Blog de Amazon Web Services (AWS)

Conexión de las soluciones de SAP que se ejecutan en AWS con los servicios y las cuentas de AWS

Por Arne Knoeller, Sr. Solutions Architect de AWS

 

La conectividad y el envío y recepción de datos entre diferentes servicios y soluciones PaaS o SaaS son importantes en la infraestructura de TI actual. Hemos escuchado de clientes de AWS que utilizan servicios de SAP como HANA Enterprise Cloud (HEC), RISE con SAP o SAP Business Technology Platform (BTP) que quieren aprovechar los servicios de conectividad proporcionados por AWS para reducir la complejidad y los costos, mejorando la seguridad y el rendimiento de sus entornos.

Los clientes exigen conectividad desde sus entornos locales a las soluciones de SAP que se ejecutan en AWS, ya sea para configuraciones híbridas – donde las cargas de trabajo y las interfaces están en los centros de datos locales o simplemente para que el usuario acceda a consumir y conectarse a las soluciones de SAP – como para enviar y recibir datos entre las soluciones de SAP y otros servicios que se ejecutan en AWS. En este blog, aprenderá sobre las opciones de conectividad para los servicios de SAP que se ejecutan en AWS.

Explicaremos las diferentes opciones para configurar la conexión de red del entorno local para soluciones SAP como SAP HANA Enterprise Cloud (HEC), RISE con SAP, SAP Business Technology Platform (BTP), SAP Analytics Cloud (SAC), SAP Data Warehouse Cloud y SAP HANA Cloud. Además, le mostraremos cómo conectarse desde las cuentas de AWS administradas por el cliente a la cuenta de AWS administrada por SAP. Esta conexión es importante para los clientes que ya están en AWS y desean reutilizar sus herramientas de conectividad existentes para conectar las soluciones de SAP con los servicios de AWS.

No cubriremos detalles técnicos sobre los servicios de red de AWS, sino cómo usarlos para conectarse a los servicios de SAP mencionados anteriormente.

Dependiendo del producto SAP, existen diferentes opciones de conectividad, que describiremos con más detalle:

 

SAP HANA Enterprise Cloud (HEC) / RISE with SAP

SAP HANA Enterprise Cloud (HEC) y RISE with SAP son servicios de SAP que se ejecutan en AWS y se ofrecen en 17 regiones diferentes de AWS. AWS ofrece diferentes opciones para conectarse a su Amazon Virtual Private Cloud (VPC). Ambos servicios administrados se consideran una oferta de nube privada, por lo que requieren una conexión privada, y AWS ofrece varias opciones para este tipo de conexión. Las opciones de conectividad admitidas por SAP son AWS Site-to-Site VPN y AWS Direct Connect.

AWS Site-to-Site VPN

 Una forma fácil y rentable de conectarse al sistema SAP alojado en AWS es conectarse a través de AWS Site-to-Site VPN. AWS Site-to-Site VPN crea túneles cifrados entre su red y sus VPC o AWS Transit Gateways. El tráfico entre el entorno local y AWS se cifra a través de IPsec y se transfiere a través de un túnel seguro mediante la Internet pública. Las ventajas de una conexión AWS VPN son una implementación rápida y eficiente, así como la posibilidad de reducir los costos en comparación con AWS Direct Connect.

AWS Direct Connect

Si necesita un mayor rendimiento y una experiencia de red más consistente que la conexión a través de Internet, puede utilizar AWS Direct Connect para conectarse entre su entorno local y la nube de AWS.

Varios socios ofrecen AWS Direct Connect y puede seleccionar entre una variedad de opciones de ancho de banda e implementación. Puede encontrar más información sobre las opciones de conectividad en el documento técnico de AWS Amazon Virtual Private Cloud Connectivity Options y las recomendaciones para el uso de AWS Direct Connect documentadas de manera resiliente en AWS Direct Connect Resiliency Recommendations.

Los proveedores de AWS Direct Connect utilizan conexiones de red privada dedicadas entre la intranet de los clientes y Amazon VPC. El tráfico no se enruta a través de Internet y proporciona un ancho de banda y un rendimiento más confiables en comparación con VPN.

También puede aprovechar un AWS Direct Connect existente que se utiliza para otras cargas de trabajo en AWS, por ejemplo, para conectarse a la cuenta de AWS administrada por SAP. Por lo tanto, la conexión solo debe ampliarse mediante un Virtual Private Gateway en la cuenta de AWS administrada por SAP para conectarse a la Private Virtual Interface (VIF) o Direct Connect Gateway.

 

Conectividad entre cuentas de AWS

HEC y RISE with SAP se ejecutan en cuentas de AWS, administradas y propiedad de SAP. Sin embargo, puede crear su propia cuenta de AWS para cargas de trabajo adicionales y utilizar servicios nativos de AWS. Hay dos opciones para conectar su cuenta de AWS administrada por SAP a su cuenta de AWS administrada por el cliente:

VPC Peering

VPC Peering es una conexión de red entre dos VPC que permite que el tráfico fluya utilizando direcciones IPv4 privadas o direcciones IPv6. Las instancias pueden comunicarse como si estuvieran en la misma red.

Para conectar dos VPC, no debe haber superposición de Classless Inter-Domain Routing (CIDR), de lo contrario, la conexión fallará. Se recomienda alinearse con SAP para definir rangos CIDR y asegurarse de que los rangos administrados por SAP se adapten a su entorno. Una vez que se solicita la conexión, SAP debe aceptarla en su VPC.

VPC Peering es una conexión uno a uno entre VPC. Si necesita una comunicación directa con el servicio SAP administrado con varias VPC, deberá configurar varias de estas conexiones. Con muchas cuentas y VPC de AWS, esto puede volverse complejo y difícil de administrar. Es por eso que la opción AWS Transit Gateway (más detalles sobre esto a continuación) debe considerarse para tales escenarios.

VPC Peering también funciona para conectarse entre regiones de AWS. Puede conectar una cuenta de un cliente que se ejecute en eu-west-1 con la cuenta de SAP en eu-central-1, por ejemplo. Todo el tráfico entre regiones está encriptado sin un solo punto de falla o cuello de botella en el ancho de banda. El tráfico siempre permanece en la red troncal global de AWS y no atraviesa la Internet pública, lo que reduce amenazas como los ataques de denegación de servicio.

 

Conectividad a través de VPC en varias regiones

 

Otro beneficio, además de la configuración simple y la posibilidad de conectarse entre regiones, es el menor costo en comparación con AWS Transit Gateway o el enrutamiento del tráfico a través del entorno local. AWS anunció recientemente un cambio de precio en VPC Peering. A partir del 1 de mayo de 2021, todas las transferencias de datos a través de una conexión que permanece dentro de una Availability Zone (AZ) ahora son gratuitas.

Puede solicitar el ID de AZ de SAP para asegurarse de que sea el mismo ID de AZ utilizado en su cuenta de AWS.

AWS Transit Gateway

La segunda opción para conectar dos o más cuentas de AWS es utilizar AWS Transit Gateway. AWS Transit Gateway es un centro de tránsito de red que se puede utilizar para interconectar VPCs. Actúa como un enrutador y la conexión a la cuenta de AWS administrada por SAP solo debe establecerse una vez. Se pueden realizar y simplificar configuraciones de conexión complejas implementando AWS Transit Gateway como un centro de comunicación central.

Para conectar la cuenta de AWS administrada por SAP, debe crear AWS Transit Gateway en su propia cuenta de AWS y compartirla con la cuenta de AWS administrada por SAP. Posteriormente, SAP puede adjuntar la VPC al servicio SAP administrado a AWS Transit Gateway y permitir que el tráfico fluya a través de una entrada en la tabla de rutas. Con esta configuración, mantiene el control sobre el enrutamiento del tráfico porque AWS Transit Gateway reside en su propia cuenta, donde se puede administrar.

 

Conectividad con AWS Transit Gateway

 

Para conectar varias VPC entre cuentas de AWS y regiones de AWS, puede establecer una conexión entre varias AWS Transit Gateways en diferentes regiones.

 

Conectividad con AWS Transit Gateway en varias regiones

 

Al usar AWS Transit Gateways entre regiones, el tráfico también permanece dentro de la red de AWS y se aplican las mismas consideraciones descritas en la opción de intercambio de tráfico de VPC. Esto también es cierto para la situación antes mencionada de rangos de CIDR superpuestos en diferentes VPC.

Si usa AWS Transit Gateway en combinación con AWS Direct Connect, también puede usar esta configuración para enrutar el tráfico desde la cuenta de AWS administrada por SAP a su entorno local y viceversa, y para conectarse entre cuentas de AWS.

 

SAP Business Technology Platform

SAP Business Technology Platform (BTP) ofrece una variedad de diferentes servicios y entornos, como Cloud Foundry, ABAP y Kyma. Los tres entornos se ejecutan en AWS: Kyma es la última versión del 24 de abril. Hoy, SAP BTP está disponible en 9 regiones comerciales de AWS.

Para conectarse a los servicios BTP, puede acceder a los puntos finales públicos a través de Internet. Si necesita una experiencia de red más consistente, AWS Direct Connect también está disponible para conectarse a la plataforma BTP. Sin embargo, la conexión de AWS Direct Connect se establece entre la red local y los puntos de enlace públicos de AWS. Para HEC y RISE with SAP, AWS Direct Connect utiliza una interfaz virtual privada, que accede a los recursos de la VPC y se conecta a la dirección IP privada de los recursos. Para acceder a BTP a través de AWS Direct Connect, debe conectarse a la dirección IP pública mediante la Interfaz virtual pública. Para obtener más información sobre estas diferencias, consulte el AWS Knowledge Center.

SAP tiene un blog con una guía paso a paso sobre cómo configurar AWS Direct Connect: Accessing SAP Cloud Platform via AWS Direct Connect.

SAP Cloud Connector

Para conectar los servicios BTP con los sistemas SAP que se ejecutan en AWS, SAP Cloud Connector (SCC) es la solución recomendada. SAP Cloud Connector establece una comunicación segura entre los servicios BTP y los sistemas SAP, sin exponer el sistema SAP a Internet. No es necesario abrir conexiones entrantes en grupos de seguridad y usar proxies inversos en una DMZ para establecer el acceso a los sistemas SAP. SAP Cloud Connector actúa como un proxy de llamada inversa y establece un túnel TLS persistente a las subcuentas de SAP BTP. La superficie de ataque se reduce con esta arquitectura porque los sistemas SAP back-end no son visibles en Internet.

SAP Cloud Connector ofrece una implementación de alta disponibilidad basada en software para la conmutación por error, o puede implementar el conector en un grupo de Auto Scaling de Amazon EC2, para la conmutación por error para instancias EC2, como se muestra en la imagen de arquitectura a continuación.

 

Conectividad a SAP BTP usando SAP Cloud Connector

 

SAP Data Warehouse Cloud, SAP Analytics Cloud y SAP HANA Cloud

Todas estas soluciones son SaaS o PaaS, se ofrecen a través de SAP BTP y se ejecutan en un entorno multi-tenant. Es por eso que no es posible establecer una conexión individual entre la red local o una cuenta de AWS administrada por el cliente y la VPC de la cuenta de AWS administrada por SAP con la solución SaaS/PaaS. VPC Peering o AWS Transit Gateway no se pueden utilizar para conectar estas soluciones con cuentas de AWS adicionales. Sin embargo, se aplica el mismo principio de conectividad con BTP.

Puede utilizar SAP Cloud Connector para conectarse a sistemas SAP que se ejecutan en AWS como S/4HANA o BW/4HANA, por ejemplo. Además de la integración de backend directa con SAP Cloud Connector, los tres servicios ofrecen integración directa con una variedad de servicios de AWS, como Amazon S3, por ejemplo.

SAP Data Warehouse Cloud (DWC) puede conectarse a Amazon S3, Amazon Redshift o Amazon Athena, por ejemplo. Puede encontrar más información en SAP Discovery Center.

SAP Analytics Cloud (SAC) ofrece integración con Amazon S3 (a través de open connectors), Amazon Redshift y Amazon EMR.

SAP HANA Cloud puede conectarse a Amazon S3 y Amazon Athena.

Para obtener información adicional sobre la conectividad y las fuentes de datos, consulte la documentación de DWC, la documentación de SAC o la documentación de HANA Cloud.

 

Resumen

Para ofertas administradas como HEC y RISE with SAP, VPC Peering es una forma simple y eficiente de conectar las cuentas de AWS administradas por el cliente con la cuenta de AWS administrada por SAP donde se ejecutan los servicios de SAP. AWS Transit Gateway es una buena solución para configuraciones de red más complejas y para conectar la cuenta de AWS administrada por SAP a una gran cantidad de otras cuentas y VPC de AWS. Los clientes deben tener en cuenta que AWS Transit Gateway solo puede residir en la cuenta de AWS del cliente.

Los clientes pueden aprovechar las conexiones existentes a AWS a través de AWS Site-to-Site VPN o AWS Direct Connect y conectar los recursos de AWS con las opciones de conectividad descritas. Se recomienda utilizar formas de comunicación nativas de AWS y no enrutar el tráfico a través del entorno local si no es necesario. Como resultado, se beneficia de la velocidad, la latencia y la seguridad de la red de AWS.

Los servicios de SAP BTP ofrecen interfaces públicas y puede conectarse a SAP Cloud Connector de forma segura, a través del cifrado TLS, para los servicios multi-tenant que ofrece SAP BTP.

Para saber por qué AWS es la plataforma elegida e innovadora para más de 5000 clientes de SAP, visite aws.amazon.com/sap.

 

Este artículo fue traducido del Blog de AWS en Inglés.

 


Sobre el autor

Arne Knoeller es Arquitecto de Soluciones Senior en AWS.

 

 

 

 

 

Sobre los revisores

Andre Fellipe es Arquitecto de Soluciones en AWS.

 

 

 

 

 

Michelle Bittencourt Perez es Arquitecta de Soluciones en AWS.