Configurar uma rede do Azure Monitor para soluções SAP
Neste guia de instruções, você aprenderá a configurar uma rede virtual do Azure para que possa implantar o Azure Monitor para soluções SAP. Você aprenderá como:
- Criar uma sub-rede para uso com o Azure Functions.
- Configurar o acesso de saída à Internet para o ambiente SAP que você deseja monitorar.
Criar uma sub-rede
Azure Functions é o mecanismo de coleta de dados para o Azure Monitor para Soluções SAP. Você deve criar uma sub-rede para hospedar o Azure Functions.
Criar uma sub-rede com um bloco IPv4/25 ou maior, pois você precisa de pelo menos 100 endereços IP para monitorar os recursos. Depois de criar uma sub-rede com êxito, verifique as seguintes etapas para garantir a conectividade entre a sub-rede do Azure Monitor para soluções SAP e a sub-rede do seu ambiente SAP:
- Se ambas as sub-redes estiverem em redes virtuais diferentes, faça um emparelhamento de rede virtual entre as redes virtuais.
- Se as sub-redes estiverem associadas a rotas definidas pelo usuário, verifique se as rotas estão configuradas para permitir o tráfego entre as sub-redes.
- Se as sub-redes do ambiente SAP tiverem regras de grupo de segurança de rede (NSG), verifique se as regras estão configuradas para permitir o tráfego de entrada da sub-rede do Azure Monitor para soluções SAP.
- Se você tiver um firewall em seu ambiente SAP, certifique-se de que o firewall esteja configurado para permitir o tráfego de entrada da sub-rede do Azure Monitor para soluções SAP.
Para obter mais informações, consulte como integrar seu aplicativo a uma rede virtual do Azure.
Usar o DNS personalizado para sua rede virtual
Esta seção só se aplica se você estiver usando o DNS personalizado para a sua rede virtual. Adicione o endereço IP 168.63.129.16, que aponta para o Servidor DNS do Azure. Esse arranjo resolve a conta de armazenamento e outras URLs de recursos que são necessárias para o funcionamento adequado das soluções do Azure Monitor para SAP.
Configurar o acesso à Internet de saída
Em muitos casos de uso, você pode optar por restringir ou bloquear o acesso de saída à Internet ao seu ambiente de rede SAP. No entanto, o Azure Monitor para Soluções SAP requer conectividade de rede entre a sub-rede que você configurou e os sistemas que você quer monitorar. Antes de implantar um recurso de soluções do Azure Monitor para SAP, você deve configurar o acesso de saída à Internet ou a implantação falhará.
Existem vários métodos para abordar o acesso à Internet de saída restrito ou bloqueado. Escolha o método que funciona melhor para o seu caso de uso:
Use Rotear tudo
Rotear tudo é um recurso padrão da integração de rede virtual no Azure Functions, que é implantado como parte do Azure Monitor para Soluções SAP. Habilitar ou desabilitar essa configuração afeta apenas o tráfego do Azure Functions. Essa configuração não afeta nenhum outro tráfego de entrada ou saída em sua rede virtual.
Você pode definir a configuração Rotear tudo ao criar um recurso do Azure Monitor para Soluções SAP por meio do portal do Azure. Se o seu ambiente SAP não permitir acesso de saída à Internet, desative Rotear tudo. Se o ambiente SAP permitir acesso à Internet de saída, mantenha a configuração padrão para habilitar Rotear tudo.
Você só pode usar essa opção antes de implantar um recurso do Azure Monitor para Soluções SAP. Não é possível alterar a configuração Rotear Tudo depois de criar o recurso do Azure Monitor para Soluções SAP.
Permitir o tráfego de entrada
Se você tiver regras de NSG ou de Rota Definida pelo Usuário que bloqueiam o tráfego de entrada para o seu ambiente SAP, deverá modificar as regras para permitir o tráfego de entrada. Além disso, dependendo dos tipos de provedores que você está tentando adicionar, é necessário desbloquear algumas portas, conforme mostrado na tabela a seguir.
| Tipo de provedor | Número da porta |
|---|---|
| SO Prometheus | 9100 |
| Cluster de HA do Prometheus no RHEL | 44322 |
| Cluster de HA do Prometheus no SUSE | 9100 |
| SQL Server | 1433 (pode ser diferente se você não estiver usando a porta padrão) |
| Servidor DB2 | 25000 (pode ser diferente se você não estiver usando a porta padrão) |
| SAP HANA DB | 3<número da instância>13, 3<número da instância>15 |
| SAP NetWeaver | 5<número da instância>13, 5<número da instância>15 |
Usar marcas de serviço
Se usar NSGs, você poderá criar marcas de serviço de rede virtual relacionadas ao Azure Monitor para Soluções SAP para permitir o fluxo de tráfego apropriado para a implantação. Uma marca de serviço representa um grupo de prefixos de endereço IP de um serviço específico do Azure.
Você pode usar essa opção depois de implantar um recurso do Azure Monitor para soluções SAP.
Localize a sub-rede associada ao grupo de recursos gerenciados do Azure Monitor para Soluções SAP:
- Entre no portal do Azure.
- Pesquise ou selecione o serviço do Azure Monitor para Soluções SAP.
- Na página Visão geral do Azure Monitor para Soluções SAP, selecione o recurso do Azure Monitor para Soluções SAP.
- Na página do grupo de recursos gerenciados, selecione o aplicativo Azure Functions.
- Na página do aplicativo, selecione a guia Rede. Em seguida, selecione Integração VNET.
- Revise e anote os detalhes da sub-rede. Você precisa do endereço IP da sub-rede para criar regras na próxima etapa.
Selecione o nome da sub-rede para localizar o NSG associado. Observe as informações do NSG.
Defina novas regras NSG para tráfego de rede de saída:
- Vá para o recurso NSG no portal do Azure.
- No menu do NSG, em Configurações, selecione Regras de segurança de saída.
- Selecione Adicionar para adicionar as novas regras a seguir:
Priority Nome Porta Protocolo Origem Destino Ação 450 allow_monitor 443 TCP Sub-rede do Azure Functions Azure Monitor Allow 501 allow_keyVault 443 TCP Sub-rede do Azure Functions Cofre de Chave do Azure Allow 550 allow_storage 443 TCP Sub-rede do Azure Functions Armazenamento Allow 600 allow_azure_controlplane 443 Qualquer Sub-rede do Azure Functions Azure Resource Manager Allow 650 allow_ams_to_source_system Qualquer Qualquer Sub-rede do Azure Functions Rede virtual ou endereços IP separados por vírgula do sistema de origem Allow 660 deny_internet Qualquer Qualquer Qualquer Internet Negar
O endereço IP da sub-rede da solução do Azure Monitor para SAP refere-se ao IP da sub-rede associada ao seu recurso de soluções do Azure Monitor para SAP. Para localizar a sub-rede, vá para o recurso do Azure Monitor para Soluções SAP no portal do Azure. Na página Visão geral, revise o valor de vNet/subnet.
Para as regras criadas, allow_vnet deve ter uma prioridade menor do que deny_internet. Todas as outras regras também precisam ter uma prioridade menor do que allow_vnet. A ordem restante dessas outras regras é intercambiável.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de