Azure Monitor for SAP ソリューションのネットワークを設定する
この攻略ガイドでは、Azure Monitor for SAP Solutions をデプロイできるように Azure 仮想ネットワークを構成する方法について説明します。 学習内容は次のとおりです。
- Azure Functions で使用する新しいサブネットを作成します。
- 監視する SAP 環境に送信インターネット アクセスを設定します。
新しいサブネットを作成する
Azure Functions は、Azure Monitor for SAP Solutions 用のデータ収集エンジンです。 Azure Functions をホストする新しいサブネットを作成する必要があります。
リソースを監視するために少なくとも 100 個の IP アドレスが必要なため、IPv4/25 ブロック以上の新しいサブネット を作成します。 サブネットが正常に作成されたら、次の手順を確認して、Azure Monitor for SAP ソリューション サブネットと SAP 環境サブネットの間の接続を確認します。
- それぞれのサブネットが異なる仮想ネットワークにある場合、仮想ネットワーク間で仮想ネットワーク ピアリングを実行します。
- サブネットがユーザー定義のルートに関連付けられている場合は、サブネット間のトラフィックを許可するようにルートが構成されていることを確認します。
- SAP 環境サブネットにネットワーク セキュリティ グループ (NSG) 規則がある場合は、Azure Monitor for SAP ソリューション サブネットからの受信トラフィックを許可するように規則が構成されていることを確認します。
- SAP 環境にファイアウォールがある場合は、Azure Monitor for SAP ソリューション サブネットからの受信トラフィックを許可するようにファイアウォールが構成されていることを確認します。
詳細については、アプリを Azure 仮想ネットワークと統合する方法を参照してください。
仮想ネットワークにカスタム DNS を使用する
このセクションは、仮想ネットワーク用にカスタム DNS を使用している場合にのみ適用されます。 Azure DNS サーバーを指す IP アドレス 168.63.129.16 を追加します。 この配置により、Azure Monitor for SAP ソリューションの適切な機能に必要なストレージ アカウントとその他のリソース URL が解決されます。
送信インターネット アクセスの構成
多くのユース ケースでは、SAP ネットワーク環境への送信インターネット アクセスを制限またはブロックすることを選択できます。 ただし、Azure Monitor for SAP Solutions では、構成したサブネットと監視するシステムの間のネットワーク接続が必要です。 Azure Monitor for SAP Solutions リソースをデプロイする前に、送信インターネット アクセスを構成する必要があります。そうしないと、デプロイが失敗します。
制限付きまたはブロックされた送信インターネット アクセスに対処するには、複数の方法があります。 ユース ケースに応じて最適な方法を選んでください:
Route All を使用する
Route All は、Azure Monitor for SAP Solutions の一部としてデプロイされる Azure Functions での仮想ネットワーク統合の標準機能です。 この設定の有効化または無効化は、Azure Functions からのトラフィックにのみ影響します。 この設定は、仮想ネットワーク内の他の受信または送信トラフィックには影響しません。
Azure portal を使用して Azure Monitor for SAP Solutions リソースを作成するときに、Route All 設定を構成できます。 SAP 環境で送信インターネット アクセスが許可されていない場合は、Route All を無効にします。 SAP 環境で送信インターネット アクセスが許可されている場合は、既定の設定のままにして Route All を有効にします。
このオプションは、Azure Monitor for SAP Solutions リソースをデプロイする前にのみ使用できます。 Azure Monitor for SAP Solutions リソースを作成した後で Route All 設定を変更することはできません。
受信トラフィックを許可する
SAP 環境への受信トラフィックをブロックする NSG またはユーザー定義のルート規則がある場合は、受信トラフィックを許可するように規則を変更する必要があります。 また、追加しようとしているプロバイダーの種類によっては、次の表に示すように、いくつかのポートのブロックを解除する必要があります。
| プロバイダー型の | ポート番号 |
|---|---|
| Prometheus OS | 9100 |
| RHEL 上の Prometheus HA クラスター | 44322 |
| SUSE 上の Prometheus HA クラスター | 9100 |
| SQL Server | 1433 (既定のポートを使用していない場合は異なる場合があります) |
| DB2 サーバー | 25000 (既定のポートを使用していない場合は異なる場合があります) |
| SAP HANA DB | 3 <インスタンス番号> 13、3 <インスタンス番号> 15 |
| SAP NetWeaver | 5 <インスタンス番号> 13、5 <インスタンス番号> 15 |
サービス タグの使用
NSG を使用する場合は、Azure Monitor for SAP Solutions 関連の仮想ネットワーク サービス タグを作成して、デプロイに適したトラフィック フローを許可できます。 サービス タグは、特定の Azure サービスからの IP アドレス プレフィックスのグループを表します。
このオプションは、Azure Monitor for SAP Solutions リソースをデプロイすると使用できるようになります。
Azure Monitor for SAP Solutions 管理対象リソース グループに関連付けられているサブネットを検索します。
- Azure portal にサインインします。
- Azure Monitor for SAP Solutions サービスを検索または選択します。
- Azure Monitor for SAP Solutions の [概要] ページで、Azure Monitor for SAP Solutions リソースを選択します。
- 管理対象リソース グループのページで、Azure Functions アプリを選びます。
- アプリのページで [ネットワーク] タブを選択します。次に [Vnet 統合] を選択します。
- サブネットの詳細を確認してメモします。 次の手順でルールを作成するには、サブネットの IP アドレスが必要です。
サブネットの名前を選び、関連付けられている NSG を見つけます。 NSG の情報をメモします。
送信ネットワーク トラフィック用の新しい NSG ルールを設定します:
- Azure portal で NSG リソースに移動します。
- NSG のメニューの [設定] で [送信セキュリティ規則] を選びます。
- [追加] を選び、次の新しいルールを追加します。
優先順位 名前 [ポート] プロトコル ソース Destination (公開先) アクション 450 allow_monitor 443 TCP Azure Functions サブネット Azure Monitor Allow 501 allow_keyVault 443 TCP Azure Functions サブネット Azure Key Vault Allow 550 allow_storage 443 TCP Azure Functions サブネット ストレージ Allow 600 allow_azure_controlplane 443 Any Azure Functions サブネット Azure Resource Manager Allow 650 allow_ams_to_source_system Any Any Azure Functions サブネット 仮想ネットワークまたはソース システムのコンマ区切りの IP アドレス。 Allow 660 deny_internet Any Any Any インターネット 拒否
Azure Monitor for SAP Solutions のサブネット IP アドレスは、Azure Monitor for SAP Solutions リソースに関連付けられているサブネットの IP を指します。 サブネットを検索するには、Azure portal で、Azure Monitor for SAP Solutions リソースに移動します。 [概要] ページで、vNet/サブネットの値を確認します。
作成するルールについて、allow_vnet は deny_internetよりも優先度が低い必要があります。 他のすべてのルールも、allow_vnet よりも低い優先度を持つ必要があります。 これらの他のルールの残りの順序は交換可能です。