Megosztás a következőn keresztül:

A hálózati tűzfal konfigurálása felügyelt Azure Monitor SCOM-példányhoz

  • Cikk

Ez a cikk a hálózati tűzfal és az Azure hálózati biztonsági csoport (NSG) szabályainak konfigurálását ismerteti.

Feljegyzés

A felügyelt Azure Monitor SCOM-példány architektúrájáról az Azure Monitor SCOM Felügyelt példány című témakörben olvashat.

Hálózati előfeltételek

Ez a szakasz három példa hálózati modellel ismerteti a hálózati előfeltételeket.

Közvetlen kapcsolat (látóvonal) létrehozása a tartományvezérlő és az Azure-hálózat között

Győződjön meg arról, hogy közvetlen hálózati kapcsolat (látóvonal) van a kívánt tartományvezérlő hálózata és az Azure-alhálózat (virtuális hálózat) között, ahol telepíteni szeretné a felügyelt SCOM-példány egy példányát. Győződjön meg arról, hogy közvetlen hálózati kapcsolat (látóvonal) van a számítási feladatok/ügynökök és a felügyelt SCOM-példány üzembe helyezését tartalmazó Azure-alhálózat között.

Közvetlen kapcsolatra van szükség, hogy az alábbi erőforrások kommunikálhassanak egymással a hálózaton keresztül:

  • Tartományvezérlő
  • Ügynökök
  • System Center Operations Manager-összetevők, például az operatív konzol
  • Felügyelt SCOM-példány összetevői, például felügyeleti kiszolgálók

A következő három különböző hálózati modell vizuálisan jelenik meg az SCOM felügyelt példányának létrehozásához.

1. hálózati modell: A tartományvezérlő a helyszínen található

Ebben a modellben a kívánt tartományvezérlő a helyszíni hálózaton belül található. Létre kell hoznia egy Azure ExpressRoute-kapcsolatot a helyszíni hálózat és a felügyelt SCOM-példányhoz használt Azure-alhálózat között.

Ha a tartományvezérlő és más összetevő helyszíni, akkor az ExpressRoute-on vagy egy virtuális magánhálózaton (VPN) keresztül kell létrehoznia a látóvonalat. További információkért tekintse meg az ExpressRoute dokumentációját és az Azure VPN Gateway dokumentációját.

Az alábbi hálózati modell bemutatja, hogy a kívánt tartományvezérlő hol található a helyszíni hálózaton belül. Közvetlen kapcsolat áll fenn (ExpressRoute-on vagy VPN-en keresztül) a helyszíni hálózat és a felügyelt SCOM-példány létrehozásához használt Azure-alhálózat között.

Képernyőkép az 1. hálózati modellről a helyszíni tartományvezérlővel.

2. hálózati modell: A tartományvezérlő az Azure-ban üzemel

Ebben a konfigurációban a kijelölt tartományvezérlő az Azure-ban üzemel, és ExpressRoute- vagy VPN-kapcsolatot kell létesítenie a helyszíni hálózat és az Azure-alhálózat között. A felügyelt SCOM-példány létrehozásához és a kijelölt tartományvezérlőhöz használt Azure-alhálózathoz használatos. További információ: ExpressRoute és VPN Gateway.

Ebben a modellben a kívánt tartományvezérlő integrálva marad a helyszíni tartományerdőbe. Azonban úgy döntött, hogy létrehoz egy dedikált Active Directory-vezérlőt az Azure-ban a helyi Active Directory infrastruktúrára támaszkodó Azure-erőforrások támogatásához.

Képernyőkép a 2. hálózati modellről az Azure-ban üzemeltetett tartományvezérlővel.

3. hálózati modell: A tartományvezérlő és a felügyelt SCOM-példányok Azure-beli virtuális hálózatokban találhatók

Ebben a modellben a kívánt tartományvezérlő és a felügyelt SCOM-példányok különálló és dedikált virtuális hálózatokba kerülnek az Azure-ban.

Ha a kívánt tartományvezérlő és az összes többi összetevő ugyanabban a virtuális hálózatban van az Azure-ban (egy hagyományos aktív tartományvezérlő), és nincs helyszíni jelenlét, akkor már van egy látóvonal az összes összetevő között.

Ha a kívánt tartományvezérlő és az összes többi összetevő az Azure különböző virtuális hálózataiban (egy hagyományos aktív tartományvezérlő) található, helyszíni jelenlét nélkül, akkor virtuális hálózati társviszonyt kell létesítenie a hálózatban található összes virtuális hálózat között. További információ: Virtuális hálózatok közötti társviszony-létesítés az Azure-ban.

Képernyőkép a 3. hálózati modellről a tartományvezérlővel és az SCOM felügyelt példányaival az Azure-beli virtuális hálózatokban.

A korábban említett három hálózati modell esetében a következő problémákat kell elhárítania:

  1. Győződjön meg arról, hogy az SCOM felügyelt példány alhálózata képes kapcsolatot létesíteni az Azure-hoz vagy a felügyelt SCOM-példányhoz konfigurált kijelölt tartományvezérlővel. Győződjön meg arról is, hogy a felügyelt SCOM-példány alhálózatán belüli tartománynévfeloldás a megoldott tartományvezérlők között a kijelölt tartományvezérlőt sorolja fel a legfelső bejegyzésként a hálózati késés, a teljesítmény és a tűzfalproblémák elkerülése érdekében.

  2. A kijelölt tartományvezérlő és tartományvezérlő (DNS) következő portjának elérhetőnek kell lennie a felügyelt SCOM-példány alhálózatáról:

    • AZ LDAP 389-ös vagy 636-os TCP-portja

    • 3268-os vagy 3269-ös TCP-port globális katalógushoz

    • TCP- és UDP-port 88 Kerberoshoz

    • TCP- és UDP-port 53 DNS-hez

    • TCP 9389 az Active Directory webszolgáltatáshoz

    • TCP 445 az SMB-hez

    • TCP 135 for RPC

      A belső tűzfalszabályoknak és az NSG-nek engedélyeznie kell az SCOM felügyelt példány virtuális hálózatának és a kijelölt tartományvezérlőnek/DNS-nek a korábban felsorolt portok közötti kommunikációt.

  3. A kapcsolat létrehozásához társviszonyt kell létesíteni az Azure SQL Managed Instance virtuális hálózatával és a felügyelt SCOM-példánysal. Az 1433-at (privát port) vagy a 3342-t (nyilvános portot) az SCOM felügyelt példányától a felügyelt SQL-példányig el kell érni. Konfigurálja az NSG-szabályokat és a tűzfalszabályokat mindkét virtuális hálózaton, hogy engedélyezze az 1433-at és a 3342-et.

  4. Engedélyezze a kommunikációt az 5723,5724 és 443 porton a monitorozott gépről a felügyelt SCOM-példány felé.

    • Ha a gép helyszíni, állítsa be az NSG-szabályokat és a tűzfalszabályokat a felügyelt SCOM-példány alhálózatán és azon a helyszíni hálózaton, ahol a figyelt gép található, hogy a megadott alapvető portok (5723, 5724 és 443) elérhetők legyenek a monitorozott gépről az SCOM felügyelt példány alhálózatára.

    • Ha a gép az Azure-ban található, állítsa be az NSG-szabályokat és tűzfalszabályokat a felügyelt SCOM-példány virtuális hálózatán, valamint azon a virtuális hálózaton, ahol a figyelt gép található, hogy a megadott alapvető portok (5723, 5724 és 443) elérhetők legyenek a monitorozott gépről a felügyelt SCOM-példány alhálózatára.

Tűzfalkövetelmények

A megfelelő működéshez a felügyelt SCOM-példánynak hozzáféréssel kell rendelkeznie a következő portszámhoz és URL-címekhez. Konfigurálja az NSG- és tűzfalszabályokat a kommunikáció engedélyezéséhez.

Erőforrás Kikötő Irány Szolgáltatáscímkék Cél
*.blob.core.windows.net 443 Kimenő Tárolás Azure Storage
management.azure.com 443 Kimenő AzureResourceManager Azure Resource Manager
gcs.prod.monitoring.core.windows.net
*.prod.warm.ingest.monitor.core.windows.net		 443 Kimenő AzureMonitor SCOM MI-naplók
*.prod.microsoftmetrics.com
*.prod.hot.ingest.monitor.core.windows.net
*.prod.hot.ingestion.msftcloudes.com		 443 Kimenő AzureMonitor SCOM MI-metrikák
*.workloadnexus.azure.com 443 Kimenő Nexus szolgáltatás
*.azuremonitor-scommiconnect.azure.com 443 Kimenő Bridge Service

Fontos

Ha szeretné minimalizálni az Active Directory-rendszergazdával és a hálózati rendszergazdával való kiterjedt kommunikáció szükségességét, tekintse meg az önellenőrzést. A cikk ismerteti azokat az eljárásokat, amelyeket az Active Directory rendszergazdája és a hálózati rendszergazda a konfigurációs módosítások ellenőrzésére és sikeres implementálásuk biztosítására használ. Ez a folyamat csökkenti az Operations Manager rendszergazdája és az Active Directory rendszergazdája és a hálózati rendszergazda közötti szükségtelen interakciókat. Ez a konfiguráció időt takarít meg a rendszergazdák számára.

Következő lépések