O blog da AWS
Conectando soluções SAP executadas na AWS com serviços e contas AWS
Por Arne Knoeller, Sr. Solutions Architect da AWS
Conectividade e envio e recebimento de dados entre diferentes serviços e soluções PaaS ou SaaS são importantes na infraestrutura de TI de hoje. Ouvimos de clientes da AWS que estão usando serviços SAP, como HANA Enterprise Cloud (HEC), RISE with SAP ou SAP Business Technology Platform (BTP), que eles desejam aproveitar os serviços de conectividade fornecidos pela AWS para reduzir a complexidade e os custos, melhorando a segurança e desempenho de seus ambientes.
Os clientes exigem conectividade dos seus ambientes on-premises para as soluções SAP em execução na AWS, tanto para configurações híbridas – onde as cargas de trabalho e as interfaces estão nos data centers locais ou simplesmente para acesso do usuário para consumir e se conectar às soluções SAP – quanto para envio e recebimento de dados entre soluções SAP e outros serviços em execução na AWS. Neste blog, você aprenderá sobre as opções de conectividade para serviços SAP rodando na AWS.
Vamos explicar as diferentes opções para configurar a conexão de rede do ambiente on-premises para as soluções SAP como SAP HANA Enterprise Cloud (HEC), RISE with SAP, SAP Business Technology Platform (BTP), SAP Analytics Cloud (SAC), SAP Data Warehouse Cloud e SAP HANA Cloud. Além disso, mostraremos como se conectar a partir de contas AWS gerenciadas pelo cliente à conta AWS gerenciada pela SAP. Essa conexão é importante para clientes que já estão na AWS e desejam reutilizar a suas ferramentas de conectividade existentes para conectar soluções SAP com serviços da AWS.
Não cobriremos detalhes técnicos sobre os serviços de redes da AWS, mas sim como usá-los para se conectar aos serviços da SAP mencionados acima.
Dependendo do produto SAP, existem diferentes opções de conectividade, que descreveremos com mais detalhes:
SAP HANA Enterprise Cloud (HEC) / RISE with SAP
SAP HANA Enterprise Cloud (HEC) e RISE with SAP são serviços SAP executados na AWS e oferecidos em 17 diferentes regiões da AWS. A AWS oferece diferentes opções para se conectar a sua Amazon Virtual Private Cloud (VPC). Ambos os serviços gerenciados são considerados como oferta de nuvem privada, exigindo, portanto, uma conexão privada – e a AWS oferece várias opções para este tipo de conexão. As opções de conectividade suportadas pela SAP são a AWS Site-to-Site VPN e o AWS Direct Connect.
AWS Site-to-Site VPN
Uma maneira fácil e econômica de se conectar ao sistema SAP hospedado na AWS é conectar-se via AWS Site-to-Site VPN. A AWS Site-to-Site VPN cria túneis criptografados entre sua rede e suas VPCs ou AWS Transit Gateways. O tráfego entre o ambiente on-premises e a AWS é criptografado via IPsec e transferido por meio de um túnel seguro, usando a internet pública. As vantagens de uma conexão VPN da AWS são a implementação rápida e eficiente, bem como a possibilidade de custos mais baixos em comparação com um AWS Direct Connect.
AWS Direct Connect
Se você precisar de uma taxa de transferência mais alta e uma experiência de rede mais consistente do que a conexão feita via internet, você pode usar o AWS Direct Connect para se conectar entre o ambiente on-premises e a nuvem AWS.
O AWS Direct Connect é oferecido por vários parceiros e você pode selecionar uma variedade de opções de largura de banda e implementação. Mais informações sobre as opções de conectividade podem ser encontradas no whitepaper da AWS Amazon Virtual Private Cloud Connectivity Options e sobre recomendações de uso do AWS Direct Connect de forma resiliente documentadas em AWS Direct Connect Resiliency Recommendations.
Os provedores do AWS Direct Connect usam conexões de rede privadas dedicadas entre a intranet dos clientes e a Amazon VPC. O tráfego não é roteado pela Internet e fornece largura de banda e taxa de transferência mais confiáveis em comparação com a VPN.
Você também pode aproveitar um AWS Direct Connect existente, usado para outras cargas de trabalho na AWS, por exemplo, para se conectar à conta AWS gerenciada pela SAP. Portanto, a conexão só precisa ser estendida por um Virtual Private Gateway na conta AWS gerenciada pela SAP para se conectar à Private Virtual Interface (VIF) ou ao Direct Connect Gateway.
Conectividade entre contas AWS
HEC e RISE with SAP são executados em contas AWS, gerenciadas e de propriedade da SAP. No entanto, você pode criar sua própria conta da AWS para cargas de trabalho adicionais e para usar serviços nativos da AWS. Existem duas opções para conectar a conta AWS gerenciada pela SAP à sua conta AWS gerenciada pelo cliente:
VPC Peering
VPC Peering é uma conexão de rede entre duas VPCs, que permite o fluxo de tráfego usando endereços IPv4 privados ou endereços IPv6. As instâncias podem se comunicar como se estivessem na mesma rede.
Para conectar duas VPCs, não se deve ter sobreposição de Classless Inter-Domain Routing (CIDR), caso contrário, a conexão falhará. Recomenda-se alinhar com a SAP para definir os intervalos dos CIDRs e se certificar de que os intervalos gerenciados pela SAP se ajustem ao seu ambiente. Depois que a conexão é solicitada, a SAP precisa aceitá-la em sua VPC.
VPC Peering é uma conexão um para um entre VPCs. Se você precisar de comunicação direta com o serviço SAP gerenciado com várias VPCs, precisará configurar várias destas conexões. Com muitas contas da AWS e VPCs, isso pode se tornar complexo e difícil de gerenciar. É por isso que a opção do AWS Transit Gateway – mais detalhes sobre isso a seguir – deve ser considerada para tais cenários.
VPC Peering também funciona para conexão entre regiões da AWS. É possível conectar uma conta de um cliente em execução em eu-west-1 com a conta SAP em eu-central-1, por exemplo. Todo o tráfego entre regiões é criptografado sem ponto único de falha ou gargalo de largura de banda. O tráfego sempre permanece no backbone global da AWS e não atravessa a internet pública, o que reduz ameaças, como ataques de negação de serviço.
Outro benefício, além da configuração simples e da possibilidade de conexão entre regiões, é o custo mais baixo em comparação com o AWS Transit Gateway ou o roteamento do tráfego via o ambiente on-premises. Recentemente, a AWS anunciou uma mudança de preço no VPC Peering. A partir de 1º de maio de 2021, todas as transferências de dados em uma conexão que permanece dentro de uma Availability Zone (AZ) agora são gratuitas.
Você pode solicitar o AZ ID da SAP para garantir que é o mesmo AZ ID usado na conta AWS gerenciada pelo cliente.
AWS Transit Gateway
A segunda opção para conectar duas ou mais contas AWS é usando o AWS Transit Gateway. O AWS Transit Gateway é um hub de trânsito de rede que pode ser usado para interconectar VPCs. Ele atua como um roteador e a conexão com a conta AWS gerenciada pela SAP precisa ser estabelecida apenas uma vez. Configurações complexas de conexão podem ser feitas e simplificadas com a implementação do AWS Transit Gateway como um hub de comunicação central.
Para conectar a conta AWS gerenciada pela SAP, você precisa criar o AWS Transit Gateway em sua própria conta AWS e compartilhá-lo com a conta AWS gerenciada pela SAP. Posteriormente, a SAP pode anexar a VPC para o serviço SAP gerenciado ao AWS Transit Gateway e permitir o fluxo de tráfego por meio de uma entrada na tabela de rotas. Com essa configuração, você mantém o controle sobre o roteamento de tráfego, porque o AWS Transit Gateway reside em sua própria conta, onde pode ser gerenciado.
Para conectar várias VPCs em contas AWS e regiões AWS, você pode estabelecer uma conexão entre vários AWS Transit Gateways em diferentes regiões.
Ao usar o AWS Transit Gateways entre regiões, o tráfego também permanece dentro da rede AWS e as mesmas considerações descritas na opção de VPC Peering se aplicam. Isso também é válido para a situação supracitada de sobreposição de intervalos CIDRs em diferentes VPCs.
Caso você esteja usando um AWS Transit Gateway em combinação com um AWS Direct Connect, você também pode usar esta configuração para rotear o tráfego da conta AWS gerenciada pela SAP para o seu ambiente on-premises e vice-versa e para se conectar entre contas AWS.
SAP Business Technology Platform
O SAP Business Technology Platform (BTP) oferece uma variedade de serviços e ambientes diferentes, como Cloud Foundry, ABAP e Kyma. Todos os três ambientes estão sendo executados na AWS – Kyma é a versão mais recente de 24 de abril. Hoje, o SAP BTP está disponível em 9 regiões comerciais da AWS.
Para se conectar aos serviços do BTP, você pode acessar os endpoints públicos através da internet. Se você precisar de uma experiência de rede mais consistente, o AWS Direct Connect também está disponível para se conectar à plataforma BTP. No entanto, a conexão do AWS Direct Connect é estabelecida entre a rede on-premises e os endpoints públicos da AWS. Para HEC e RISE with SAP, o AWS Direct Connect da AWS usa uma Private Virtual Interface, que acessa recursos na VPC e se conecta ao endereço IP privado dos recursos. Para acessar o BTP por meio do AWS Direct Connect, você precisa se conectar ao endereço IP público, usando a Public Virtual Interface. Para saber mais sobre essas diferenças, consulte o Knowledge Center da AWS.
A SAP tem um blog com um guia passo-a-passo de como configurar o AWS Direct Connect: Accessing SAP Cloud Platform via AWS Direct Connect.
SAP Cloud Connector
Para conectar serviços BTP com sistemas SAP em execução na AWS, o SAP Cloud Connector (SCC) é a solução recomendada. O SAP Cloud Connector estabelece uma comunicação segura entre os serviços BTP e os sistemas SAP, sem expor o sistema SAP à Internet. Não é necessário abrir conexões de entrada nos grupos de segurança e usar proxies reversos em uma DMZ para estabelecer acesso aos sistemas SAP. O SAP Cloud Connector atua como um proxy de chamada reversa e estabelece um túnel TLS persistente para subcontas do SAP BTP. A superfície de ataque é reduzida com essa arquitetura, porque o backend dos sistemas SAP não são visíveis para a internet.
O SAP Cloud Connector oferece uma implementação de HA baseada em software para proteção contra falhas, ou você implementa o conector em um Amazon EC2 Auto Scaling Group, para proteção contra falhas de instâncias EC2, conforme mostrado na imagem da arquitetura abaixo.
SAP Data Warehouse Cloud, SAP Analytics Cloud e SAP HANA Cloud
Todas essas soluções são SaaS ou PaaS, oferecidas via SAP BTP e executadas em um ambiente multi-tenant. É por isso que não é possível estabelecer uma conexão individual entre a rede on-premises ou uma conta AWS gerenciada pelo cliente e a VPC da conta AWS gerenciada pela SAP com a solução SaaS/PaaS. O VPC Peering ou o AWS Transit Gateway não podem ser usados para conectar essas soluções com contas adicionais da AWS. No entanto, aplica-se o mesmo princípio da conectividade com o BTP.
Você pode usar o SAP Cloud Connector para se conectar a sistemas SAP rodando na AWS como S/4HANA ou BW/4HANA, por exemplo. Além da integração de backend direta com o SAP Cloud Connector, todos os três serviços oferecem uma integração direta com uma variedade de serviços AWS, como o Amazon S3, por exemplo.
O SAP Data Warehouse Cloud (DWC) pode se conectar ao Amazon S3, Amazon Redshift ou Amazon Athena, por exemplo. Você pode encontrar mais informações no SAP Discovery Center.
O SAP Analytics Cloud (SAC) oferece integração com Amazon S3 (por meio de open connectors), Amazon Redshift e Amazon EMR.
O SAP HANA Cloud pode se conectar ao Amazon S3 e Amazon Athena.
Para obter informações adicionais de conectividade e fontes de dados, consulte a documentação do DWC, a documentação do SAC ou a documentação do HANA Cloud.
Resumo
Para ofertas gerenciadas como HEC e RISE with SAP, VPC Peering é uma maneira simples e eficiente de conectar as contas AWS gerenciadas pelo cliente com a conta AWS gerenciada pela SAP, onde os serviços SAP são executados. O AWS Transit Gateway é uma boa solução para configurações de rede mais complexas e para conectar a conta da AWS gerenciada pela SAP a um grande número de outras contas da AWS e VPCs. Os clientes precisam considerar que o AWS Transit Gateway só pode residir na conta AWS do cliente.
Os clientes podem aproveitar as conexões existentes com a AWS via AWS Site-to-Site VPN ou AWS Direct Connect e conectar recursos da AWS com as opções de conectividade descritas. Recomenda-se usar as formas comunicação nativas da AWS e não rotear o tráfego pelo ambiente on-premises se não for necessário. Com isso, você se beneficia da velocidade, latência e segurança da rede AWS.
Os serviços SAP BTP oferecem interfaces públicas e você pode se conectar com o SAP Cloud Connector de maneira segura, por meio de criptografia TLS, para os serviços multi-tenant oferecidos pelo SAP BTP.
Para saber por que a AWS é a plataforma de escolha e inovação para mais de 5.000 clientes SAP, visite aws.amazon.com/sap.
Este artigo foi traduzido do Blog da AWS em Inglês.
Sobre o autor
Arne Knoeller é Sr. Solutions Architect na AWS.
Sobre o revisor
Andre Fellipe é Arquiteto de Soluções na AWS.