SAP 솔루션을 위한 Azure Monitor 네트워크 설정
이 방법 가이드에서는 SAP 솔루션을 위한 Azure Monitor를 배포할 수 있도록 Azure 가상 네트워크를 구성하는 방법을 알아봅니다. 다음 방법에 대해 설명합니다.
- Azure Functions에서 사용할 새 서브넷을 만듭니다.
- 모니터링하려는 SAP 환경에 대한 아웃바운드 인터넷 액세스를 설정합니다.
새 서브넷 만들기
Azure Functions는 SAP 솔루션을 위한 Azure Monitor의 데이터 수집 엔진입니다. Azure Functions를 호스트할 새 서브넷을 만들어야 합니다.
리소스를 모니터링하기 위해 100개 이상의 IP 주소가 필요하기 때문에 IPv4/25 블록 또는 이보다 큰 블록을 사용하여 새 서브넷을 만듭니다. 서브넷을 성공적으로 만든 후 다음 단계를 확인하여 SAP 솔루션을 위한 Azure Monitor 서브넷과 SAP 환경 서브넷 간의 연결을 확인합니다.
- 두 서브넷이 모두 서로 다른 가상 네트워크에 있는 경우 가상 네트워크 간에 가상 네트워크 피어링을 수행합니다.
- 서브넷이 사용자 정의 경로와 연결된 경우 서브넷 간의 트래픽을 허용하도록 경로가 구성되어 있는지 확인합니다.
- SAP 환경 서브넷에 NSG(네트워크 보안 그룹) 규칙이 있는 경우 SAP 솔루션을 위한 Azure Monitor 서브넷의 인바운드 트래픽을 허용하도록 규칙이 구성되어 있는지 확인합니다.
- SAP 환경에 방화벽이 있는 경우 SAP 솔루션을 위한 Azure Monitor 서브넷의 인바운드 트래픽을 허용하도록 방화벽이 구성되어 있는지 확인합니다.
자세한 내용은 Azure Virtual Network와 앱 통합 방법을 참조하세요.
가상 네트워크에 사용자 지정 DNS 사용
이 섹션은 가상 네트워크에 사용자 지정 DNS를 사용하는 경우에만 적용됩니다. Azure DNS 서버를 가리키는 IP 주소 168.63.129.16을 추가합니다. 이렇게 할당하면 SAP 솔루션을 위한 Azure Monitor가 제대로 작동하는 데 필요한 스토리지 계정 및 기타 리소스 URL이 확인됩니다.
아웃바운드 인터넷 액세스 구성
대부분의 사용 사례에서는 SAP 네트워크 환경에 대한 아웃바운드 인터넷 액세스를 제한하거나 차단하도록 선택할 수 있습니다. 그러나 SAP 솔루션을 위한 Azure Monitor에는 구성한 서브넷과 모니터링하려는 시스템 간의 네트워크 연결이 필요합니다. SAP 솔루션을 위한 Azure Monitor 리소스를 배포하기 전에 아웃바운드 인터넷 액세스를 구성해야 합니다. 그렇지 않으면 배포가 실패합니다.
제한되거나 차단된 아웃바운드 인터넷 액세스를 처리하는 여러 가지 방법이 있습니다. 사용 사례에 가장 적합한 방법을 선택합니다.
모두 라우팅 사용
모두 라우팅은 SAP 솔루션을 위한 Azure Monitor의 일부로 배포되는 Azure Functions에서 가상 네트워크 통합의 표준 기능입니다. 이 설정을 사용하거나 사용하지 않도록 설정하면 Azure Functions 트래픽에만 영향을 줍니다. 이 설정은 가상 네트워크 내에서 들어오거나 나가는 다른 트래픽에는 영향을 주지 않습니다.
Azure Portal 통해 SAP 솔루션을 위한 Azure Monitor 리소스를 만들 때 모두 라우팅 설정을 구성할 수 있습니다. SAP 환경에서 아웃바운드 인터넷 액세스를 허용하지 않는 경우 모두 라우팅을 사용하지 않도록 설정합니다. SAP 환경에서 아웃바운드 인터넷 액세스를 허용하는 경우 기본 설정을 유지하여 모두 라우팅을 사용하도록 설정합니다.
SAP 솔루션을 위한 Azure Monitor 리소스를 배포하기 전에만 이 옵션을 사용할 수 있습니다. SAP 솔루션을 위한 Azure Monitor 리소스를 만든 후에는 모두 라우팅 설정을 변경할 수 없습니다.
인바운드 트래픽 허용
SAP 환경에 대한 인바운드 트래픽을 차단하는 NSG 또는 사용자 정의 경로 규칙이 있는 경우 인바운드 트래픽을 허용하도록 규칙을 수정해야 합니다. 또한 추가하려는 공급자 유형에 따라 다음 표와 같이 몇 가지 포트의 차단을 해제해야 합니다.
| 공급자 형식 | 포트 번호 |
|---|---|
| Prometheus OS | 9100 |
| RHEL의 Prometheus HA 클러스터 | 44322 |
| SUSE의 Prometheus HA 클러스터 | 9100 |
| SQL Server | 1433(기본 포트를 사용하지 않는 경우 다를 수 있음) |
| DB2 서버 | 25000(기본 포트를 사용하지 않는 경우 다를 수 있음) |
| SAP HANA DB | 3<인스턴스 번호>13, 3<인스턴스 번호>15 |
| SAP NetWeaver | 5<인스턴스 번호>13, 5<인스턴스 번호>15 |
서비스 태그 사용
NSG를 사용하는 경우 SAP 솔루션을 위한 Azure Monitor 관련 가상 네트워크 서비스 태그를 만들어 배포를 위해 적절한 트래픽 흐름을 허용할 수 있습니다. 서비스 태그는 특정 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다.
SAP 솔루션을 위한 Azure Monitor 리소스를 배포한 후 이 옵션을 사용할 수 있습니다.
SAP 솔루션을 위한 Azure Monitor 관리되는 리소스 그룹과 연결된 서브넷을 찾습니다.
- Azure Portal에 로그인합니다.
- SAP 솔루션을 위한 Azure Monitor 서비스를 검색하거나 선택합니다.
- SAP 솔루션을 위한 Azure Monitor의 개요 페이지에서 SAP 솔루션을 위한 Azure Monitor 리소스를 선택합니다.
- 관리되는 리소스 그룹의 페이지에서 Azure Functions 앱을 선택합니다.
- 앱의 페이지에서 네트워킹 탭을 선택합니다. 그런 다음 VNET 통합을 선택합니다.
- 서브넷 세부 정보를 검토하고 기록해 둡니다. 다음 단계에서 규칙을 만들려면 서브넷의 IP 주소가 필요합니다.
서브넷의 이름을 선택하여 연결된 NSG를 찾습니다. NSG의 정보를 기록해 둡니다.
아웃바운드 네트워크 트래픽에 대한 새 NSG 규칙을 설정합니다.
- Azure Portal에서 NGS 리소스로 이동합니다.
- NSG 메뉴의 설정 아래에서 아웃바운드 보안 규칙을 선택합니다.
- 추가를 다음 새 규칙을 추가합니다.
우선 순위 Name 포트 프로토콜 원본 대상 작업 450 allow_monitor 443 TCP Azure Functions 서브넷 Azure Monitor 허용 501 allow_keyVault 443 TCP Azure Functions 서브넷 Azure Key Vault 허용 550 allow_storage 443 TCP Azure Functions 서브넷 스토리지 허용 600 allow_azure_controlplane 443 모두 Azure Functions 서브넷 Azure Resource Manager 허용 650 allow_ams_to_source_system 모두 모두 Azure Functions 서브넷 가상 네트워크 또는 쉼표로 구분된 원본 시스템의 IP 주소 허용 660 deny_internet 모두 모두 모두 인터넷 거부
SAP 솔루션을 위한 Azure Monitor의 서브넷 IP 주소는 SAP 솔루션을 위한 Azure Monitor 리소스와 연결된 서브넷의 IP를 나타냅니다. 서브넷을 찾으려면 Azure Portal에서 SAP 솔루션을 위한 Azure Monitor 리소스로 이동합니다. 개요 페이지에서 vNet/서브넷 값을 검토합니다.
만드는 규칙의 경우 allow_vnet이 deny_internet보다 우선 순위가 낮아야 합니다. 다른 모든 규칙은 allow_vnet보다 우선 순위가 낮아야 합니다. 이러한 다른 규칙의 나머지 순서는 서로 교환 가능합니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기