Amazon WorkSpaces 充当远程访问解决方案 - 常规 SAP 指南

Amazon WorkSpaces 充当远程访问解决方案

借助 Amazon WorkSpaces,可提供安全、可扩展且托管的虚拟桌面环境来访问 SAP 系统。该虚拟桌面可用作 SAP 终端用户软件(例如 SAPGUI)的集中管理的托管平台,能连接到 RISE with SAP 中的 SAP S/4HANA 环境。

Amazon WorkSpaces 个人版提供永久虚拟桌面,专为需要预调配高度个性化桌面的用户量身定制,类似于分配给个人的物理台式机。

Amazon WorkSpaces 虚拟桌面池提供非永久虚拟桌面,专为需要访问临时基础设施上托管的精心挑选的桌面环境的用户量身定制。

下图说明了将 Amazon WorkSpaces 用作 RISE with SAP 的远程访问解决方案的情况。

将 Amazon WorkSpaces 用作 RISE with SAP 的远程访问解决方案

流量流

  1. 用户通过 Web 浏览器或 WorkSpaces 客户端发起与 AWS WorkSpaces URL 的连接。

  2. 用户已通过 AWS 托管 VPC 内的身份验证网关进行身份验证。当终端用户登录时,身份验证网关会根据 Directory Services 对用户进行验证;在用户通过验证后,该网关会为用户建立安全会话,使其能够访问自己的虚拟桌面。此会话管理可确保用户的 WorkSpaces 在活跃会话期间可供访问,并有助于保持会话的完整性与安全性。此架构部分在端口 443 上将安全套接字层(SSL)与 TCP 协议结合使用。

  3. 连接通过另一个 VPC 附件路由到单独的 Amazon VPC 中的域控制器。域控制器负责管理用户的权限和访问控制策略。它可确保用户拥有与其角色及组成员资格对应的资源访问权限。这通常通过集成来实现(例如,AWS Managed Microsoft AD 或通过 AWS Directory Service 连接的本地 AD)。

  4. Transit Gateway 负责管理 VPC 与 Direct Connect 或 VPN 之间的路由。AWSDirect Connect 或 VPN 可提供从 AWS 到 SAP RISE 环境的安全连接。

  5. 在用户设备和 SAP 托管的 RISE VPC 之间建立安全会话。

  6. AWS 托管的 VPC 中的流式传输服务网关开始将虚拟桌面环境流式传输到用户设备。此流式传输在 AWS 基础设施内受到保护与管理。流式传输网关通过互联网将桌面流安全地传输到用户设备。此时,用户设备可通过 SAP 终端用户软件(例如 SAPGUI)访问托管在 RISE 环境中的 SAP 应用程序(例如 SAP S/4)。

  7. Amazon WorkSpaces 可让您访问以下 2 种类型的 WorkSpaces,具体取决于您的组织和用户需求。

    WorkSpaces 虚拟桌面池,在池化配置下,从共享池中动态将 WorkSpaces 分配给用户。当某个用户登录时,该用户可能并不总是连接到同一台设备,并且已安装应用程序或用户配置等更改通常不会在各个会话之间保留。

    WorkSpaces 个人版,在此配置下,为每个用户分配专用虚拟桌面,他们可以在其中安装应用程序、保存文件,并在各个会话之间保留其设置和数据。

设置 Amazon WorkSpaces 以进行 SAP RISE 访问

  1. 要使用或设置 Amazon WorkSpaces 以连接到 SAP RISE,请按照 WorkSpaces 入门中的说明进行操作。

  2. 有关将 Amazon WorkSpaces 与 SAP 单点登录集成的更多信息,请参阅如何将 Amazon WorkSpaces 与 SAP 单点登录集成

  3. Install SAPGUI on your WorkSpaces from SAP Software download

  4. 使用 SAP 系统详细信息在 WorkSpaces 中 Connect to SAP system via the SAPGUI client

Amazon WorkSpaces 运营最佳实践

  1. 监控:使用 AWS CloudWatch 监控 WorkSpaces 的性能和运行状况

  2. 备份和恢复:确保 WorkSpaces 上的关键数据已备份,并且您已制定恢复计划

  3. 更新和维护:定期更新 WorkSpaces 上的软件和系统,确保实现安全性和合规性。默认情况下,Windows WorkSpaces 每周自动更新一次

  4. 优化性能

    扩展和性能优化:您可以根据用户需求,在 Standard、Power、Performance 及其他计算类型之间切换 WorkSpaces。

  5. 成本管理

    WorkSpaces 服务包:考虑购买包含终端用户所需软件的虚拟桌面服务包。通常,对于简单的 SAPGUI 访问,选择“Value”类型可节省成本。有关更多详细信息,请参阅 AWS WorkSpaces 定价页面

    监控使用情况:使用 AWS Cost Explorer 成本管理服务和预算功能来高效监控并管理成本。

    对于非持久性的安全桌面访问,可将 WorkSpaces 虚拟桌面池视为高性价比之选。

通过执行这些步骤,您可以将 Amazon WorkSpaces 设置为 RISE with SAP 系统的高效远程访问解决方案,确保实现安全、可扩展且高效的运营。

WorkSpaces 为 RISE 带来的优势

在 RISE with SAP 部署中,将 Amazon WorkSpaces 用作远程访问解决方案可带来多项优势,尤其在安全性、访问控制和运营效率方面。以下是该方案的核心优势:

  1. 增强的安全性与可控的访问权限

    隔离环境:WorkSpaces 提供一个隔离环境,在此环境中,对 RISE 部署内 SAP 系统的访问会受到严格控制,这有助于防止对关键系统进行未经授权的直接访问。

    无直接互联网暴露:通过将 WorkSpaces 用作远程访问解决方案,可限制对 SAP 环境的互联网访问。外部用户或管理员必须先连接到安全的 WorkSpaces,从而降低 SAP 系统的暴露风险。

    安全协议(PCoIP/WSP):WorkSpaces 采用 PCoIP 或 WSP 等安全流式传输协议,确保数据在传输过程中处于加密状态。

    缩小攻击面:通过将 WorkSpaces 用作 SAP 系统的唯一接入点,可有效隔离 SAP 环境与互联网或企业网络的直接连接,从而缩小攻击面。

    VPC 集成:WorkSpaces 可部署在 Amazon Virtual Private Cloud(VPC)内的私有子网中,确保与 RISE with SAP 基础设施之间实现安全、直接的连接。

    AWS Direct Connect 或 VPN:您可以使用 AWS Direct Connect 或 VPN 连接,在 WorkSpaces 与 SAP 环境之间建立安全的网络路径,进一步提升安全性。

  2. 集中式管理

    统一接入点:Amazon WorkSpaces 可充当管理和运维 RISE with SAP 环境的单一接入点,并简化监控与控制流程。

    审计和日志记录:AWS CloudTrail 和 Amazon CloudWatch 等 AWS 服务可记录用户在 WorkSpaces 上的操作并监控相关活动,这有助于进行安全审计并跟踪对 SAP 系统的访问。

    与 AWS IAM 集成:通过 AWS Identity and Access Management(IAM)实现基于角色的访问控制(RBAC),确保实现对 WorkSpaces 与 SAP 资源的精细访问。这将最大限度地降低未经授权的访问风险,并满足合规性要求。

  3. 提升了运营效率:

    按需可扩展性:WorkSpaces 可快速预调配并按需扩展,这使得管理员或开发人员无需完成冗长的设置流程,即可轻松获得对 SAP 环境的访问权限。

    极少维护工作:Amazon WorkSpaces 是完全托管的,大幅降低了物理服务器或传统远程桌面基础设施的维护成本。更新与修补工作由 AWS 完成,使相关人员能够将更多精力投入更重要的运营中。

    成本效益:WorkSpaces 可配置为仅在使用时计费(小时定价),这是其成为适用于临时访问或非频繁访问场景(尤其是在无需持续运维的场景中)的高性价比解决方案。

    远程访问:借助 WorkSpaces,管理员和用户可以通过互联网连接从任意位置安全地访问 SAP 环境。这对于为 SAP 环境提供支持的分布式团队或远程员工特别有用。

    高韧性与高可用性:WorkSpaces 可与 AWS 备份解决方案集成,并跨多个 AWS 可用区(AZ)部署,确保实现冗余与高可用性。

    快速恢复:如果 SAP 环境中发生故障或灾难,可通过 WorkSpaces 快速、灵活地重新连接至备用环境或备份系统。