Azure İzleyici SCOM Yönetilen Örneği için ağ güvenlik duvarını yapılandırma
Bu makalede, ağ güvenlik duvarı ve Azure ağ güvenlik grubu (NSG) kurallarının nasıl yapılandırıldığı açıklanır.
Not
Azure İzleyici SCOM Yönetilen Örneği mimarisi hakkında bilgi edinmek için bkz . Azure İzleyici SCOM Yönetilen Örneği.
Ağ önkoşulları
Bu bölümde üç ağ modeli örneğiyle ağ önkoşulları ele alınmaktadır.
Etki alanı denetleyicinizle Azure ağı arasında doğrudan bağlantı (görüş hattı) oluşturma
İstediğiniz etki alanı denetleyicisinin ağı ile SCOM Yönetilen Örneği örneğini dağıtmak istediğiniz Azure alt ağı (sanal ağ) arasında doğrudan ağ bağlantısı (görüş hattı) olduğundan emin olun. İş yükleri/aracılar ile SCOM Yönetilen Örneğinin dağıtıldığı Azure alt ağı arasında doğrudan ağ bağlantısı (görüş hattı) olduğundan emin olun.
Aşağıdaki tüm kaynaklarınızın ağ üzerinden birbirleriyle iletişim kurabilmesi için doğrudan bağlantı gereklidir:
- Etki alanı denetleyicisi
- Aracılar
- İşletim konsolu gibi System Center Operations Manager bileşenleri
- Yönetim sunucuları gibi SCOM Yönetilen Örneği bileşenleri
SCOM Yönetilen Örneği oluşturmak için aşağıdaki üç ayrı ağ modeli görsel olarak temsil edilir.
Ağ modeli 1: Etki alanı denetleyicisi şirket içinde bulunur
Bu modelde, istenen etki alanı denetleyicisi şirket içi ağınızda bulunur. Şirket içi ağınızla SCOM Yönetilen Örneği için kullanılan Azure alt ağı arasında bir Azure ExpressRoute bağlantısı kurmanız gerekir.
Etki alanı denetleyiciniz ve diğer bileşen şirket içindeyse, ExpressRoute veya bir sanal özel ağ (VPN) aracılığıyla görüş hattını oluşturmanız gerekir. Daha fazla bilgi için Bkz . ExpressRoute belgeleri ve Azure VPN Gateway belgeleri.
Aşağıdaki ağ modeli, istenen etki alanı denetleyicisinin şirket içi ağın içinde nerede yer aldığı gösterir. Şirket içi ağ ile SCOM Yönetilen Örneği oluşturmak için kullanılan Azure alt ağı arasında bir doğrudan bağlantı (ExpressRoute veya VPN aracılığıyla) vardır.
Ağ modeli 2: Etki alanı denetleyicisi Azure'da barındırılır
Bu yapılandırmada, belirlenen etki alanı denetleyicisi Azure'da barındırılır ve şirket içi ağınızla Azure alt ağı arasında ExpressRoute veya VPN bağlantısı kurmanız gerekir. SCOM Yönetilen Örneği oluşturma ve belirlenen etki alanı denetleyicisi için kullanılan Azure alt ağı için kullanılır. Daha fazla bilgi için bkz . ExpressRoute ve VPN Gateway.
Bu modelde, istenen etki alanı denetleyicisi şirket içi etki alanı ormanınızla tümleştirilmiş olarak kalır. Ancak, şirket içi Active Directory altyapısını kullanan Azure kaynaklarını desteklemek için Azure'da ayrılmış bir Active Directory denetleyicisi oluşturmayı seçtiniz.
Ağ modeli 3: Etki alanı denetleyicisi ve SCOM Yönetilen Örnekleri Azure sanal ağlarındadır
Bu modelde hem istenen etki alanı denetleyicisi hem de SCOM Yönetilen Örnekleri Azure'da ayrı ve ayrılmış sanal ağlara yerleştirilir.
İstediğiniz etki alanı denetleyicisi ve diğer tüm bileşenler, şirket içinde iletişim durumu olmayan aynı Azure sanal ağında (geleneksel bir etkin etki alanı denetleyicisi) varsa, tüm bileşenleriniz arasında zaten bir görüş çizginiz vardır.
İstediğiniz etki alanı denetleyicisi ve diğer tüm bileşenler, şirket içinde iletişim durumu olmayan farklı Azure sanal ağlarında (geleneksel bir etkin etki alanı denetleyicisi) varsa, ağınızdaki tüm sanal ağlar arasında sanal ağ eşlemesi yapmanız gerekir. Daha fazla bilgi için bkz . Azure'da sanal ağ eşlemesi.
Daha önce bahsedilen üç ağ modeli için de aşağıdaki sorunlarla ilgilenin:
SCOM Yönetilen Örneği alt ağından Azure veya SCOM Yönetilen Örneği için yapılandırılmış belirlenmiş etki alanı denetleyicisine bağlantı kuraadığından emin olun. Ayrıca, ağ gecikmesi veya performans ve güvenlik duvarı sorunlarını önlemek için SCOM Yönetilen Örneği alt ağındaki etki alanı adı çözümlemesinin, çözümlenen etki alanı denetleyicileri arasında en üst girdi olarak belirlenen etki alanı denetleyicisini listelediğinden emin olun.
Belirlenen etki alanı denetleyicisi ve Etki Alanı Adı Sistemi 'nin (DNS) aşağıdaki bağlantı noktalarına SCOM Yönetilen Örnek alt ağından erişilebilir olmalıdır:
LDAP için TCP bağlantı noktası 389 veya 636
Genel katalog için TCP bağlantı noktası 3268 veya 3269
Kerberos için TCP ve UDP bağlantı noktası 88
DNS için TCP ve UDP bağlantı noktası 53
Active Directory web hizmeti için TCP 9389
SMB için TCP 445
RPC için TCP 135
İç güvenlik duvarı kuralları ve NSG, daha önce listelenen tüm bağlantı noktaları için SCOM Yönetilen Örneği sanal ağından ve belirlenen etki alanı denetleyicisinden/DNS'den iletişime izin vermelidir.
Bağlantı kurmak için Azure SQL Yönetilen Örneği sanal ağı ve SCOM Yönetilen Örneği eşlenmelidir. Özellikle, 1433 (özel bağlantı noktası) veya 3342 (genel bağlantı noktası) bağlantı noktasına SCOM Yönetilen Örneğinden SQL yönetilen örneğine ulaşılabilir olmalıdır. 1433 ve 3342 bağlantı noktalarına izin vermek için her iki sanal ağda da NSG kurallarını ve güvenlik duvarı kurallarını yapılandırın.
İzlenen makineden SCOM Yönetilen Örneği'ne kadar 5723, 5724 ve 443 bağlantı noktaları üzerinde iletişime izin verin.
Makine şirket içindeyse, belirtilen temel bağlantı noktalarının (5723, 5724 ve 443) izlenen makineden SCOM Yönetilen Örnek alt ağına ulaşılabilmesini sağlamak için SCOM Yönetilen Örneği alt ağında ve izlenen makinenin bulunduğu şirket içi ağda NSG kurallarını ve güvenlik duvarı kurallarını ayarlayın.
Makine Azure'daysa, belirtilen temel bağlantı noktalarının (5723, 5724 ve 443) izlenen makineden SCOM Yönetilen Örneği alt ağına ulaşılabilmesini sağlamak için SCOM Yönetilen Örneği sanal ağında ve izlenen makinenin bulunduğu sanal ağda NSG kurallarını ve güvenlik duvarı kurallarını ayarlayın.
Güvenlik duvarı gereksinimleri
SCOM Yönetilen Örneğinin düzgün çalışması için aşağıdaki bağlantı noktası numarasına ve URL'lere erişimi olmalıdır. NSG ve güvenlik duvarı kurallarını bu iletişime izin verecek şekilde yapılandırın.
| Kaynak | Bağlantı noktası | Yön | Hizmet Etiketleri | Purpose |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Giden | Depolama | Azure Depolama |
| management.azure.com | 443 | Giden | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Giden | AzureMonitor | SCOM MI Günlükleri |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Giden | AzureMonitor | SCOM MI Ölçümleri |
| *.workloadnexus.azure.com | 443 | Giden | Nexus Hizmeti | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Giden | Köprü Hizmeti |
Önemli
Hem Active Directory yöneticiniz hem de ağ yöneticinizle kapsamlı iletişim gereksinimini en aza indirmek için bkz . Kendi kendine doğrulama. Makalede, Active Directory yöneticisinin ve ağ yöneticisinin yapılandırma değişikliklerini doğrulamak ve başarılı bir şekilde uygulanmasını sağlamak için kullandığı yordamlar özetlenmiştir. Bu işlem, Operations Manager yöneticisinden Active Directory yöneticisine ve ağ yöneticisine gereksiz ileri geri etkileşimleri azaltır. Bu yapılandırma yöneticiler için zaman kazandırır.