Configurar o firewall de rede para o SCOM do Azure Monitor Instância Gerenciada
Este artigo descreve como configurar o firewall de rede e as regras do NSG (grupo de segurança de rede) do Azure.
Observação
Para saber mais sobre a arquitetura de Instância Gerenciada do SCOM do Azure Monitor, consulte SCOM do Azure Monitor Instância Gerenciada.
Pré-requisitos de rede
Esta seção discute os pré-requisitos de rede com três exemplos de modelo de rede.
Estabelecer conectividade direta (linha de visão) entre o controlador de domínio e a rede do Azure
Verifique se há conectividade de rede direta (linha de visão) entre a rede do controlador de domínio desejado e a sub-rede do Azure (rede virtual) em que você deseja implantar uma instância do SCOM Instância Gerenciada. Verifique se há conectividade de rede direta (linha de visão) entre as cargas de trabalho/agentes e a sub-rede do Azure na qual o SCOM Instância Gerenciada é implantado.
A conectividade direta é necessária para que todos os seus seguintes recursos possam se comunicar entre si pela rede:
- Controlador de domínio
- Agentes
- Componentes do System Center Operations Manager, como o console de Operações
- Componentes de Instância Gerenciada do SCOM, como servidores de gerenciamento
Os três modelos de rede distintos a seguir são representados visualmente para criar o Instância Gerenciada do SCOM.
Modelo de rede 1: o controlador de domínio está localizado localmente
Nesse modelo, o controlador de domínio desejado está localizado em sua rede local. Você deve estabelecer uma conexão do Azure ExpressRoute entre sua rede local e a sub-rede do Azure usada para o Instância Gerenciada do SCOM.
Se o controlador de domínio e outros componentes forem locais, você deverá estabelecer a linha de visão por meio do ExpressRoute ou de uma VPN (rede virtual privada). Para obter mais informações, consulte Documentação do ExpressRoute e documentação do Azure Gateway de VPN.
O modelo de rede a seguir mostra onde o controlador de domínio desejado está situado na rede local. Existe uma conexão direta (via ExpressRoute ou VPN) entre a rede local e a sub-rede do Azure usada para criação de Instância Gerenciada SCOM.
Modelo de rede 2: o controlador de domínio está hospedado no Azure
Nessa configuração, o controlador de domínio designado está hospedado no Azure e você deve estabelecer uma conexão ExpressRoute ou VPN entre sua rede local e a sub-rede do Azure. Ele é usado para a criação do SCOM Instância Gerenciada e a sub-rede do Azure usada para o controlador de domínio designado. Para obter mais informações, consulte ExpressRoute e Gateway de VPN.
Nesse modelo, o controlador de domínio desejado permanece integrado à floresta de domínio local. No entanto, você optou por criar um controlador dedicado do Active Directory no Azure para dar suporte a recursos do Azure que dependem da infraestrutura de Active Directory local.
Modelo de rede 3: o controlador de domínio e as Instâncias Gerenciadas do SCOM estão em redes virtuais do Azure
Nesse modelo, o controlador de domínio desejado e as Instâncias Gerenciadas do SCOM são colocados em redes virtuais separadas e dedicadas no Azure.
Se o controlador de domínio desejado e todos os outros componentes estiverem na mesma rede virtual do Azure (um controlador de domínio ativo convencional) sem presença local, você já terá uma linha de visão entre todos os componentes.
Se o controlador de domínio desejado e todos os outros componentes estiverem em diferentes redes virtuais do Azure (um controlador de domínio ativo convencional) sem presença local, você precisará fazer o emparelhamento de rede virtual entre todas as redes virtuais que estão em sua rede. Para obter mais informações, consulte Emparelhamento de rede virtual no Azure.
Cuide dos seguintes problemas para todos os três modelos de rede mencionados anteriormente:
Verifique se a sub-rede do SCOM Instância Gerenciada pode estabelecer conectividade com o controlador de domínio designado configurado para a Instância Gerenciada do Azure ou do SCOM. Além disso, verifique se a resolução de nomes de domínio na sub-rede do SCOM Instância Gerenciada lista o controlador de domínio designado como a entrada superior entre os controladores de domínio resolvidos para evitar problemas de latência de rede ou desempenho e firewall.
As seguintes portas no controlador de domínio designado e no DNS (Sistema de Nomes de Domínio) devem estar acessíveis no SCOM Instância Gerenciada sub-rede:
Porta TCP 389 ou 636 para LDAP
Porta TCP 3268 ou 3269 para o catálogo global
Porta TCP e UDP 88 para Kerberos
Porta TCP e UDP 53 para DNS
TCP 9389 para o serviço Web do Active Directory
TCP 445 para SMB
TCP 135 para RPC
As regras internas de firewall e o NSG devem permitir a comunicação do SCOM Instância Gerenciada rede virtual e do controlador de domínio/DNS designado para todas as portas listadas anteriormente.
A rede virtual Instância Gerenciada de SQL do Azure e a Instância Gerenciada SCOM devem ser emparelhadas para estabelecer conectividade. Especificamente, a porta 1433 (porta privada) ou 3342 (porta pública) deve ser acessível do SCOM Instância Gerenciada para a instância gerenciada de SQL. Configure as regras de NSG e as regras de firewall em ambas as redes virtuais para permitir as portas 1433 e 3342.
Permitir comunicação nas portas 5723, 5724 e 443 do computador que está sendo monitorado para o SCOM Instância Gerenciada.
Se o computador for local, configure as regras de NSG e as regras de firewall na sub-rede do SCOM Instância Gerenciada e na rede local em que o computador monitorado está localizado para garantir que as portas essenciais especificadas (5723, 5724 e 443) sejam acessíveis do computador monitorado para o SCOM Instância Gerenciada sub-rede.
Se o computador estiver no Azure, configure as regras de NSG e as regras de firewall no SCOM Instância Gerenciada rede virtual e na rede virtual em que o computador monitorado está localizado para garantir que as portas essenciais especificadas (5723, 5724 e 443) estejam acessíveis do computador monitorado para o SCOM Instância Gerenciada sub-rede.
Requisitos de firewall
Para funcionar corretamente, o SCOM Instância Gerenciada deve ter acesso ao número da porta e às URLs a seguir. Configure o NSG e as regras de firewall para permitir essa comunicação.
| Recurso | Porta | Direção | Marcas de serviço | Finalidade |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Saída | Armazenamento | Armazenamento do Azure |
| management.azure.com | 443 | Saída | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Saída | AzureMonitor | SCOM MI Logs |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Saída | AzureMonitor | Métricas de MI do SCOM |
| *.workloadnexus.azure.com | 443 | Saída | Serviço Nexus | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Saída | Serviço de Ponte |
Importante
Para minimizar a necessidade de comunicação abrangente com o administrador do Active Directory e o administrador de rede, consulte Autoconfifique. O artigo descreve os procedimentos que o administrador do Active Directory e o administrador de rede usam para validar suas alterações de configuração e garantir sua implementação bem-sucedida. Esse processo reduz interações de ida e volta desnecessárias do administrador do Operations Manager para o administrador do Active Directory e o administrador de rede. Essa configuração economiza tempo para os administradores.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de