Slider

AWS: Verbindung SAP Systeme auf AWS mit OnPremise Landschaft des Kunden

Blogbeitrag vom 01. Februar 2020

Nach der Bereitstellung der SAP Infrastruktur on AWS (VPC, Subnets, EC2 Instanzen) muss für eine erfolgreiche SAP Systemmigration eine Verbindung zwischen OnPremise (Remote-Netzwerk) Landschaft und AWS VPC hergestellt werden. Für die Verbindung zwischen AWS VPC und Remote Netzwerk kann eine IPsec VPN Verbindung genutzt werden.

Grundkonfiguration der VPN Komponenten

Die Grundlegenden Einstellung des VPCs müssen bereits erfolgt sein. Es muss mindestens ein Subnetz vorhanden sein. Als Endpunkt auf AWS Seite dient in virtuelles privates Gateway das an das VPC angebunden wird.

Im Remote Netzwerk muss ein Kunden Gateway vorhanden sein, dieses wird ebenfalls in der AWS Konsole gepflegt.

Im Anschluss kann mithilfe der beiden Gateways eine VPN Verbindung zwischen AWS VPC und Kunden Remote Netzwerk hergestellt werden.

Erstellen einer VPN Verbindung

Basierend auf der von dem Kunden bereitgestellte Firewall muss je nach Hersteller, Modell sowie Version bei der VPN Anlage die entsprechende Routing Option ausgeprägt werden. Wichtig ist bei der Konfiguration der Site to Site VPN Verbindung außerdem die Angabe des richtigen Virtuellen Gateways welches an das VPC angebunden sein muss, sowie die Kunden Gateway und ob dynamisches oder statisches Routing unterstützt wird.

Nach der Wahl der Routing Optionen und Anlage der VPN kann im AWS Portal die Konfigurationsdatei heruntergeladen werden. Hier werden nur die Optionen angezeigt die für das ausgeprägte Szenario valide sind.

Dynamisch

Statisch

Im Falle einer statischen Routing Verbindung bei der die Routen nicht automatisch propagiert werden, muss noch die Route Table des Subnetzes gepflegt werden in dem die SAP EC2 Instanzen angesiedelt sind. Als Quelle kann ein IP Adress-Bereich des Kunden Netzes angeben werden mit Ziel auf das Virtuelle Private Gateway in AWS.

SAP Port in VPC Security Groups

Für den Zugriff auf die SAP Systeme on AWS fehlt nach der Erstellung der VPN Verbindung zwischen VPC und Kunden Netzwerk nur noch die Freigabe der SAP Standard Ports. Ports werden in AWS über sogenannte Security Groups freigegeben, man definiert Zugriffsart (IP Adressen Bereich) und Quelle. Die erstelle Security Group kann dann den EC2 Instanzen zugewiesen werden auf denen die SAP Systeme laufen.

Bsp. SAP GUI Ports for Windows and Java.

Eine Übersicht der SAP Standard Ports findet man hier.

Weitere Blogbeiträge

AWS: Host Provisioning und Vorbereitung für SAP HANA auf AWS

Blogbeitrag vom 05. Februar 2020

AWS: Upload von SAP Backups auf EC2 Instanzen nach S3

Blogbeitrag vom 07. Februar 2020