Konfigurowanie sieci dla usługi Azure Monitor dla rozwiązań SAP

W tym przewodniku z instrukcjami dowiesz się, jak skonfigurować sieć wirtualną platformy Azure, aby można było wdrożyć usługę Azure Monitor dla rozwiązań SAP. Dowiedz się, jak odbywa się:

• Utwórz nową podsieć do użycia z usługą Azure Functions.
• Skonfiguruj wychodzący dostęp do Internetu do środowiska SAP, które chcesz monitorować.

Tworzenie nowej podsieci

Usługa Azure Functions to aparat zbierania danych dla usługi Azure Monitor dla rozwiązań SAP. Aby hostować usługę Azure Functions, musisz utworzyć nową podsieć.

Utwórz nową podsieć z blokiem IPv4/25 lub większym, ponieważ potrzebujesz co najmniej 100 adresów IP do monitorowania zasobów. Po pomyślnym utworzeniu podsieci sprawdź następujące kroki, aby upewnić się, że łączność między podsiecią rozwiązań SAP dla usługi Azure Monitor i podsiecią środowiska SAP:

• Jeśli obie podsieci znajdują się w różnych sieciach wirtualnych, wykonaj komunikację równorzędną sieci wirtualnych między sieciami wirtualnymi.
• Jeśli podsieci są skojarzone z trasami zdefiniowanymi przez użytkownika, upewnij się, że trasy są skonfigurowane tak, aby zezwalały na ruch między podsieciami.
• Jeśli podsieci środowiska SAP mają reguły sieciowej grupy zabezpieczeń, upewnij się, że reguły są skonfigurowane tak, aby zezwalały na ruch przychodzący z podsieci usługi Azure Monitor dla rozwiązań SAP.
• Jeśli masz zaporę w środowisku SAP, upewnij się, że zapora jest skonfigurowana tak, aby zezwalała na ruch przychodzący z podsieci usługi Azure Monitor dla rozwiązań SAP.

Aby uzyskać więcej informacji, zobacz, jak zintegrować aplikację z siecią wirtualną platformy Azure.

Używanie niestandardowego systemu DNS dla sieci wirtualnej

Ta sekcja ma zastosowanie tylko w przypadku korzystania z niestandardowej usługi DNS dla sieci wirtualnej. Dodaj adres IP 168.63.129.16, który wskazuje serwer Usługi Azure DNS. To rozwiązanie rozwiązuje problemy z kontem magazynu i innymi adresami URL zasobów, które są wymagane do prawidłowego funkcjonowania usługi Azure Monitor dla rozwiązań SAP.

Konfigurowanie wychodzącego dostępu do Internetu

W wielu przypadkach użycia możesz ograniczyć lub zablokować wychodzący dostęp do Internetu do środowiska sieciowego SAP. Jednak usługa Azure Monitor dla rozwiązań SAP wymaga łączności sieciowej między skonfigurowaną podsiecią a systemami, które chcesz monitorować. Przed wdrożeniem zasobu usługi Azure Monitor dla rozwiązań SAP należy skonfigurować wychodzący dostęp do Internetu lub wdrożenie zakończy się niepowodzeniem.

Istnieje wiele metod adresowania ograniczonego lub zablokowanego dostępu do Internetu dla ruchu wychodzącego. Wybierz metodę, która najlepiej sprawdza się w twoim przypadku użycia:

• Korzystanie z funkcji Route All w usłudze Azure Functions
• Używanie tagów usługi z sieciową grupą zabezpieczeń w sieci wirtualnej

Użyj trasy wszystkie

Route All to standardowa funkcja integracji sieci wirtualnej w usłudze Azure Functions, która jest wdrażana w ramach usługi Azure Monitor dla rozwiązań SAP. Włączenie lub wyłączenie tego ustawienia wpływa tylko na ruch z usługi Azure Functions. To ustawienie nie ma wpływu na żaden inny ruch przychodzący lub wychodzący w sieci wirtualnej.

Ustawienie Route All można skonfigurować podczas tworzenia zasobu usługi Azure Monitor dla rozwiązań SAP za pośrednictwem witryny Azure Portal. Jeśli środowisko SAP nie zezwala na wychodzący dostęp do Internetu, wyłącz opcję Route All. Jeśli środowisko SAP zezwala na wychodzący dostęp do Internetu, zachowaj ustawienie domyślne, aby włączyć opcję Route All.

Tej opcji można używać tylko przed wdrożeniem zasobu usługi Azure Monitor dla rozwiązań SAP. Nie można zmienić ustawienia Route All po utworzeniu zasobu usługi Azure Monitor dla rozwiązań SAP.

Zezwalaj na ruch przychodzący

Jeśli masz reguły sieciowej grupy zabezpieczeń lub trasy zdefiniowanej przez użytkownika, które blokują ruch przychodzący do środowiska SAP, należy zmodyfikować reguły, aby zezwolić na ruch przychodzący. Ponadto w zależności od typów dostawców, które próbujesz dodać, należy odblokować kilka portów, jak pokazano w poniższej tabeli.

Typ dostawcy	Numer portu
System operacyjny Prometheus	9100
Klaster Prometheus HA w systemie RHEL	44322
Klaster Prometheus HA w systemie SUSE	9100
SQL Server	1433 (może być inny, jeśli nie używasz portu domyślnego)
SERWER DB2	25000 (może być inny, jeśli nie używasz portu domyślnego)
SAP HANA DB	3<wystąpienie numer>13, 3<wystąpienie numer>15
SAP NetWeaver	5<wystąpień numer>13, 5<wystąpień>15

Używanie tagów usługi

Jeśli używasz sieciowych grup zabezpieczeń, możesz utworzyć usługę Azure Monitor dla tagów usługi sieci wirtualnej związanych z rozwiązaniami SAP, aby umożliwić odpowiedni przepływ ruchu dla danego wdrożenia. Tag usługi reprezentuje grupę prefiksów adresów IP z określonej usługi platformy Azure.

Tej opcji można użyć po wdrożeniu zasobu usługi Azure Monitor dla rozwiązań SAP.

1. Znajdź podsieć skojarzona z zarządzaną grupą zasobów usługi Azure Monitor dla rozwiązań SAP:

   1. Zaloguj się w witrynie Azure Portal.
   2. Wyszukaj lub wybierz usługę Azure Monitor dla rozwiązań SAP.
   3. Na stronie Przegląd dla rozwiązań SAP dla usługi Azure Monitor dla rozwiązań SAP wybierz zasób usługi Azure Monitor dla rozwiązań SAP.
   4. Na stronie zarządzanej grupy zasobów wybierz aplikację usługi Azure Functions.
   5. Na stronie aplikacji wybierz kartę Sieć . Następnie wybierz pozycję Integracja z siecią wirtualną.
   6. Przejrzyj i zanotuj szczegóły podsieci. Adres IP podsieci jest potrzebny do utworzenia reguł w następnym kroku.

2. Wybierz nazwę podsieci, aby znaleźć skojarzona sieciowa grupa zabezpieczeń. Zanotuj informacje sieciowej grupy zabezpieczeń.

3. Ustaw nowe reguły sieciowej grupy zabezpieczeń dla ruchu wychodzącego sieci:

   1. Przejdź do zasobu sieciowej grupy zabezpieczeń w witrynie Azure Portal.
   2. W menu sieciowej grupy zabezpieczeń w obszarze Ustawienia wybierz pozycję Reguły zabezpieczeń dla ruchu wychodzącego.
   3. Wybierz pozycję Dodaj , aby dodać następujące nowe reguły:

   Priorytet	Nazwa	Port	Protokół	Element źródłowy	Element docelowy	Akcja
   450	allow_monitor	443	TCP	Podsieć usługi Azure Functions	Azure Monitor	Zezwalaj
   501	allow_keyVault	443	TCP	Podsieć usługi Azure Functions	Azure Key Vault	Zezwalaj
   550	allow_storage	443	TCP	Podsieć usługi Azure Functions	Storage	Zezwalaj
   600	allow_azure_controlplane	443	Dowolne	Podsieć usługi Azure Functions	Azure Resource Manager	Zezwalaj
   650	allow_ams_to_source_system	Dowolne	Dowolne	Podsieć usługi Azure Functions	Sieć wirtualna lub rozdzielone przecinkami adresy IP systemu źródłowego	Zezwalaj
   660	deny_internet	Dowolne	Dowolne	Dowolne	Internet	Zablokuj

Adres IP podsieci rozwiązania Azure Monitor for SAP odnosi się do adresu IP podsieci skojarzonej z zasobem usługi Azure Monitor dla rozwiązań SAP. Aby znaleźć podsieć, przejdź do zasobu usługi Azure Monitor dla rozwiązań SAP w witrynie Azure Portal. Na stronie Przegląd przejrzyj wartość sieci wirtualnej/podsieci.

W przypadku tworzonych reguł allow_vnet musi mieć niższy priorytet niż deny_internet. Wszystkie inne reguły muszą mieć również niższy priorytet niż allow_vnet. Pozostała kolejność tych innych reguł jest zamienna.

Następne kroki

• Szybki start: konfigurowanie usługi Azure Monitor dla rozwiązań SAP za pośrednictwem witryny Azure Portal
• Szybki start: konfigurowanie usługi Azure Monitor dla rozwiązań SAP przy użyciu programu PowerShell