Roadmap de Migración AWS

Crear la organización AWS con una estructura de cuentas que soporte múltiples ambientes SAP, separación de responsabilidades y gobernanza centralizada.

Estructura recomendada de OUs:

• Raíz → Cuenta de gestión (solo facturación y administración de la organización)
• OU: Seguridad → Cuenta de registros, auditoría (CloudTrail, Config, GuardDuty)
• OU: Servicios Compartidos → Red compartida, DNS, Transit Gateway, bastión
• OU: Cargas de trabajo / Dev → Cuenta SAP DEV
• OU: Cargas de trabajo / QAS → Cuenta SAP QAS (futura)
• OU: Cargas de trabajo / Prod → Cuenta SAP PRD (futura)
• OU: Sandbox → Experimentación libre

SCPs (Políticas de Control de Servicio) básicas:

• Denegar regiones no autorizadas (solo habilitar la región destino, ej: us-east-1 o sa-east-1)
• Denegar desactivación de CloudTrail
• Denegar creación de usuarios IAM con acceso de consola (forzar SSO)

Asegurar la cuenta raíz y establecer el marco de identidad y acceso.

• Cuenta raíz: MFA de hardware (YubiKey recomendado), NO crear claves de acceso
• IAM Identity Center (SSO): Configurar como fuente de identidad centralizada
• Conjuntos de permisos: AdministratorAccess (acceso de emergencia), PowerUserAccess, ReadOnlyAccess, conjuntos personalizados para SAP
• Procedimiento de emergencia: Documentar acceso de emergencia con cuenta raíz

Control Tower automatiza la creación de la zona de aterrizaje con barreras de protección preconfiguradas. Configura automáticamente CloudTrail, Config, y la estructura de cuentas con buenas prácticas.

• Crea cuentas de archivo de registros y auditoría automáticamente
• Configura barreras de protección (preventivas y detectivas)
• Fábrica de cuentas para crear cuentas nuevas de forma estandarizada

¿Cuándo NO usar Control Tower? Si solo se tendrá 1-2 cuentas y la organización es pequeña, puede ser sobrecarga innecesaria. Pero si se planea multi-cuenta (como este caso con DEV/QAS/PRD), es altamente recomendado.

Activar registros desde el día 0. Sin registros, no hay seguridad ni diagnóstico de problemas.

• CloudTrail: Registro organizacional → bucket S3 en cuenta de Seguridad (encriptado con KMS)
• AWS Config: Activar en todas las cuentas, reglas de cumplimiento básicas
• GuardDuty: Activar como administrador delegado desde la cuenta de Seguridad
• VPC Flow Logs: Se activan en Fase 1 junto con la VPC

Configurar alertas de costos ANTES de desplegar infraestructura. Evitar sorpresas en la factura.

• AWS Budgets: Presupuesto mensual con alertas al 50%, 80%, 100%
• Etiquetas de asignación de costos: Definir etiquetas obligatorias: Environment (dev/qas/prd), Project (sap-migration), CostCenter, Owner
• Cost Explorer: Activar y revisar semanalmente
• Savings Plans: NO comprar aún — primero entender el consumo real en DEV

La región AWS impacta latencia, costos, disponibilidad de instancias certificadas para SAP, y cumplimiento normativo.

• Factores clave: Latencia hacia on-premises, disponibilidad de instancias x2idn/u-series para HANA PRD, costo por región, requisitos de residencia de datos
• Opciones típicas para LATAM: us-east-1 (Virginia — más servicios, más barato), sa-east-1 (São Paulo — menor latencia a Sudamérica)
• Verificar que las instancias certificadas SAP estén disponibles en la región elegida

VPC 10.10.0.0/16 con subnets segregadas por función y distribuidas en 2 AZs para preparar la arquitectura que se replicará en QAS y PRD.

• pública-a/b: NAT Gateway, bastión (si aplica), ALB
• app-a/b: Servidores de aplicación SAP, WebDispatcher
• db-a/b: SAP HANA DB (subnet dedicada para aislamiento)
• gestión-a: Gestión, monitoreo, acceso administrativo
• ad-a/b: Active Directory (Multi-AZ requerido por Managed AD)

Configurar el enrutamiento: subnets públicas con IGW, subnets privadas con NAT GW para salida a internet (actualizaciones de SO, descargas SAP).

• IGW: Adjuntar a la VPC
• NAT Gateway: En subnet pública, IP elástica asignada. Para DEV un solo NAT GW es suficiente.
• Tablas de rutas: Pública (0.0.0.0/0 → IGW), Privada (0.0.0.0/0 → NAT GW)

Paso crítico. Establecer el túnel VPN IPSec entre el WatchGuard M390 on-premises y AWS. Esta es la arteria principal de comunicación.

Lado AWS:

• Crear Virtual Private Gateway (VGW) y adjuntar a VPC DEV (o Transit Gateway si se planea multi-VPC)
• Crear Customer Gateway con la IP pública del WatchGuard M390
• Crear conexión VPN (2 túneles por redundancia)

Lado WatchGuard M390 (Fireware):

• VPN → Branch Office VPN → BOVPN Manual
• Gateway: IP remota = IPs de los 2 túneles AWS, ID local = IP pública del M390
• Fase 1: IKEv2, AES-256-CBC, SHA-256, Grupo DH 14 (2048-bit) o superior, Tiempo de vida 28800s
• Fase 2: ESP, AES-256-CBC, SHA-256, PFS Grupo DH 14, Tiempo de vida 3600s
• Túnel: Red local = 10.0.0.0/16 (on-prem), Red remota = 10.10.0.0/16 (VPC DEV)

El Transit Gateway es el punto central de enrutamiento entre todas las VPCs y las conexiones VPN. Aunque solo tengamos DEV ahora, desplegarlo ya prepara la infraestructura para QAS y PRD sin rediseño.

• Crear TGW en la cuenta de Servicios Compartidos o Red
• Adjuntar VPC DEV al TGW
• Adjuntar la VPN al TGW (en lugar de VGW)
• Tablas de rutas del TGW: separar enrutamiento por ambiente

Crear Security Groups con principio de mínimo privilegio para cada componente SAP.

• sg-sap-hana: TCP 30013,30015,30017 (HANA) desde sg-sap-app; TCP 22 desde sg-gestion
• sg-sap-app: TCP 3200-3299 (Diálogo), 3300-3399 (Gateway), 3600 (Message Server), 8000-8443 (ICM/HTTP) desde sg-webdisp; TCP 22 desde sg-gestion
• sg-webdisp: TCP 443,8443 desde on-prem (10.0.0.0/16); TCP 22 desde sg-gestion
• sg-ad: TCP/UDP 389,636,88,445,135,3268,3269,49152-65535; ICMP; desde CIDR de VPC
• sg-gestion: TCP 22 desde on-prem; TCP 3389 (si Windows) desde on-prem

Si SAP DEV en AWS necesita comunicarse con servicios en Azure (ej: durante copia de sistema), hay varias opciones:

• Opción A — Rebote por on-prem: Tráfico AWS → VPN → M390 → VPN → Azure. Simple, usa lo existente, pero duplica latencia y consume ancho de banda del M390.
• Opción B — VPN Azure ↔ AWS directa: VPN S2S entre Azure VPN GW y AWS TGW. Mejor rendimiento, más complejo.
• Opción C — Sin conexión directa: Para DEV, hacer copia de sistema vía respaldo/restauración (S3/Blob) sin necesidad de conexión en tiempo real.

Recomendación para DEV: Opción C (respaldo/restauración) o Opción A (rebote) si se necesita conectividad puntual. No invertir en VPN directa Azure↔AWS hasta que se confirme la necesidad.

Configurar resolución DNS entre AWS, on-premises y (opcionalmente) Azure.

• Zona alojada privada: dev.aws.empresa.local asociada a VPC DEV
• Endpoints de resolución Route 53: Entrante (on-prem → AWS) y Saliente (AWS → on-prem)
• Reglas de reenvío: empresa.local → DNS on-prem; ad.empresa.local → AD en AWS

Activar registros de flujo para diagnóstico y seguridad, luego validar toda la conectividad de extremo a extremo.

Lista de verificación de validación:

• ☐ Ping desde on-prem (10.0.x.x) a una EC2 de prueba en VPC DEV (10.10.x.x)
• ☐ Ping desde EC2 DEV hacia on-prem
• ☐ Resolución DNS bidireccional
• ☐ Traceroute para verificar ruta (debe pasar por VPN)
• ☐ Verificar estado VPN en consola AWS y WatchGuard Traffic Monitor
• ☐ Medir latencia de referencia (ping -c 100)

Decisión clave que impacta costo, control y complejidad.

Recomendación: Para la mayoría de casos SAP, AWS Managed Microsoft AD (Edición Estándar) es suficiente para DEV. Si se requiere control absoluto sobre el DC o GPOs avanzadas, AD en EC2.

Despliegue en las subnets AD (10.10.4.0/24 y 10.10.14.0/24 si multi-AZ).

Para AD en EC2 (alternativa):

• 2× EC2 t3.medium (Windows Server 2022) en AZ-a y AZ-b
• Instalar rol AD DS, promover a controladores de dominio
• Configurar Sites & Services con las subnets de AWS

Si existe un AD on-premises, crear una relación de confianza para que los usuarios corporativos puedan autenticarse en AWS.

• Prerequisitos: VPN funcional (Fase 1.3), resolución DNS bidireccional, puertos AD abiertos en WatchGuard M390 y Security Groups
• Tipo de confianza: Confianza de bosque (bidireccional) es lo más flexible
• Puertos requeridos en firewall: TCP/UDP 53 (DNS), 88 (Kerberos), 135 (RPC), 389 (LDAP), 445 (SMB), 636 (LDAPS), 3268-3269 (GC), 49152-65535 (RPC dinámico)

En WatchGuard M390: Crear política de firewall que permita tráfico AD entre on-prem (10.0.0.0/16) y subnets AD de AWS (10.10.4.0/24) para los puertos listados.

Asegurar que las VMs en AWS resuelvan nombres del dominio AD, y que AD resuelva nombres en Route 53.

• Conjunto de opciones DHCP de la VPC apuntando a los DCs de Managed AD como servidores DNS
• Regla de salida del resolvedor Route 53 para ad.empresa.local → IPs de los DCs

Probar el Active Directory de extremo a extremo antes de desplegar SAP.

• ☐ Crear EC2 de prueba (Windows + Linux)
• ☐ Unión al dominio Windows: verificar en AD que aparece el objeto de equipo
• ☐ Unión al dominio Linux (SSSD/realmd): realm join ad.empresa.local
• ☐ Verificar autenticación con usuario del dominio
• ☐ Verificar que GPOs se aplican (si Windows)
• ☐ Probar confianza: autenticarse con usuario del dominio on-prem desde EC2 en AWS
• ☐ Verificar resolución DNS: nslookup ad.empresa.local y nslookup onprem.empresa.local

Preparar los componentes base para lanzar instancias SAP.

• Par de claves: Crear o importar par de claves SSH para acceso a instancias SLES
• AMI: Usar SLES for SAP del AWS Marketplace (incluye parámetros de kernel y paquetes específicos para SAP)
• Perfil de instancia IAM: Rol EC2 con permisos para CloudWatch, S3 (respaldos), SSM

Instancia optimizada en memoria para la base de datos HANA.

• Instancia recomendada DEV: r6i.xlarge (4 vCPU, 32 GB RAM) — suficiente para HANA DEV con carga mínima
• Alternativa mayor: r6i.2xlarge (8 vCPU, 64 GB) si el conjunto de datos DEV es significativo
• Ubicación: subnet-db-a (10.10.2.0/24)
• Volúmenes EBS para HANA:

Instancias para el servidor de aplicación (ASCS + PAS) y WebDispatcher.

• Servidor de aplicación (PAS + ASCS combinado para DEV): r6i.large (2 vCPU, 16 GB). En DEV se pueden combinar ASCS + PAS en una sola instancia.
• WebDispatcher: t3.small (2 vCPU, 2 GB). Liviano para DEV.
• Ubicación: subnet-app-a (10.10.1.0/24)

Almacenamiento de objetos para respaldos, directorio de transportes SAP y media de instalación.

• empresa-sap-respaldos-dev — Respaldos HANA (Backint o basados en archivo), instantáneas EBS
• empresa-sap-media — Media de instalación SAP (SWPM, kernel, instalador HANA)
• empresa-sap-transportes-dev — Archivos de transporte si se comparten entre sistemas

Configurar respaldo automatizado de las instancias SAP DEV.

• Plan de AWS Backup: Respaldo diario de volúmenes EBS, retención 7 días para DEV
• Bóveda: Bóveda encriptada con KMS
• Basado en etiquetas: Respaldar todo recurso con etiqueta Backup=daily

Configurar el sistema operativo según los requisitos SAP antes de la instalación.

• Registrar SLES con SUSEConnect (licencia SAP incluida en AMI del AWS Marketplace)
• Montar volúmenes EBS en los puntos de montaje SAP
• Ajustar parámetros de kernel según SAP Notes
• Instalar paquetes requeridos

Instalar la base de datos SAP HANA usando hdblcm (HANA Database Lifecycle Manager).

• Copiar media HANA desde S3 al servidor
• Ejecutar hdblcm con los parámetros adecuados
• SID y número de instancia deben coincidir con el sistema origen (si es copia de sistema) o ser nuevos (instalación limpia)

Instalar los componentes de la capa de aplicación usando SAP Software Provisioning Manager (SWPM).

• ASCS (ABAP Central Services): Message Server + Enqueue Server. Instalar primero.
• Instancia de base de datos: Cargar el esquema en HANA (si es instalación limpia con SWPM)
• PAS (Primary Application Server): Instalar después de la carga de BD
• Para DEV, ASCS y PAS pueden ir en la misma instancia EC2

Configurar los componentes de punto de entrada y conectividad SAP.

• WebDispatcher: Punto de entrada HTTP/HTTPS para Fiori, SAP GUI HTML, APIs. Termina SSL, distribuye carga.
• SAP Router: Túnel seguro hacia SAP SE para soporte remoto y notas. No exponerlo a internet.

Dos opciones para poblar el sistema DEV en AWS:

• Opción A — Instalación limpia: Instalar SAP S/4HANA limpio con SWPM. Ideal si se quiere un DEV nuevo.
• Opción B — Copia de sistema (respaldo/restauración): Tomar respaldo HANA del DEV en Azure, transferir a AWS, restaurar. Mantiene datos y configuración.

Procedimiento de copia de sistema (Opción B):

1. Respaldo completo de HANA en Azure DEV: hdbsql → BACKUP DATA USING FILE
2. Subir respaldo a Azure Blob, copiar a S3 (usando azcopy + aws s3 cp, o directamente desde la VM)
3. Descargar respaldo en EC2 AWS en /backup
4. Restaurar con SWPM (Copia de sistema → Sistema destino → Basado en respaldo/restauración)
5. Post-copia: cambiar hostname, licencia SAP temporal, reconfigurar RFCs, ajustar STMS

Configurar AWS Backint Agent para que los respaldos de HANA vayan directamente a S3.

• AWS Backint Agent es gratuito y certificado por SAP
• Integra con hdbsql BACKUP/RECOVER y SAP HANA Cockpit
• Soporte para respaldo completo, incremental, diferencial y de registros de transacción

Validación funcional completa del sistema SAP DEV en AWS.

• ☐ Inicio de sesión SAP GUI exitoso (vía WebDispatcher o directo)
• ☐ Transacciones críticas: SM21 (registro del sistema), ST22 (volcados), SM50/SM66 (procesos), DB02 (espacio BD)
• ☐ SM51 — verificar instancias activas
• ☐ STMS — Sistema de gestión de transportes configurado
• ☐ Conexiones RFC funcionando (SM59)
• ☐ HANA Cockpit / HANA Studio accesible
• ☐ Respaldo HANA exitoso vía Backint a S3
• ☐ Restauración de prueba exitosa
• ☐ Línea base de rendimiento: ST06 (monitor SO), ST02 (buffers), ST04 (rendimiento BD)
• ☐ Acceso web Fiori Launchpad (si aplica)

Configurar observabilidad completa de las instancias SAP.

• CloudWatch Agent: Instalar en cada EC2 para métricas de SO (memoria, disco, swap) — EC2 nativo solo reporta CPU y red
• Registros: Enviar /var/log/messages, registros de rastreo HANA, syslog SAP a CloudWatch Logs
• Alarmas: CPU > 85% x 5min, Memoria > 90%, Disco > 80%, StatusCheckFailed
• Panel de control: Vista unificada de todos los componentes SAP

Servicio especializado de AWS para monitoreo SAP que detecta automáticamente componentes SAP y crea paneles preconfigurados.

• Detecta automáticamente HANA, ASCS, Diálogo, WebDispatcher
• Métricas específicas de SAP: memoria HANA, replicación, alertas
• Integración con SNS para notificaciones

Auditar y endurecer la seguridad del entorno DEV.

• Security Hub: Activar con estándar AWS Foundational Security Best Practices
• Inspector: Escaneo de vulnerabilidades en las EC2
• Endurecimiento del SO: Deshabilitar SSH con root, fail2ban/sshguard, registros de auditoría
• Seguridad SAP: Cambiar contraseñas por defecto, revisar perfiles de autorización, desactivar usuarios SAP* y DDIC en mandante productivo
• Encriptación: EBS encriptado (KMS), S3 SSE-KMS, datos en tránsito (TLS)

Gestión centralizada de encriptación y secretos.

• KMS: Clave gestionada por el cliente para EBS, S3, RDS. Rotación automática.
• Secrets Manager: Almacenar credenciales SAP, contraseña SYSTEM de HANA, contraseña de administrador AD. Rotación automática.

Un respaldo que no se ha probado restaurar no es un respaldo.

• ☐ Restaurar respaldo HANA Backint desde S3 en la misma instancia
• ☐ Restaurar instantánea EBS en un volumen nuevo y verificar datos
• ☐ Documentar RTO/RPO observados para DEV
• ☐ Verificar que las políticas de ciclo de vida de S3 funcionan (objetos se mueven a Glacier)

Todo debe estar ✅ antes de proceder a QAS:

• ☐ VPN On-Prem ↔ AWS estable (disponibilidad > 99% en periodo de prueba)
• ☐ Latencia VPN aceptable (< 50ms para operación SAP)
• ☐ Active Directory funcional, unión al dominio exitosa, confianza con on-prem OK
• ☐ SAP HANA operativo, sin alertas en HANA Cockpit
• ☐ Servidor de aplicación SAP operativo, transacciones ejecutándose sin error
• ☐ WebDispatcher accesible desde on-prem
• ☐ Respaldos automáticos ejecutándose diariamente
• ☐ Restauración de respaldo validada exitosamente
• ☐ Monitoreo activo (paneles CloudWatch, alarmas configuradas)
• ☐ Security Hub sin hallazgos críticos
• ☐ Costos mensuales DEV dentro del presupuesto
• ☐ Documentación completa del despliegue
• ☐ Guías de operación básica documentadas

Documentar todo lo aprendido durante el despliegue DEV para mejorar el proceso en QAS/PRD.

• ¿Qué salió bien? (replicar)
• ¿Qué problemas surgieron? (prevenir)
• ¿Qué tomaría menos tiempo con IaC? (automatizar)
• ¿El dimensionamiento DEV fue adecuado? (ajustar para QAS)
• ¿La arquitectura de red necesita cambios? (refinar para QAS/PRD)

Presentar resultados a las jefaturas para obtener aprobación para QAS.

• Entregables:
• 📄 Informe de validación DEV (lista de verificación completada)
• 📄 Reporte de costos reales vs presupuesto
• 📄 Lecciones aprendidas documentadas
• 📄 Plan de QAS con estimación de tiempo y costo
• 📄 Riesgos identificados y mitigaciones

Crear VPC QAS replicando el diseño de DEV (subnets, tablas de rutas, NACLs, Security Groups). Si se codificó en Terraform durante Fase 6.2, ejecutar terraform apply con nuevas variables.

• Adjuntar VPC QAS al Transit Gateway existente
• Actualizar tablas de rutas del TGW para incluir 10.20.0.0/16
• Actualizar políticas de VPN en WatchGuard M390 para incluir red QAS

Extender Active Directory para servir a la VPC QAS.

• Managed AD: Compartir directorio con VPC QAS: aws ds share-directory
• AD en EC2: Desplegar DCs réplica en subnets QAS, configurar Sites & Services
• Actualizar opciones DHCP de VPC QAS para apuntar a los DCs

Instalar SAP QAS con dimensionamiento mayor que DEV para soportar pruebas de integración y pruebas de aceptación de usuario con datos reales.

• HANA: r6i.4xlarge (16 vCPU, 128 GB) o según dimensionamiento SAP
• Servidor de aplicación: r6i.2xlarge (8 vCPU, 64 GB)
• EBS: gp3 con IOPS/rendimiento ajustados si DEV mostró necesidad
• Copia de sistema desde Azure QAS o refresco desde Azure PRD

Configurar el sistema de transportes SAP entre DEV y QAS, ambos en AWS.

• STMS: Definir ruta de transporte DEV → QAS
• Conexiones RFC entre sistemas (SM59)
• Directorio de transportes compartido (EFS o NFS) o CTS+ (si es entre sistemas)

Pruebas de aceptación de usuario y pruebas de integración en QAS.

• Coordinar con equipos funcionales SAP para ejecutar escenarios de prueba
• Probar integraciones con sistemas on-premises (IDocs, RFCs, APIs)
• Probar rendimiento con carga simulada
• Validar conectividad desde todas las ubicaciones de usuarios

VPC PRD con redundancia completa en 2 AZs. Todas las subnets duplicadas, 2 NAT Gateways (uno por AZ).

Configuración de alta disponibilidad para HANA en PRD.

• HANA System Replication (HSR): Modo SYNC entre 2 nodos en AZs distintas
• Clúster Pacemaker: En SLES con sap_suse_cluster_connector
• Cercado (STONITH): Agente de cercado AWS — usa la API de EC2 para detener/iniciar instancias
• IP de superposición: IP virtual que "flota" entre nodos usando manipulación de tablas de rutas
• Instancias: x2idn.16xlarge, x2idn.24xlarge, o u-series según dimensionamiento (certificadas SAP)

Alta disponibilidad para ABAP Central Services.

• ASCS (enqueue) y ERS (replicación de enqueue) en instancias separadas, AZs distintas
• Clúster Pacemaker con ENSA2 (Enqueue Server 2)
• EFS para /sapmnt (compartido entre nodos)

Dimensionamiento formal basado en datos reales del sistema Azure PRD actual.

• Ejecutar SAP Early Watch Alert / Quick Sizer con datos actuales
• Revisar SAPS, huella de memoria HANA, pico de IOPS
• Seleccionar instancia certificada AWS en Directorio de Hardware SAP HANA
• EBS: io2 Block Express para /hana/log (PRD requiere latencia sub-ms)

Definir la estrategia de recuperación ante desastres para SAP PRD.

• Opción 1 — Entre AZs (más simple): HSR síncrono entre AZs = HA. Respaldos a S3 con replicación entre regiones para DR.
• Opción 2 — Entre regiones (más robusto): HSR asíncrono a otra región. Mayor costo, mejor RPO para desastres regionales.
• Recomendación para la mayoría: Opción 1 para empezar. Replicación entre regiones de respaldos S3 cubre escenarios de pérdida de región.

NUNCA hacer la transición de PRD sin al menos un ensayo completo.

• Ejecutar el procedimiento completo de migración usando datos de QAS o copia de PRD
• Medir tiempo de cada paso: respaldo, transferencia, restauración, tareas post-copia
• Identificar cuellos de botella (transferencia de datos es usualmente el mayor)
• Probar procedimiento de reversión: ¿se puede volver a Azure PRD rápidamente?
• Documentar tiempos reales vs estimados

Plan detallado con tiempos, responsables y criterios de reversión.

• Pre-transición (semana anterior): Comunicación a usuarios, congelamiento de cambios SAP, respaldo completo verificado
• Estrategia de migración:
• Opción A: Respaldo/Restauración — Respaldo HANA en Azure, transferencia a S3, restauración en AWS. Tiempo de inactividad = tiempo de transferencia + restauración.
• Opción B: HSR entre nubes — HANA System Replication Azure→AWS (requiere conectividad directa). Minimiza inactividad = solo tiempo de cambio (~minutos).
• Opción C: SAP DMO (Database Migration Option) — Si se cambia de base de datos o se hace actualización simultánea.

Criterios de reversión:

• Si la restauración falla → revertir a Azure PRD (debe seguir intacto durante la transición)
• Si SAP no arranca en AWS → revertir a Azure PRD
• Punto de no retorno: solo después de validación funcional completa

Ejecutar la transición siguiendo el plan minuto a minuto.

• ☐ Parar SAP en Azure PRD
• ☐ Respaldo final HANA (o cambio HSR)
• ☐ Transferir datos a AWS (si respaldo/restauración)
• ☐ Restaurar en AWS PRD
• ☐ Tareas post-migración (hostname, licencia, RFCs, impresoras, etc.)
• ☐ Iniciar SAP en AWS PRD
• ☐ Validación funcional (pruebas de humo)
• ☐ Actualización DNS (si WebDispatcher cambia de IP)
• ☐ Actualizar políticas VPN en WatchGuard M390
• ☐ Comunicar a usuarios: SAP operativo en nueva plataforma

Periodo de 2-4 semanas post-migración con monitoreo intensivo y equipo disponible 24/7.

• Monitoreo continuo: CloudWatch, HANA Cockpit, SM21, ST22
• Atención inmediata a cualquier incidencia reportada por usuarios
• Comparar métricas de rendimiento AWS vs Azure (línea base)
• Optimizar si es necesario (IOPS, memoria, tipo de instancia)

Descomisionar los recursos SAP en Azure de forma ordenada después de confirmar estabilidad en AWS.

• No apagar Azure PRD inmediatamente. Mantener 30 días como respaldo de emergencia.
• Después de 30 días estables: parar VMs (ahorrar cómputo, mantener discos)
• Después de 60 días: exportar datos a S3 si se necesitan, eliminar VMs
• Después de 90 días: eliminar VNets, NSGs, VPN Gateway, cuentas de almacenamiento
• Verificar que no queden recursos huérfanos generando costos