将 DNS 集成到 RISE 和 Route 53 - 常规 SAP 指南

将 DNS 集成到 RISE 和 Route 53

本文档提供了有关适用于 AWS 上的“RISE with SAP”部署的域名系统(DNS)集成方案的指南,重点面向企业场景,其中客户希望实现 RISE with SAP 工作负载与其跨 AWS 及外部环境的现有工作负载之间的名称解析。

双向 DNS 集成对于将 RISE with SAP 系统连接至各种 AWS 云资源、本地资源及企业基础设施至关重要。在制造环境中,一个常见的使用案例是将 SAP 应用程序连接至车间设备。例如,SAP 可能需要与生产车间内的打印机通信,以生成标签、工作订单或货运单据。这就要求在 RISE with SAP 环境中能够解析“printer-line1.factory.company.local”这类内部主机名。

相反,外部系统和应用程序通常需要通过 DNS 查找来访问 RISE with SAP 环境中的资源,尤其是在调用 ODATA API 端点来开展业务事务(例如,生成工作订单)时。由于合规性和安全性要求,RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要,因此以下各部分将重点介绍私有网络内的 DNS 解析。

由于合规性和安全性要求,RISE with SAP 系统与现有企业系统之间的集成场景通常需要内部网络连接。这一点对于 RISE with SAP 部署尤为重要,因此以下各部分将重点介绍私有网络内的 DNS 解析。

架构方案

将 RISE with SAP 与您现有的 DNS 设置集成时,您可以采用两大架构方案:条件 DNS 转发和 DNS 区域传输。您还必须考虑 DNS 区域委派相关事宜。这两个方案及注意事项适用于仅 AWS 部署,以及 AWS 与外部环境(如本地环境或其他云服务提供商)相连的混合场景。

DNS 集成架构的选择取决于您的服务可靠性需求、现有 DNS 基础设施能力,以及可接受的运维复杂度,与自运营 DNS 基础设施相比,托管服务所需的维护工作和专业知识通常会更少。

在与 RISE with SAP 进行 DNS 集成时,我们建议通过 Amazon Route 53 Resolver 端点实施条件 DNS 转发。Route 53 可提供高度可用、可扩展的 DNS 服务,从而最大限度地降低运维开销。借助此方法,您无需设置和运行自己的 DNS 服务器,并且可进一步降低运维复杂度。此外,Route 53 不仅提供与现有环境的直接集成,还可通过 Amazon CloudWatch 提供监控能力。不过,如果您有特定的要求或技术限制,可以参考后续部分中详细介绍的替代方案。

推荐的 DNS 分割模式是为每个环境实施专用子域(例如,aws.corp.com、dc.corp.com 和 sap.corp.com),通过有条件的跨环境转发来对每个环境进行 DNS 本地解析。此方案通过将本地 DNS 请求保持在其相应的环境中来优化性能,进而减少延迟、提升系统韧性并简化 DNS 管理。具体而言,它能够有效地减少环境间网络链路故障产生的影响。

通用基础设施要求

在实施 DNS 集成方案之前,请确保满足以下先决条件(另见后续图表):

  1. 网络连接:通过 AWS Direct Connect 或 AWS Site-to-Site VPN,使用 AWS Transit Gateway(或云 WAN、VPC 对等连接)将外部环境与您的 AWS 环境以及使用 RISE with SAP VPC 相连接。

  2. 域委派:在 RISE with SAP 设置过程中,SAP 要求将子域(sap.<customer>.<domain>)委派给 RISE with SAP VPC 中的 RISE DNS 服务器。这使终端用户和应用程序能够通过您组织的域访问 RISE with SAP 系统。

条件 DNS 转发(推荐方案)

条件 DNS 转发支持将特定域名的查询选择性地转发到另一台 DNS 服务器进行解析(例如,Amazon Route 53 将 sap.corp.com 的 DNS 查询转发至 RISE DNS 服务器)。我们建议实施条件 DNS 转发,除非因技术限制导致无法采用此方案。此方案的核心优势在于,客户可以利用 Route 53,而不是在 AWS 上设置和运营自己的 DNS 基础设施。这样一来,客户既简化了集成路径,又获得了 Route 53 高度可用且可靠的全球基础设施带来的优势。

以下参考架构概述了此方案所需的组件:

RISE 中的 DNS 转发

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 在您的中央联网 VPC 中创建 Route 53 Resolver 端点(入站和出站),以处理您的 AWS 账户与 RISE with SAP 账户之间的 DNS 查询。请遵循 Resolver 端点的最佳运维实践。我们建议跨所有可用区部署多个端点,并在 CloudWatch 中监控这些端点的利用率以支持主动扩展。向 SAP 提供您的本地 DNS 服务器的详细信息以及 Route 53 Resolver 端点的 IP 地址(用于转发和防火墙配置)。

  4. 在工作负载 VPC 中配置 Route 53 Resolver 规则以转发 DNS 查询,如下所示:

    1. SAP 绑定的 DNS 查询:转发到出站端点以通过 SAP DNS 服务器解析查询

    2. 企业数据中心绑定的 DNS 查询:转发到出站端点以通过本地 DNS 服务器解析查询

  5. 将本地 DNS 服务器配置为转发 DNS 查询,如下所示:

    1. SAP 绑定的查询:转发到 SAP DNS 服务器(或者,从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输)

    2. AWS 绑定的查询:转发到入站端点

  6. 对 SAP DNS 服务器进行如下配置:

    1. 企业数据中心绑定的 DNS 查询:转发到本地 DNS 服务器

    2. AWS 绑定的 DNS 查询:转发到入站端点

确保您的工作负载 VPC 已关联所有相关解析器规则,以便通过中央联网 VPC 进行 DNS 转发。我们建议使用 Route 53 Profiles 来管理这些配置,因为它可在多个 VPC 和 AWS 账户之间实现一致的 DNS 设置。此方案简化了 DNS 管理,可让您在整个 AWS 基础设施中定义和应用标准化 DNS 配置。

请注意,对于混合环境中的 DNS 解析,DNS 委派可作为条件转发的替代方案。虽然通常会建议您在 RISE with SAP 环境中使用条件转发,但 DNS 委派在特定场景中可能更具优势,尤其适用于存在许多分布式 DNS 解析器且没有集中式上游解析器的环境。但对于涉及 SAP DNS 服务器的场景,还需考虑其他技术注意事项,如“DNS 区域委派”部分中所述。

DNS 区域传输

通过区域传输,权威 DNS 服务器的 DNS 数据库会在一组辅助 DNS 服务器之间进行复制。您可以直接在本地 DNS 服务器和 RISE 环境中的 SAP DNS 服务器之间实现区域传输。但是,如果您需要扩展区域传输以包含您的 AWS DNS 命名空间(例如,aws.<customer>.<domain>)来在本地和工作负载 VPC 之间进行通信,则需在您的 AWS 环境中运维自己的 DNS 服务器(例如 BIND)。这是因为 Route 53 不支持区域传输。请记住,与使用 Route 53 进行 DNS 转发相比,此方案会增加运维复杂性。

有关此方案的详细信息,请咨询您的 SAP Cloud 架构师或您的 AWS 账户团队。有关运行您自己的 BIND DNS 服务器的最佳实践,请参阅此链接

下图说明了通过区域传输将 RISE 环境与现有 DNS 环境(本地/AWS)集成的参考架构。

RISE 中的 DNS 区域传输

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 在联网 VPC 中设置中央 DNS 服务器(例如,EC2 上的 BIND),或通过相应修改 VPC DHCP 选项集,在每个工作负载 VPC 中设置分散式 DNS 服务器。请向 SAP 提供本地 DNS 服务器和 AWS 托管的 DNS 服务器的详细信息(用于区域传输和防火墙配置)。

  4. 对 AWS 托管的 DNS 服务器进行如下配置:

    1. SAP 绑定的查询:从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输

    2. 数据中心绑定的查询:从本地 DNS 服务器进行 dc.<customer>.<domain> 的区域传输

  5. 对本地 DNS 服务器进行如下配置:

    1. SAP 绑定的 DNS 查询:从 SAP DNS 服务器进行 sap.<customer>.<domain> 的区域传输

    2. AWS 绑定的 DNS 查询:从 AWS 托管的 DNS 服务器进行 aws.<customer>.<domain> 的区域传输

  6. 对 SAP DNS 服务器进行如下配置:

    1. 客户数据中心绑定的 DNS 查询:从本地 DNS 服务器进行 dc.<customer>.<domain> 的区域传输

    2. AWS 绑定的 DNS 查询:从 AWS 托管的 DNS 服务器进行 aws.<customer>.<domain> 的区域传输

DNS 区域委派

如果客户运行跨多个环境分布的多个 DNS 解析器,并且未使用集中式 DNS 解析器服务,则配置并维护 DNS 转发规则或区域传输可能会带来运维挑战。利用 DNS 区域委派功能,您可以在 DNS 层次结构中的单个点上定义特定子域的权限,从而简化整个基础设施的 DNS 管理工作。

通过将 Amazon Route 53 Resolver 端点与 DNS 委派功能结合使用,您可以构建并维护一个跨本地环境和 AWS 环境的统一私有 DNS 命名空间。

然而,在 RISE 环境中与将区域委派功能与 SAP DNS 服务器结合使用时,有特定的技术注意事项。如果没有集中式上游解析器,由于缓存效率降低,向 SAP DNS 服务器进行区域委派会增加并发查询负载。此外,所有 DNS 解析器都需要指向 SAP DNS 服务器的直接网络路径,这可能需要额外的连接配置。实施此方案之前,请咨询 SAP ECS。

存在两种主要场景:

场景 1 AWS 上的 Route 53 中的父域

如果客户在云中运行大部分工作负载,并在 AWS 上通过 Route 53 运维私有 DNS 根区域,您可以将子域委派给外部 DNS 服务器。这包括同时委派给 SAP DNS 服务器(例如 sap.corp.com)和本地 DNS 服务器(例如 dc.corp.com)。

父域在 Route 53 中的 DNS 区域委派

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点(入站和出站)

  4. 将本地服务器和 SAP DNS 服务器的 IP 配置为父域(例如 corp.com)的私有托管区(PHZ)中的 NS 记录,并将 PHZ 与您的工作负载 VPC 关联(Route 53 Profiles 有助于管理 PHZ 关联和解析器规则)。如果您的 DNS 服务器在同一域(例如 ns.dc.corp.com)中,则还需在父域中配置粘附记录。为相关子域(dc.corp.com)创建 Route 53 Resolver 委派规则,并将这些规则与您的工作负载 VPC 相关联(见上面的图表)。

  5. 在本地解析器上配置条件 DNS 转发,以允许解析父域和 SAP 域(SAP 端需进行相同配置)

场景 2 本地父域

如果客户刚开始云之旅,并且仍在本地维护根区域,DNS 委派有助于高效地集成 SAP 环境和 AWS 环境,同时保持本地 DNS 控制。

父域在本地环境中的 DNS 区域委派

  1. 网络连接:请参阅“通用基础设施要求”

  2. 域委派:请参阅“通用基础设施要求”

  3. 在您的中央联网 VPC 中设置 Route 53 Resolver 端点(入站和出站)

  4. 为 aws.corp.com 配置 PHZ,并将其关联到您的中央联网和工作负载 VPC。配置条件 DNS 转发规则,以允许 VPC 解析本地工作负载和 RISE with SAP 系统的查询(SAP 端需进行相同配置)。

  5. 在域的本地权威名称服务器中,使用 sap.corp.com 和 aws.corp.com 的委派(NS)记录(例如 ns1.corp.com)更新 corp.com 区域。

将 AWS Route 53 Resolver 入站端点和 SAP DNS 服务器的 IP 配置为 ns1.corp.com 区域文件中的目标记录。如果您的 DNS 服务器在同一域中,则还需在父域中配置粘附记录。

有关区域委派功能的更多详细信息,请参阅 Route 53 文档。以下博客文章为您提供了有关如何将 Route 53 委派功能用于私有 DNS 的更深入的分步指南:使用 Amazon Route 53 Resolver 端点委派简化混合 DNS 管理

有关上述集成方案的更多信息,请联系您的 SAP Cloud 架构师或 AWS 账户团队。