Einrichten eines Netzwerks für Azure Monitor für SAP-Lösungen
In dieser Schrittanleitung wird erläutert, wie Sie ein virtuelles Azure-Netzwerk konfigurieren, damit Sie Azure Monitor für SAP-Lösungen bereitstellen können. Folgendes wird vermittelt:
- Erstellen eines neuen Subnetzes für die Verwendung mit Azure Functions
- Einrichten des ausgehenden Internetzugriffs auf die SAP-Umgebung, die Sie überwachen möchten
Erstellen eines neuen Subnetzes
Azure Functions ist das Datensammlungsmodul für Azure Monitor für SAP-Lösungen. Sie müssen ein neues Subnetz erstellen, um Azure Functions zu hosten.
Erstellen Sie ein neues Subnetz mit einem IPv4-Block von mindestens /25, da Sie mindestens 100 IP-Adressen für Überwachungsressourcen benötigen. Führen Sie nach der erfolgreichen Erstellung eines Subnetzes die folgenden Schritte aus, um die Konnektivität zwischen dem Subnetz der Azure Monitor für SAP-Lösungen und dem Subnetz der SAP-Umgebung sicherzustellen:
- Wenn sich die Subnetze in verschiedenen virtuellen Netzwerken befinden, führen Sie ein Peering virtueller Netzwerke zwischen den virtuellen Netzwerken aus.
- Wenn die Subnetze benutzerdefinierten Routen zugeordnet sind, stellen Sie sicher, dass die Routen so konfiguriert sind, dass Datenverkehr zwischen den Subnetzen zugelassen wird.
- Wenn für die Subnetze der SAP-Umgebung NSG-Regeln (Netzwerksicherheitsgruppe) festgelegt sind, stellen Sie sicher, dass die Regeln so konfiguriert sind, dass eingehender Datenverkehr vom Subnetz der Azure Monitor für SAP-Lösungen zugelassen wird.
- Wenn Sie über eine Firewall in Ihrer SAP-Umgebung verfügen, stellen Sie sicher, dass die Firewall so konfiguriert ist, dass eingehender Datenverkehr aus dem Subnetz der Azure Monitor für SAP-Lösungen zugelassen wird.
Weitere Informationen finden Sie unter Integrieren Ihrer App in ein Azure Virtual Network.
Verwenden von benutzerdefiniertem DNS für Ihr virtuelles Netzwerk
Dieser Abschnitt gilt nur, wenn Sie benutzerdefiniertes DNS für Ihr virtuelles Netzwerk verwenden. Fügen Sie die IP-Adresse 168.63.129.16 hinzu, die auf den Azure DNS-Server verweist. Dadurch werden die URLs des Speicherkontos und anderer Ressourcen aufgelöst, die für die ordnungsgemäße Funktionsweise von Azure Monitor für SAP-Lösungen erforderlich sind.
Konfigurieren des ausgehenden Internetzugriffs
In vielen Anwendungsfällen müssen Sie den ausgehenden Internetzugriff auf Ihre SAP-Netzwerkumgebung einschränken oder blockieren. Azure Monitor für SAP-Lösungen erfordert jedoch die Netzwerkkonnektivität zwischen dem Subnetz, das Sie konfiguriert haben, und den Systemen, die Sie überwachen möchten. Bevor Sie eine Ressource von Azure Monitor für SAP-Lösungen bereitstellen, müssen Sie den ausgehenden Internetzugriff konfigurieren, da sonst bei der Bereitstellung ein Fehler auftritt.
Es gibt mehrere Methoden, um den eingeschränkten oder blockierten ausgehenden Internetzugriff zu verwalten. Wählen Sie die Methode, die für Ihren Anwendungsfall am besten geeignet ist:
- Verwenden des Route All-Features in Azure Functions
- Verwenden von Diensttags mit einer Netzwerksicherheitsgruppe in Ihrem virtuellen Netzwerk
Verwenden von „Route All“
Route All ist ein Standardfeature der virtuellen Netzwerkintegration in Azure Functions, das als Teil von Azure Monitor für SAP-Lösungen bereitgestellt wird. Das Aktivieren oder Deaktivieren dieser Einstellung wirkt sich nur auf den Datenverkehr von Azure Functions aus. Diese Einstellung wirkt sich nicht auf anderen eingehenden oder ausgehenden Datenverkehr innerhalb Ihres virtuellen Netzwerks aus.
Sie können die Einstellung Route All konfigurieren, wenn Sie eine Ressource von Azure Monitor für SAP-Lösungen über das Azure-Portal erstellen. Wenn Ihre SAP-Umgebung ausgehenden Internetzugriff nicht zulässt, deaktivieren Sie Route All. Wenn Ihre SAP-Umgebung ausgehenden Internetzugriff zulässt, übernehmen Sie die Standardeinstellung, um Route All zu aktivieren.
Sie können diese Option nur verwenden, bevor Sie eine Ressource von Azure Monitor für SAP-Lösungen bereitstellen. Die Einstellung Route All kann nach dem Erstellen der Ressource von Azure Monitor für SAP-Lösungen nicht geändert werden.
Zulassen von eingehendem Datenverkehr
Wenn Sie über NSG- oder UDR-Regeln (User-Defined Route, benutzerdefinierte Route) verfügen, die eingehenden Datenverkehr in Ihrer SAP-Umgebung blockieren, müssen Sie die Regeln ändern, um den eingehenden Datenverkehr zuzulassen. Abhängig von den Anbietertypen, die Sie hinzufügen möchten, müssen Sie außerdem die Blockierung einiger Ports aufheben, wie in der folgenden Tabelle dargestellt.
| Anbietertyp | Portnummer |
|---|---|
| Prometheus-Betriebssystem | 9100 |
| Prometheus-Hochverfügbarkeitscluster unter RHEL | 44322 |
| Prometheus-Hochverfügbarkeitscluster unter SUSE | 9100 |
| SQL Server | 1433 (kann anders lauten, wenn Sie nicht den Standardport verwenden) |
| DB2-Server | 25000 (kann anders lauten, wenn Sie nicht den Standardport verwenden) |
| SAP HANA DB | 3<Instanznummer>13, 3<Instanznummer>15 |
| SAP NetWeaver | 5<Instanznummer>13, 5<Instanznummer>15 |
Verwenden von Diensttags
Wenn Sie NSGs verwenden, können Sie auf Azure Monitor für SAP-Lösungen bezogene virtuelle Netzwerkdiensttags erstellen, um den entsprechenden Datenverkehrsfluss für Ihre Bereitstellung zu ermöglichen. Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts dar.
Sie können diese Option verwenden, nachdem Sie eine Ressource von Azure Monitor für SAP-Lösungen bereitgestellt haben.
Suchen Sie das Subnetz, das Ihrer verwalteten Ressourcengruppe von Azure Monitor für SAP-Lösungen zugeordnet ist:
- Melden Sie sich beim Azure-Portal an.
- Suchen oder wählen Sie den Dienst von Azure Monitor für SAP-Lösungen aus.
- Wählen Sie auf der Seite Übersicht von Azure Monitor für SAP-Lösungen Ihre Ressource von Azure Monitor für SAP-Lösungen aus.
- Wählen Sie auf der Seite für verwaltete Ressourcengruppen die Azure Functions-App aus.
- Wählen Sie auf der Seite der App die Registerkarte Netzwerk aus. Wählen Sie dann VNET-Integration aus.
- Überprüfen und notieren Sie sich die Subnetzdetails. Sie benötigen die Subnetz-IP-Adresse, um im nächsten Schritt Regeln zu erstellen.
Wählen Sie den Subnetznamen aus, um die zugehörige NSG zu ermitteln. Notieren Sie sich die NSG-Informationen.
Legen Sie die NSG-Regeln für ausgehenden Netzwerkdatenverkehr fest:
- Wechseln Sie zur NSG-Ressource im Azure-Portal.
- Wählen Sie im NSG-Menü unter Einstellungen die Option Sicherheitsregeln für ausgehenden Datenverkehr aus.
- Wählen Sie Hinzufügen aus, um die folgenden neuen Regeln hinzuzufügen:
Priority Name Port Protokoll Quelle Ziel Aktion 450 allow_monitor 443 TCP Azure Functions-Subnetz Azure Monitor Allow 501 allow_keyVault 443 TCP Azure Functions-Subnetz Azure-Schlüsseltresor Allow 550 allow_storage 443 TCP Azure Functions-Subnetz Storage Allow 600 allow_azure_controlplane 443 Any Azure Functions-Subnetz Azure Resource Manager Allow 650 allow_ams_to_source_system Any Any Azure Functions-Subnetz Virtuelles Netzwerk oder durch Kommas getrennte IP-Adressen des Quellsystems Allow 660 deny_internet Any Any Any Internet Verweigern
Die Subnetz-IP-Adresse von Azure Monitor für SAP-Lösungen bezieht sich auf die IP des Subnetzes, das Ihrer Ressource von Azure Monitor für SAP-Lösungen zugeordnet ist. Navigieren Sie im Azure-Portal zur Ressource von Azure Monitor für SAP-Lösungen, um das Subnetz zu finden. Überprüfen Sie auf der Seite Übersicht den Wert VNet/Subnetz.
Für die von Ihnen erstellten Regeln muss allow_vnet eine niedrigere Priorität aufweisen als deny_internet. Alle anderen Regeln müssen ebenfalls eine niedrigere Priorität haben als allow_vnet. Die verbleibende Reihenfolge dieser anderen Regeln kann geändert werden.