共用方式為

為 Azure 監視器 SCOM 受控執行個體設定網路防火牆

  • 發行項

本文說明如何設定網路防火牆和 Azure 網路安全組 (NSG) 規則。

注意

若要瞭解 Azure 監視器 SCOM 受控執行個體 架構,請參閱 Azure 監視器 SCOM 受控執行個體

網路必要條件

本節討論具有三個網路模型範例的網路必要條件。

在您的網域控制器與 Azure 網路之間建立直接連線能力(視線)

請確定您想要的域控制器網路與您想要部署 S 受控執行個體 COM 實例的 Azure 子網(虛擬網路)之間有直接的網路連線(視線)。 確定工作負載/代理程式與部署 SCOM 受控執行個體 的 Azure 子網之間有直接的網路連線(視線)。

需要直接連線,讓下列所有資源都可以透過網路彼此通訊:

  • 網域控制站
  • 客服專員
  • System Center Operations Manager 元件,例如 Operations 控制台
  • SCOM 受控執行個體元件,例如管理伺服器

下列三個不同的網路模型會以可視化方式呈現來建立 SCOM 受控執行個體。

網路模型 1:域控制器位於內部部署

在此模型中,所需的域控制器位於您的內部部署網路中。 您必須在內部部署網路與用於 SCOM 受控執行個體 的 Azure 子網之間建立 Azure ExpressRoute 連線。

如果您的域控制器和其他元件是內部部署,您必須透過 ExpressRoute 或虛擬專用網 (VPN) 建立視線。 如需詳細資訊,請參閱 ExpressRoute 檔和Azure VPN 閘道 檔

下列網路模型顯示所需的域控制器位於內部部署網路的位置。 內部部署網路與用於 SCOM 受控執行個體 建立的 Azure 子網之間存在直接連線(透過 ExpressRoute 或 VPN)。

顯示網路模型 1 的螢幕快照,其中包含位於內部部署的域控制器。

網路模型 2:域控制器裝載在 Azure 中

在此設定中,指定的域控制器裝載於 Azure 中,您必須在內部部署網路與 Azure 子網之間建立 ExpressRoute 或 VPN 連線。 它用於建立 SCOM 受控執行個體,以及用於指定域控制器的 Azure 子網。 如需詳細資訊,請參閱 ExpressRouteVPN 閘道

在此模型中,所需的域控制器仍會整合到您的內部部署網域樹系中。 不過,您選擇在 Azure 中建立專用的 Active Directory 控制器,以支援依賴 內部部署的 Active Directory 基礎結構的 Azure 資源。

顯示網路模型 2 的螢幕快照,其中包含裝載在 Azure 中的域控制器。

網路模型 3:域控制器和 SCOM 受控執行個體 位於 Azure 虛擬網路中

在此模型中,所需的域控制器和 SCOM 受控執行個體 都會放在 Azure 中的個別和專用虛擬網路中。

如果您想要的域控制器和所有其他元件都位於 Azure 的相同虛擬網路中(傳統作用中域控制器),且內部部署沒有狀態,則您已經在所有元件之間有可見線。

如果您想要的域控制器和所有其他元件都位於 Azure 的不同虛擬網路中(傳統作用中域控制器),且內部部署沒有狀態,您必須在網路中的所有虛擬網路之間進行虛擬網路對等互連。 如需詳細資訊,請參閱 Azure 中的虛擬網路對等互連。

顯示網路模型 3 的螢幕快照,其中包含 Azure 虛擬網路中的域控制器和 SCOM 受控執行個體。

針對稍早所述的三個網路模型,請處理下列問題:

  1. 確定 SCOM 受控執行個體 子網可以連線至針對 Azure 或 SCOM 受控執行個體 所設定的指定域控制器。 此外,請確定 SCOM 受控執行個體 子網內的功能變數名稱解析,將指定的域控制器列為已解析域控制器中的最上層專案,以避免網路等待時間或效能和防火牆問題。

  2. 指定的網域控制器與網址名稱系統 (DNS) 上的下列埠必須可從 SCOM 受控執行個體 子網存取:

    • LDAP 的 TCP 連接埠 389 或 636

    • 全域編錄的 TCP 連接埠 3268 或 3269

    • Kerberos 的 TCP 和 UDP 連接埠 88

    • DNS 的 TCP 和 UDP 連接埠 53

    • 適用於 Active Directory Web 服務的 TCP 9389

    • SMB 的 TCP 445

    • RPC 的 TCP 135

      內部防火牆規則和 NSG 必須允許來自 SCOM 受控執行個體 虛擬網路的通訊,以及先前所列所有埠的指定域控制器/DNS。

  3. Azure SQL 受控執行個體 虛擬網路和 SCOM 受控執行個體 必須對等互連,才能建立連線。 具體而言,埠 1433(私人埠)或 3342(公用埠)必須可從 SCOM 受控執行個體 連線到 SQL 受控實例。 在兩個虛擬網路上設定NSG規則和防火牆規則,以允許埠 1433 和 3342。

  4. 允許從監視到 SCOM 受控執行個體 的機器,在埠 5723、5724 和 443 上進行通訊。

    • 如果機器是內部部署計算機,請在SCOM受控執行個體子網和受監視電腦所在的內部部署網路上設定NSG規則和防火牆規則,以確保從受監視的電腦聯機到SCOM 受控執行個體子網的指定基本埠(5723、5724和 443)。

    • 如果機器位於 Azure 中,請在 SCOM 受控執行個體 虛擬網路和受監視電腦所在的虛擬網路上設定 NSG 規則和防火牆規則,以確保從受監視的電腦連線到 SCOM 受控執行個體 子網的指定基本埠(5723、5724 和 443)。

防火牆需求

若要正常運作,SCOM 受控執行個體 必須能夠存取下列埠號碼和 URL。 設定 NSG 和防火牆規則以允許此通訊。

資源 連接埠 方向 服務標籤 目的
*.blob.core.windows.net 443 輸出 儲存體 Azure 儲存體
management.azure.com 443 輸出 AzureResourceManager Azure Resource Manager
gcs.prod.monitoring.core.windows.net
*.prod.warm.ingest.monitor.core.windows.net		 443 輸出 AzureMonitor SCOM MI 記錄
*.prod.microsoftmetrics.com
*.prod.hot.ingest.monitor.core.windows.net
*.prod.hot.ingestion.msftcloudes.com		 443 輸出 AzureMonitor SCOM MI 計量
*.workloadnexus.azure.com 443 輸出 Nexus 服務
*.azuremonitor-scommiconnect.azure.com 443 輸出 網橋服務

重要

若要將與 Active Directory 系統管理員和網路管理員廣泛通訊的需求降到最低,請參閱 自我驗證。 本文概述 Active Directory 系統管理員和網路管理員用來驗證其設定變更的程式,並確保其成功實作。 此程式可減少從 Operations Manager 系統管理員到 Active Directory 系統管理員和網路管理員的不必要來回互動。此設定可節省時間給系統管理員。

下一步