Konfigurera ett nätverk för Azure Monitor för SAP-lösningar
I den här guiden får du lära dig hur du konfigurerar ett virtuellt Azure-nätverk så att du kan distribuera Azure Monitor för SAP-lösningar. Du lär dig att:
- Skapa ett nytt undernät för användning med Azure Functions.
- Konfigurera utgående Internetåtkomst till den SAP-miljö som du vill övervaka.
Skapa ett nytt undernät
Azure Functions är datainsamlingsmotorn för Azure Monitor för SAP-lösningar. Du måste skapa ett nytt undernät som ska vara värd för Azure Functions.
Skapa ett nytt undernät med ett IPv4/25-block eller större eftersom du behöver minst 100 IP-adresser för övervakning av resurser. När du har skapat ett undernät kontrollerar du följande steg för att säkerställa anslutningen mellan undernätet Azure Monitor for SAP-lösningar och ditt SAP-miljöundernät:
- Om båda undernäten finns i olika virtuella nätverk gör du en peering för virtuella nätverk mellan de virtuella nätverken.
- Om undernäten är associerade med användardefinierade vägar kontrollerar du att vägarna är konfigurerade för att tillåta trafik mellan undernäten.
- Om SAP-miljöundernäten har regler för nätverkssäkerhetsgrupp (NSG) kontrollerar du att reglerna är konfigurerade för att tillåta inkommande trafik från undernätet Azure Monitor for SAP-lösningar.
- Om du har en brandvägg i SAP-miljön kontrollerar du att brandväggen är konfigurerad för att tillåta inkommande trafik från undernätet Azure Monitor for SAP-lösningar.
Mer information finns i integrera din app med ett virtuellt Azure-nätverk.
Använda anpassad DNS för ditt virtuella nätverk
Det här avsnittet gäller endast om du använder anpassad DNS för ditt virtuella nätverk. Lägg till IP-adressen 168.63.129.16, som pekar på Azure DNS Server. Det här arrangemanget löser lagringskontot och andra resurs-URL:er som krävs för att Azure Monitor för SAP-lösningar ska fungera korrekt.
Konfigurera utgående internetåtkomst
I många användningsfall kan du välja att begränsa eller blockera utgående Internetåtkomst till din SAP-nätverksmiljö. Azure Monitor för SAP-lösningar kräver dock nätverksanslutning mellan det undernät som du har konfigurerat och de system som du vill övervaka. Innan du distribuerar en Azure Monitor for SAP-lösningsresurs måste du konfigurera utgående Internetåtkomst eller så misslyckas distributionen.
Det finns flera metoder för att hantera begränsad eller blockerad utgående internetåtkomst. Välj den metod som passar bäst för ditt användningsfall:
- Använda funktionen Route All i Azure Functions
- Använda tjänsttaggar med en NSG i ditt virtuella nätverk
Använd Väg alla
Route All är en standardfunktion för integrering av virtuella nätverk i Azure Functions, som distribueras som en del av Azure Monitor för SAP-lösningar. Aktivering eller inaktivering av den här inställningen påverkar endast trafik från Azure Functions. Den här inställningen påverkar inte någon annan inkommande eller utgående trafik i ditt virtuella nätverk.
Du kan konfigurera inställningen Routning alla när du skapar en Azure Monitor for SAP-lösningsresurs via Azure Portal. Om SAP-miljön inte tillåter utgående Internetåtkomst inaktiverar du Route All. Om DIN SAP-miljö tillåter utgående Internetåtkomst behåller du standardinställningen för att aktivera Route All.
Du kan bara använda det här alternativet innan du distribuerar en Azure Monitor för SAP-lösningsresurs. Det går inte att ändra inställningen Routning alla när du har skapat resursen Azure Monitor for SAP-lösningar.
Tillåt inkommande trafik
Om du har NSG- eller användardefinierade routningsregler som blockerar inkommande trafik till DIN SAP-miljö måste du ändra reglerna för att tillåta inkommande trafik. Beroende på vilka typer av leverantörer du försöker lägga till måste du också avblockera några portar, som du ser i följande tabell.
| Providertyp | Portnummer |
|---|---|
| Prometheus OS | 9100 |
| Prometheus HA-kluster på RHEL | 44322 |
| Prometheus HA-kluster på SUSE | 9100 |
| SQL Server | 1433 (kan vara annorlunda om du inte använder standardporten) |
| DB2-server | 25000 (kan vara annorlunda om du inte använder standardporten) |
| SAP HANA DB | 3<instansnummer>13, 3<instansnummer>15 |
| SAP NetWeaver | 5<instansnummer>13, 5<instansnummer>15 |
Använda tjänsttaggar
Om du använder NSG:er kan du skapa Azure Monitor för SAP-lösningar relaterade tjänsttaggar för virtuella nätverk för att tillåta lämpligt trafikflöde för distributionen. En tjänsttagg representerar en grupp IP-adressprefix från en specifik Azure-tjänst.
Du kan använda det här alternativet när du har distribuerat en Azure Monitor for SAP-lösningsresurs.
Hitta det undernät som är associerat med din hanterade resursgrupp för Azure Monitor för SAP-lösningar:
- Logga in på Azure-portalen.
- Sök efter eller välj tjänsten Azure Monitor för SAP-lösningar.
- På sidan Översikt för Azure Monitor för SAP-lösningar väljer du resursen Azure Monitor för SAP-lösningar.
- På sidan för den hanterade resursgruppen väljer du Azure Functions-appen.
- På appens sida väljer du fliken Nätverk . Välj sedan VNET-integrering.
- Granska och notera information om undernätet. Du behöver undernätets IP-adress för att skapa regler i nästa steg.
Välj undernätets namn för att hitta den associerade NSG:n. Observera NSG:ns information.
Ange nya NSG-regler för utgående nätverkstrafik:
- Gå till NSG-resursen i Azure Portal.
- På NSG-menyn går du till Inställningar och väljer Utgående säkerhetsregler.
- Välj Lägg till för att lägga till följande nya regler:
Prioritet Namn Port Protokoll Källa Mål Action 450 allow_monitor 443 TCP Azure Functions-undernät Azure Monitor Tillåt 501 allow_keyVault 443 TCP Azure Functions-undernät Azure Key Vault Tillåt 550 allow_storage 443 TCP Azure Functions-undernät Storage Tillåt 600 allow_azure_controlplane 443 Valfri Azure Functions-undernät Azure Resource Manager Tillåt 650 allow_ams_to_source_system Valfri Valfri Azure Functions-undernät Virtuellt nätverk eller kommaavgränsade IP-adresser för källsystemet Tillåt 660 deny_internet Valfri Valfri Valfri Internet Neka
Azure Monitor for SAP-lösningens IP-adress för undernätet refererar till IP-adressen för det undernät som är associerat med din Azure Monitor för SAP-lösningsresurs. Om du vill hitta undernätet går du till resursen Azure Monitor för SAP-lösningar i Azure Portal. På sidan Översikt granskar du värdet för vNet/undernät .
För de regler som du skapar måste allow_vnet ha en lägre prioritet än deny_internet. Alla andra regler måste också ha en lägre prioritet än allow_vnet. Den återstående ordningen för dessa andra regler är utbytbar.