AWS: Verbindung SAP Systeme auf AWS mit OnPremise Landschaft des Kunden

Nach der Bereitstellung der SAP Infrastruktur on AWS (VPC, Subnets, EC2 Instanzen) muss für eine erfolgreiche SAP Systemmigration eine Verbindung zwischen OnPremise (Remote-Netzwerk) Landschaft und AWS VPC hergestellt werden. Für die Verbindung zwischen AWS VPC und Remote Netzwerk kann eine IPsec VPN Verbindung genutzt werden.

Grundkonfiguration der VPN Komponenten

Die Grundlegenden Einstellung des VPCs müssen bereits erfolgt sein. Es muss mindestens ein Subnetz vorhanden sein. Als Endpunkt auf AWS Seite dient in virtuelles privates Gateway das an das VPC angebunden wird.

Im Remote Netzwerk muss ein Kunden Gateway vorhanden sein, dieses wird ebenfalls in der AWS Konsole gepflegt.

Erstellen einer VPN Verbindung

Basierend auf der von dem Kunden bereitgestellte Firewall muss je nach Hersteller, Modell sowie Version bei der VPN Anlage die entsprechende Routing Option ausgeprägt werden. Wichtig ist bei der Konfiguration der Site to Site VPN Verbindung außerdem die Angabe des richtigen Virtuellen Gateways welches an das VPC angebunden sein muss, sowie die Kunden Gateway und ob dynamisches oder statisches Routing unterstützt wird.

Nach der Wahl der Routing Optionen und Anlage der VPN kann im AWS Portal die Konfigurationsdatei heruntergeladen werden. Hier werden nur die Optionen angezeigt die für das ausgeprägte Szenario valide sind.

Im Falle einer statischen Routing Verbindung bei der die Routen nicht automatisch propagiert werden, muss noch die Route Table des Subnetzes gepflegt werden in dem die SAP EC2 Instanzen angesiedelt sind. Als Quelle kann ein IP Adress-Bereich des Kunden Netzes angeben werden mit Ziel auf das Virtuelle Private Gateway in AWS.

SAP Port in VPC Security Groups

Für den Zugriff auf die SAP Systeme on AWS fehlt nach der Erstellung der VPN Verbindung zwischen VPC und Kunden Netzwerk nur noch die Freigabe der SAP Standard Ports. Ports werden in AWS über sogenannte Security Groups freigegeben, man definiert Zugriffsart (IP Adressen Bereich) und Quelle. Die erstelle Security Group kann dann den EC2 Instanzen zugewiesen werden auf denen die SAP Systeme laufen.

Bsp. SAP GUI Ports for Windows and Java.

Interessiert?

Nehmen Sie unverbindlich Kontakt mit uns auf.

Kontakt