設定適用於 SAP 解決方案的 Azure 監視器網路
在本操作指南中,您可了解如何設定 Azure 虛擬網路,以便部署 Azure Monitor for SAP Solutions。 您將學習如何:
- 建立新的子網路以便搭配 Azure Functions 使用。
- 將輸出網際網路存取設定為您想要監視的 SAP 環境。
建立新的子網路
Azure Functions 是 Azure Monitor for SAP Solutions 的資料收集引擎。 您必須建立新的子網路來裝載 Azure Functions。
建立新的子網路,其具有 IPv4/25 或更大的區塊,因為您需要至少 100 個 IP 位址來監視資源。 成功建立子網路之後,請確認下列步驟,以確保 Azure Monitor for SAP Solutions 子網路與 SAP 環境子網路之間的連線能力:
- 如果這兩個子網路位於不同的虛擬網路中,請在虛擬網路之間進行虛擬網路對等互連。
- 如果子網路與使用者定義的路由相關聯,請確定路由已設定為允許子網路之間的流量。
- 如果 SAP 環境子網路有網路安全組群組 (NSG) 規則,請確定規則已設定為允許來自 Azure Monitor for SAP Solutions 子網路的輸入流量。
- 如果您的 SAP 環境中有防火牆,請確定防火牆已設定為允許來自 Azure Monitor for SAP Solutions 子網路的輸入流量。
如需詳細資訊,請參閱將您的應用程式與 Azure 虛擬網路整合。
對您的虛擬網路使用自訂 DNS
本節僅適用於您對虛擬網路使用自訂 DNS 時。 新增 IP 位址 168.63.129.16,以指向 Azure DNS 伺服器。 此安排可解析 Azure Monitor for SAP Solutions 正常運作所需的儲存體帳戶和其他資源 URL。
設定輸出網際網路存取
在許多情況下,您可選擇限制或封鎖對 SAP 網路環境的輸出網際網路存取。 不過,Azure Monitor for SAP Solutions 需要您設定的子網路與您想監視的系統之間具備網路連線能力。 部署 Azure Monitor for SAP Solutions 資源之前,您必須設定輸出網際網路存取,否則部署會失敗。
有多種方法可解決受限制或遭到封鎖的輸出網際網路存取。 選擇最適合您使用案例的方法:
使用完整路由
[完整路由] 是 Azure Functions 中虛擬網路整合的標準功能,其已部署為 Azure Monitor for SAP Solutions 的一部分。 啟用或停用此設定只會影響來自 Azure Functions 的流量。 此設定不會影響虛擬網路內的任何其他傳入或傳出流量。
透過 Azure 入口網站建立 Azure Monitor for SAP Solutions 資源時,可以設定 [完整路由] 設定。 如果您的 SAP 環境不允許輸出網際網路存取,請停用 [完整路由]。 如果您的 SAP 環境允許輸出網際網路存取,請保留預設設定以啟用 [完整路由]。
您只能在部署 Azure Monitor for SAP Solutions 資源之前使用此選項。 建立 Azure Monitor for SAP Solutions 資源之後,便無法變更 [完整路由] 設定。
允許輸入流量
如果您有 NSG 或使用者定義的路由規則會封鎖對 SAP 環境的輸入流量,則必須修改這些規則以允許輸入流量。 此外,根據您嘗試新增的提供者類型,您必須解除封鎖幾個連接埠,如下表所示。
| 提供者類型 | 連接埠號碼 |
|---|---|
| Prometheus OS | 9100 |
| RHEL 上的 Prometheus HA 叢集 | 44322 |
| SUSE 上的 Prometheus HA 叢集 | 9100 |
| SQL Server | 1433 (如果您未使用預設連接埠,則可能不同) |
| DB2 伺服器 | 25000 (如果您未使用預設連接埠,則可能不同) |
| SAP HANA DB | 3<執行個體編號>13、3<執行個體編號>15 |
| SAP NetWeaver | 5<執行個體編號>13、5<執行個體編號>15 |
使用服務標籤
如果您使用 NSG,則可建立 Azure Monitor for SAP Solutions 相關的虛擬網路服務標籤,以允許部署的適當流量流程。 服務標籤代表來自特定 Azure 服務的一組 IP 位址首碼。
部署 Azure Monitor for SAP Solutions 資源之後,即可使用此選項。
尋找與您的 Azure Monitor for SAP Solutions 受控資源群組相關聯的子網路:
- 登入 Azure 入口網站。
- 搜尋或選取 Azure Monitor for SAP Solutions 服務。
- 在 Azure Monitor for SAP Solutions 的 [概觀] 頁面上,選取您的 Azure Monitor for SAP Solutions 資源。
- 在受控資源群組的頁面上,選取 Azure Functions 應用程式。
- 在應用程式的頁面上,選取 [網路] 索引標籤。接著選取 [VNET 整合]。
- 檢閱並記下子網路詳細資料。 您需要子網路的 IP 位址,才能在下一個步驟中建立規則。
選取子網路的名稱以尋找相關聯的 NSG。 請注意 NSG 的資訊。
設定輸出網路流量的新 NSG 規則:
- 在 Azure 入口網站中移至 NSG 資源群組。
- 在 NSG 功能表上,選取 [設定] 之下的 [輸出安全性規則]。
- 選取 [新增] 來新增下列新原則:
優先順序 名稱 連接埠 通訊協定 來源 Destination 動作 450 allow_monitor 443 TCP Azure Functions 子網路 Azure 監視器 允許 501 allow_keyVault 443 TCP Azure Functions 子網路 Azure Key Vault 允許 550 allow_storage 443 TCP Azure Functions 子網路 儲存體 Allow 600 allow_azure_controlplane 443 任意 Azure Functions 子網路 Azure Resource Manager 允許 650 allow_ams_to_source_system 任意 任意 Azure Functions 子網路 虛擬網路或來源系統的 IP 位址 (以逗號分隔) 允許 660 deny_internet 任意 任意 任意 網際網路 拒絕
Azure Monitor for SAP Solutions 子網路 IP 位址是指與您 Azure Monitor for SAP Solutions 資源相關聯之子網路的 IP。 若要尋找子網路,請移至 Azure 入口網站中的 Azure Monitor for SAP Solutions 資源。 在 [概觀] 頁面上,檢閱 [vNet/子網路] 值。
若為您所建立的規則,allow_vnet 的優先順序必須低於 deny_internet。 所有其他規則的優先順序也必須低於 allow_vnet。 其他這些規則的其餘順序是可交換的。