Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan cara mengonfigurasi firewall jaringan dan aturan kelompok keamanan jaringan (NSG) Azure.
Catatan
Untuk mempelajari tentang arsitektur Azure Monitor SCOM Managed Instance, lihat Azure Monitor SCOM Managed Instance.
Prasyarat jaringan
Bagian ini membahas prasyarat jaringan dengan tiga contoh model jaringan.
Menetapkan konektivitas langsung (garis pandang) antara pengendali domain Anda dan jaringan Azure
Pastikan bahwa ada konektivitas jaringan langsung (garis pandang) antara jaringan pengontrol domain yang Anda inginkan dan subnet Azure (jaringan virtual) tempat Anda ingin menyebarkan instans SCOM Managed Instance. Pastikan bahwa ada konektivitas jaringan langsung (garis pandang) antara beban kerja/agen dan subnet Azure tempat SCOM Managed Instance disebarkan.
Konektivitas langsung diperlukan agar semua sumber daya berikut dapat berkomunikasi satu sama lain melalui jaringan:
- Pengendali Domain
- Agen
- Komponen Manajer Operasi Pusat Sistem, seperti konsol Operasi
- Komponen SCOM Managed Instance, seperti server manajemen
Tiga model jaringan berbeda berikut secara visual diwakili untuk membuat SCOM Managed Instance.
Model jaringan 1: Pengendali domain terletak di tempat
Dalam model ini, pengendali domain yang diinginkan terletak di dalam jaringan lokal Anda. Anda harus membuat koneksi Azure ExpressRoute antara jaringan lokal Anda dan subnet Azure yang digunakan untuk Instans Terkelola SCOM.
Jika pengendali domain dan komponen lainnya lokal, Anda harus menetapkan garis pandang melalui ExpressRoute atau jaringan privat virtual (VPN). Untuk informasi selengkapnya, lihat dokumentasi ExpressRoute dan dokumentasi Azure VPN Gateway.
Model jaringan berikut menunjukkan di mana pengontrol domain yang diinginkan berada dalam jaringan lokal. Koneksi langsung ada (melalui ExpressRoute atau VPN) antara jaringan lokal dan subnet Azure yang digunakan untuk pembuatan SCOM Managed Instance.
Model jaringan 2: Pengontrol domain dihosting di Azure
Dalam konfigurasi ini, pengontrol domain yang ditunjuk dihosting di Azure, dan Anda harus membuat koneksi ExpressRoute atau VPN antara jaringan lokal Anda dan subnet Azure. Ini digunakan untuk pembuatan SCOM Managed Instance dan subnet Azure yang digunakan untuk pengontrol domain yang ditunjuk. Untuk informasi selengkapnya, lihat ExpressRoute dan VPN Gateway.
Dalam model ini, pengendali domain yang diinginkan tetap diintegrasikan ke dalam forest domain lokal Anda. Namun, Anda memilih untuk membuat pengontrol Active Directory khusus di Azure untuk mendukung sumber daya Azure yang mengandalkan infrastruktur Active Directory lokal.
Model jaringan 3: Pengontrol domain dan Instans Terkelola SCOM berada di jaringan virtual Azure
Dalam model ini, pengontrol domain yang diinginkan dan Instans Terkelola SCOM ditempatkan di jaringan virtual terpisah dan khusus di Azure.
Jika pengendali domain yang Anda inginkan dan semua komponen lain berada di jaringan virtual Azure yang sama (pengendali domain aktif konvensional) tanpa kehadiran lokal, Anda sudah memiliki garis pandang di antara semua komponen Anda.
Jika pengendali domain yang Anda inginkan dan semua komponen lain berada di jaringan virtual Azure yang berbeda (pengendali domain aktif konvensional) tanpa kehadiran lokal, Anda perlu melakukan peering jaringan virtual antara semua jaringan virtual yang ada di jaringan Anda. Untuk informasi selengkapnya, lihat Peering jaringan virtual di Azure.
Atasi masalah berikut untuk ketiga model jaringan yang disebutkan sebelumnya:
Pastikan bahwa subnet SCOM Managed Instance dapat membangun konektivitas ke pengontrol domain yang ditunjuk yang dikonfigurasi untuk Azure atau SCOM Managed Instance. Selain itu, pastikan bahwa resolusi nama domain dalam subnet SCOM Managed Instance mencantumkan pengontrol domain yang ditunjuk sebagai entri teratas di antara pengendali domain yang diselesaikan untuk menghindari latensi jaringan atau masalah performa dan firewall.
Port berikut pada pengendali domain yang ditunjuk dan Sistem Nama Domain (DNS) harus dapat diakses dari subnet SCOM Managed Instance:
Port TCP 389 atau 636 untuk LDAP
Port TCP 3268 atau 3269 untuk katalog global
TCP dan UDP port 88 untuk Kerberos
TCP dan UDP port 53 untuk DNS
TCP 9389 untuk layanan web Direktori Aktif
TCP 445 untuk SMB
TCP 135 untuk RPC
Aturan firewall internal dan NSG harus mengizinkan komunikasi dari jaringan virtual SCOM Managed Instance dan pengendali domain/DNS yang ditunjuk untuk semua port yang tercantum sebelumnya.
Jaringan virtual Azure SQL Managed Instance dan SCOM Managed Instance harus di-peering untuk membangun konektivitas. Secara khusus, port 1433 (port privat) atau 3342 (port publik) harus dapat dijangkau dari SCOM Managed Instance ke instans terkelola SQL. Konfigurasikan aturan NSG dan aturan firewall di kedua jaringan virtual untuk memungkinkan port 1433 dan 3342.
Izinkan komunikasi pada port 5723, 5724, dan 443 dari komputer yang dipantau ke SCOM Managed Instance.
Jika komputer lokal, siapkan aturan NSG dan aturan firewall pada subnet SCOM Managed Instance dan di jaringan lokal tempat komputer yang dipantau berada untuk memastikan port penting yang ditentukan (5723, 5724, dan 443) dapat dijangkau dari komputer yang dipantau ke subnet SCOM Managed Instance.
Jika komputer berada di Azure, siapkan aturan NSG dan aturan firewall pada jaringan virtual SCOM Managed Instance dan di jaringan virtual tempat komputer yang dipantau berada untuk memastikan port penting yang ditentukan (5723, 5724, dan 443) dapat dijangkau dari komputer yang dipantau ke subnet SCOM Managed Instance.
Persyaratan firewall
Agar berfungsi dengan baik, SCOM Managed Instance harus memiliki akses ke nomor port dan URL berikut. Konfigurasikan aturan NSG dan firewall untuk mengizinkan komunikasi ini.
| Sumber daya | Port | Arah | Tag Layanan | Tujuan |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Keluar | Penyimpanan | Azure Storage |
| management.azure.com | 443 | Keluar | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Keluar | AzureMonitor | Log SCOM MI |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Keluar | AzureMonitor | Metrik SCOM MI |
| *.workloadnexus.azure.com | 443 | Keluar | Layanan Nexus | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Keluar | Bridge Service |
Penting
Untuk meminimalkan kebutuhan akan komunikasi yang luas dengan admin Direktori Aktif dan admin jaringan Anda, lihat Verifikasi mandiri. Artikel ini menguraikan prosedur yang digunakan admin Direktori Aktif dan admin jaringan untuk memvalidasi perubahan konfigurasi mereka dan memastikan keberhasilan implementasinya. Proses ini mengurangi interaksi bolak-balik yang tidak perlu dari admin Manajer Operasi ke admin Direktori Aktif dan admin jaringan. Konfigurasi ini menghemat waktu bagi admin.