Configurar a firewall de rede para a Instância Gerida do SCOM do Azure Monitor
Este artigo descreve como configurar a firewall de rede e as regras do grupo de segurança de rede do Azure (NSG).
Nota
Para saber mais sobre a arquitetura da Instância Gerida do SCOM do Azure Monitor, veja Instância Gerida do SCOM do Azure Monitor.
Pré-requisitos de rede
Esta secção aborda os pré-requisitos de rede com três exemplos de modelos de rede.
Estabelecer conectividade direta (linha de visão) entre o controlador de domínio e a rede do Azure
Certifique-se de que existe conectividade de rede direta (linha de visão) entre a rede do controlador de domínio pretendido e a sub-rede do Azure (rede virtual) onde pretende implementar uma instância do SCOM Managed Instance. Certifique-se de que existe conectividade de rede direta (linha de visão) entre as cargas de trabalho/agentes e a sub-rede do Azure na qual a Instância Gerida do SCOM é implementada.
A conectividade direta é necessária para que todos os recursos seguintes possam comunicar entre si através da rede:
- Controlador de domínio
- Agentes
- Componentes do System Center Operations Manager, como a Consola de operações
- Componentes da Instância Gerida do SCOM, como servidores de gestão
Os três modelos de rede distintos seguintes são representados visualmente para criar a Instância Gerida do SCOM.
Modelo de rede 1: o controlador de domínio está localizado no local
Neste modelo, o controlador de domínio pretendido está localizado na sua rede no local. Tem de estabelecer uma ligação do Azure ExpressRoute entre a rede no local e a sub-rede do Azure utilizada para a Instância Gerida do SCOM.
Se o controlador de domínio e outro componente estiverem no local, tem de estabelecer a linha de visão através do ExpressRoute ou de uma rede privada virtual (VPN). Para obter mais informações, veja Documentação do ExpressRoute e documentação do Azure Gateway de VPN.
O seguinte modelo de rede mostra onde o controlador de domínio pretendido está situado na rede no local. Existe uma ligação direta (através do ExpressRoute ou da VPN) entre a rede no local e a sub-rede do Azure utilizada para a criação da Instância Gerida do SCOM.
Modelo de rede 2: o controlador de domínio está alojado no Azure
Nesta configuração, o controlador de domínio designado está alojado no Azure e tem de estabelecer uma ligação ExpressRoute ou VPN entre a rede no local e a sub-rede do Azure. É utilizado para a criação da Instância Gerida do SCOM e para a sub-rede do Azure utilizada para o controlador de domínio designado. Para obter mais informações, veja ExpressRoute e Gateway de VPN.
Neste modelo, o controlador de domínio pretendido permanece integrado na sua floresta de domínio no local. No entanto, optou por criar um controlador dedicado do Active Directory no Azure para suportar recursos do Azure que dependem da infraestrutura Active Directory no local.
Modelo de rede 3: o controlador de domínio e as Instâncias Geridas do SCOM estão em redes virtuais do Azure
Neste modelo, tanto o controlador de domínio pretendido como o SCOM Managed Instances são colocados em redes virtuais separadas e dedicadas no Azure.
Se o controlador de domínio que pretende e todos os outros componentes estiverem na mesma rede virtual do Azure (um controlador de domínio ativo convencional) sem presença no local, já tem uma linha de visão entre todos os seus componentes.
Se o controlador de domínio que pretende e todos os outros componentes estiverem em diferentes redes virtuais do Azure (um controlador de domínio ativo convencional) sem presença no local, terá de fazer peering de rede virtual entre todas as redes virtuais que estão na sua rede. Para obter mais informações, veja Peering de rede virtual no Azure.
Trate dos seguintes problemas para os três modelos de rede mencionados anteriormente:
Certifique-se de que a sub-rede da Instância Gerida do SCOM pode estabelecer conectividade ao controlador de domínio designado configurado para o Azure ou a Instância Gerida do SCOM. Além disso, certifique-se de que a resolução de nomes de domínio na sub-rede instância gerida do SCOM lista o controlador de domínio designado como a entrada superior entre os controladores de domínio resolvidos para evitar problemas de latência de rede ou desempenho e firewall.
As seguintes portas no controlador de domínio designado e no Sistema de Nomes de Domínio (DNS) têm de estar acessíveis a partir da sub-rede do SCOM Managed Instance:
Porta TCP 389 ou 636 para LDAP
Porta TCP 3268 ou 3269 para catálogo global
Porta TCP e UDP 88 para Kerberos
Porta TCP e UDP 53 para DNS
TCP 9389 para o serviço Web do Active Directory
TCP 445 para SMB
TCP 135 para RPC
As regras de firewall internas e o NSG têm de permitir a comunicação a partir da rede virtual da Instância Gerida do SCOM e do controlador de domínio/DNS designado para todas as portas listadas anteriormente.
A rede virtual Azure SQL Managed Instance e a Instância Gerida do SCOM têm de estar em modo de peering para estabelecer conectividade. Especificamente, a porta 1433 (porta privada) ou 3342 (porta pública) tem de estar acessível da Instância Gerida do SCOM para a instância gerida do SQL. Configure as regras do NSG e as regras de firewall em ambas as redes virtuais para permitir as portas 1433 e 3342.
Permitir comunicação nas portas 5723, 5724 e 443 do computador que está a ser monitorizado para a Instância Gerida do SCOM.
Se o computador estiver no local, configure as regras do NSG e as regras de firewall na sub-rede do SCOM Managed Instance e na rede no local onde a máquina monitorizada está localizada para garantir que as portas essenciais especificadas (5723, 5724 e 443) estão acessíveis a partir do computador monitorizado para a sub-rede instância gerida do SCOM.
Se a máquina estiver no Azure, configure as regras do NSG e as regras de firewall na rede virtual do SCOM Managed Instance e na rede virtual onde a máquina monitorizada está localizada para garantir que as portas essenciais especificadas (5723, 5724 e 443) estão acessíveis a partir da máquina monitorizada para a sub-rede instância gerida do SCOM.
Requisitos da firewall
Para funcionar corretamente, a Instância Gerida do SCOM tem de ter acesso ao seguinte número de porta e URLs. Configure as regras de NSG e firewall para permitir esta comunicação.
| Recurso | Porta | Direção | Etiquetas de Serviço | Objetivo |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Saída | Armazenamento | Armazenamento do Azure |
| management.azure.com | 443 | Saída | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Saída | AzureMonitor | Registos mi do SCOM |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Saída | AzureMonitor | Métricas de MI do SCOM |
| *.workloadnexus.azure.com | 443 | Saída | Serviço Nexus | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Saída | Serviço bridge |
Importante
Para minimizar a necessidade de uma comunicação extensiva com o administrador do Active Directory e com o administrador de rede, veja Auto-verificação. O artigo descreve os procedimentos que o administrador do Active Directory e o administrador de rede utilizam para validar as alterações de configuração e garantir a implementação com êxito. Este processo reduz as interações inativas desnecessárias do administrador do Operations Manager para o administrador do Active Directory e o administrador de rede. Esta configuração poupa tempo aos administradores.
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários