Configurare una rete per Monitoraggio di Azure per soluzioni SAP
Questa guida pratica illustra come configurare una rete virtuale di Azure in modo da poter distribuire Monitoraggio di Azure per soluzioni SAP. Scopri come:
- Creare una nuova subnet da usare con Funzioni di Azure.
- Configurare l'accesso a Internet in uscita all'ambiente SAP da monitorare.
Creare una nuova subnet
Funzioni di Azure è il motore di raccolta dati per Monitoraggio di Azure per soluzioni SAP. Sarà necessario creare una nuova subnet per ospitare Funzioni di Azure.
Creare una nuova subnet con un blocco IPv4/25 o superiore perché sono necessari almeno 100 indirizzi IP per il monitoraggio delle risorse. Dopo aver creato correttamente una subnet, verificare i passaggi seguenti per garantire la connettività tra la subnet di Monitoraggio di Azure per soluzioni SAP e la subnet dell'ambiente SAP:
- Se entrambe le subnet si trovano in reti virtuali diverse, eseguire un peering di rete virtuale tra le reti.
- Se le subnet sono associate a route definite dall'utente, assicurarsi che le route siano configurate per consentire il traffico tra le subnet.
- Se le subnet dell'ambiente SAP hanno regole del gruppo di sicurezza di rete, assicurarsi che queste regole siano configurate per consentire il traffico in ingresso dalla subnet di Monitoraggio di Azure per soluzioni SAP.
- Se si dispone di un firewall nell'ambiente SAP, assicurarsi che sia configurato per consentire il traffico in ingresso dalla subnet di Monitoraggio di Azure per soluzioni SAP.
Per altre informazioni, vedere come integrare l'app con una rete virtuale di Azure.
Usare DNS personalizzato per la rete virtuale
Questa sezione si applica solo se si usa DNS personalizzato per la rete virtuale. Aggiungere l'indirizzo IP 168.63.129.16, che punta al server DNS di Azure. Questa disposizione risolve l'account di archiviazione e altri URL di risorse necessari per il corretto funzionamento di Monitoraggio di Azure per le soluzioni SAP.
Configurare l'accesso a Internet in uscita
In molti casi d'uso, è possibile scegliere di limitare o bloccare l'accesso a Internet in uscita all'ambiente di rete SAP. Monitoraggio di Azure per le soluzioni SAP richiede tuttavia la connettività di rete tra la subnet configurata e i sistemi da monitorare. Prima di distribuire una risorsa di Monitoraggio di Azure per soluzioni SAP, è necessario configurare l'accesso a Internet in uscita o la distribuzione avrà esito negativo.
Esistono più metodi per gestire l'accesso a Internet in uscita limitato o bloccato. Scegliere il metodo più adatto per il caso d'uso:
- Usare la funzionalità Instrada tutto in Funzioni di Azure
- Usare i tag del servizio con un gruppo di sicurezza di rete nella rete virtuale
Usare Instrada tutto
Instrada tutto è una funzionalità standard dell'integrazione della rete virtuale in Funzioni di Azure, distribuita come parte di Monitoraggio di Azure per soluzioni SAP. L'abilitazione o la disabilitazione di questa impostazione influisce solo sul traffico proveniente da Funzioni di Azure. Questa impostazione non influisce su altri traffico in ingresso o in uscita all'interno della rete virtuale.
È possibile configurare l'impostazione Instrada tutto quando si crea una risorsa di Monitoraggio di Azure per soluzioni SAP tramite il portale di Azure. Se l'ambiente SAP non consente l'accesso a Internet in uscita, disabilitare Instrada tutto. Se l'ambiente SAP consente l'accesso a Internet in uscita, mantenere l'impostazione predefinita per abilitare Instrada tutto.
È possibile usare questa opzione solo prima di distribuire una risorsa di Monitoraggio di Azure per soluzioni SAP. Non è possibile modificare l'impostazione Instrada tutto dopo aver creato la risorsa monitoraggio di Azure per soluzioni SAP.
Consentire il traffico in ingresso
Se sono presenti regole di route definite dall'utente o di gruppi di sicurezza di rete che bloccano il traffico in ingresso all'ambiente SAP, è necessario modificare le regole per consentire il traffico in ingresso. Inoltre, a seconda dei tipi di provider che si sta tentando di aggiungere, è necessario sbloccare alcune porte, come illustrato nella tabella seguente.
| Tipo provider | Numero di porta |
|---|---|
| Prometheus OS | 9100 |
| Cluster Prometheus a disponibilità elevata in RHEL | 44322 |
| Cluster Prometheus a disponibilità elevata in SUSE | 9100 |
| SQL Server | 1433 (può essere diversa se non si usa la porta predefinita) |
| Server DB2 | 25000 (può essere diversa se non si usa la porta predefinita) |
| SAP HANA DB | 3<numero di istanza>13, 3<numero di istanza>15 |
| SAP NetWeaver | 5<numero di istanza>13, 5<numero di istanza>15 |
Usare i tag di servizio
Se si usano gruppi di sicurezza di rete, è possibile creare Monitoraggio di Azure per soluzioni SAP tag del servizio di rete virtuale per consentire il flusso di traffico appropriato per la distribuzione. Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure.
È possibile usare questa opzione dopo aver distribuito una risorsa di Monitoraggio di Azure per soluzioni SAP.
Trovare la subnet associata al gruppo di risorse gestite di Monitoraggio di Azure per soluzioni SAP:
- Accedere al portale di Azure.
- Cercare o selezionare il servizio Monitoraggio di Azure per soluzioni SAP.
- Nella pagina Panoramica per le soluzioni SAP di Monitoraggio di Azure selezionare la risorsa Monitoraggio di Azure per soluzioni SAP.
- Nella pagina del gruppo di risorse gestite selezionare l'app Funzioni di Azure.
- Nella pagina dell'app selezionare la scheda Rete. Selezionare quindi Integrazione rete virtuale.
- Esaminare e prendere nota dei dettagli della subnet. Sarà necessario l'indirizzo IP della subnet per creare regole nel passaggio successivo.
Selezionare il nome della subnet per trovare il gruppo di sicurezza di rete associato. Prendere nota delle informazioni del gruppo di sicurezza di rete.
Impostare nuove regole del gruppo di sicurezza di rete per il traffico di rete in uscita:
- Passare alla risorsa del gruppo di sicurezza di rete nel portale di Azure.
- Nel menu del gruppo di sicurezza di rete, in Impostazioni selezionare Regole di sicurezza in uscita.
- Selezionare Aggiungi per aggiungere le nuove regole seguenti:
Priorità Nome Porta Protocollo Source (Sorgente) Destination Azione 450 allow_monitor 443 TCP Subnet di Funzioni di Azure Monitoraggio di Azure Consenti 501 allow_keyVault 443 TCP Subnet di Funzioni di Azure Azure Key Vault Consenti 550 allow_storage 443 TCP Subnet di Funzioni di Azure Storage Allow 600 allow_azure_controlplane 443 Qualsiasi Subnet di Funzioni di Azure Azure Resource Manager Consenti 650 allow_ams_to_source_system Qualsiasi Qualsiasi Subnet di Funzioni di Azure Rete virtuale o indirizzi IP separati da virgole del sistema di origine Consenti 660 deny_internet Qualsiasi Qualsiasi Qualsiasi Internet Nega
L'indirizzo IP della subnet di Monitoraggio di Azure per soluzioni SAP fa riferimento all'indirizzo IP della subnet associata alla risorsa di soluzioni SAP di Monitoraggio di Azure per le soluzioni SAP. Per trovare la subnet, passare alla risorsa Monitoraggio di Azure per soluzioni SAP nel portale di Azure. Nella pagina Panoramica esaminare il valore Rete virtuale/subnet.
Per le regole create, allow_vnet deve avere una priorità inferiore a deny_internet. Tutte le altre regole devono avere anche una priorità inferiore ad allow_vnet. L'ordine rimanente di queste altre regole è intercambiabile.