。

创建至 VPC 的中转网关连接时,在默认的中转网关路由表中创建传播路由。在图 3 中,第一个和第二个条目显示了为通过 VPC 连接运行 SAP 生产和非生产系统的 VPC 自动创建的传播路由。

  1. 要将流量从 Amazon Transit Gateway 路由到重叠 IP 地址,请在 Transit Gateway 路由表中创建静态路由,以便将重叠 IP 地址路由到已配置重叠 IP 地址的生产 SAP 系统的 VPC。在图 3 中,第三个条目显示为重叠 IP 范围创建的静态路由已挂载。此路由的目标是 SAP 生产 VPC。

    图 3:Transit Gateway 路由表:重叠 IP 静态路由,以生产 SAP 系统的 VPC 为目标

    Transit Gateway 路由表:重叠 IP 静态路由,以生产 SAP 系统的 VPC 为目标

  2. 要将运行 SAP 实例的 VPC 的传出流量路由到运行 SAP 实例且连接到同一个中转网关的另一个 VPC 的私有 IP 地址,请在与这些 VPC 子网关联的路由表中创建条目。这些路由的目标是 Amazon Transit Gateway。在以下生产 SAP 系统的 VPC 路由表示例中,非生产 SAP VPC(第三个条目)和公司网络(第四个条目)被路由到中转网关。

    图 4:生产 SAP 系统的 VPC 路由表:生产 SAP 系统的 VPC 和企业网络路由到 Amazon Transit Gateway

    生产 SAP 系统的 VPC 路由表:生产 SAP 系统的 VPC 和企业网络路由到 Transit Gateway

  3. 在非生产 SAP 系统的 VPC 中,要从 Overlay 网络 IP 地址路由传出流量,请在路由表中创建条目,以中转网关作为目标。在以下非生产 SAP 系统的 VPC 路由表示例中,目的地是 Overlay 网络 IP 范围,目标是中转网关。

    图 5:非生产 SAP 系统的 VPC 路由表:来自 Overlay 网络 IP 地址的传出流量路由到中转网关

    非生产 SAP 系统的 VPC 路由表:来自重叠 IP 地址的传出流量路由到 Transit Gateway

  4. 配置从企业设备到 Amazon VPC IP 地址的路由。

第 3 步:禁用源/目标检查

每个 Amazon EC2 实例都会默认执行源/目标检查。这意味着实例必须为其发送或接收的数据流的源头或目标。对于集群实例,必须对用于接收来自重叠 IP 地址的流量的两个 Amazon EC2 实例禁用源/目标检查。您可以使用 Amazon CLIAmazon 管理控制台禁用源/目标检查。有关详细信息,请参阅 ec2 modify-instance-attribute

第 4 步:测试配置

设置完成后,执行连接测试,方法是确保可以通过 Overlay 网络 IP 地址访问 SAP 系统。使用此配置,您可以从其他 VPC 和企业网络访问 Overlay 网络 IP 地址,就像 VPC 的任何私有 IP 地址一样。使用 Amazon Transit Gateway 方法,通信不需要额外组件,例如 Amazon Route 53 代理或网络负载均衡器。

第 5 步。更新重叠 IP 地址。

步骤 4:成功测试网络连接后,在 SAP 图形用户界面 (GUI) 系统条目属性以及其他用于连接的 SAP 连接属性的消息服务器参数中,更新生产或非生产 SAP 系统的 Overlay 网络 IP 地址。您可以使用企业 DNS 或 Amazon Route 53 为 Overlay 网络 IP 创建方便用户使用的 CNAME。