Configurar o firewall de rede para a instância gerenciada SCOM do Azure Monitor
Este artigo descreve como configurar o firewall de rede e as regras do NSG (grupo de segurança de rede) do Azure.
Nota
Para saber mais sobre a arquitetura da Instância Gerenciada SCOM do Azure Monitor, consulte Instância Gerenciada SCOM do Azure Monitor.
Pré-requisitos de rede
Esta seção discute os pré-requisitos de rede com três exemplos de modelo de rede.
Estabelecer conectividade direta (linha de visão) entre o controlador de domínio e a rede do Azure
Verifique se há conectividade de rede direta (linha de visão) entre a rede do controlador de domínio desejado e a sub-rede do Azure (rede virtual) onde você deseja implantar uma instância da Instância Gerenciada SCOM. Verifique se há conectividade de rede direta (linha de visão) entre as cargas de trabalho/agentes e a sub-rede do Azure na qual a Instância Gerenciada SCOM está implantada.
A conectividade direta é necessária para que todos os seus seguintes recursos possam se comunicar entre si pela rede:
- Controlador de domínio
- Agentes
- Componentes do System Center Operations Manager, como o console de Operações
- Componentes da instância gerenciada SCOM, como servidores de gerenciamento
Os três modelos de rede distintos a seguir são representados visualmente para criar a Instância Gerenciada SCOM.
Modelo de rede 1: O controlador de domínio está localizado no local
Neste modelo, o controlador de domínio desejado está localizado em sua rede local. Você deve estabelecer uma conexão de Rota Expressa do Azure entre sua rede local e a sub-rede do Azure usada para a Instância Gerenciada SCOM.
Se o controlador de domínio e outro componente estiverem no local, você deverá estabelecer a linha de visão por meio da Rota Expressa ou de uma rede virtual privada (VPN). Para obter mais informações, consulte a documentação do ExpressRoute e a documentação do Gateway de VPN do Azure.
O modelo de rede a seguir mostra onde o controlador de domínio desejado está situado na rede local. Existe uma conexão direta (via Rota Expressa ou VPN) entre a rede local e a sub-rede do Azure usada para a criação da Instância Gerenciada SCOM.
Modelo de rede 2: O controlador de domínio está hospedado no Azure
Nessa configuração, o controlador de domínio designado é hospedado no Azure e você deve estabelecer uma conexão ExpressRoute ou VPN entre sua rede local e a sub-rede do Azure. Ele é usado para a criação da Instância Gerenciada SCOM e a sub-rede do Azure usada para o controlador de domínio designado. Para obter mais informações, consulte ExpressRoute e VPN Gateway.
Neste modelo, o controlador de domínio desejado permanece integrado à sua floresta de domínio local. No entanto, você optou por criar um controlador dedicado do Ative Directory no Azure para dar suporte aos recursos do Azure que dependem da infraestrutura local do Ative Directory.
Modelo de rede 3: O controlador de domínio e as Instâncias Geridas SCOM estão nas redes virtuais do Azure
Neste modelo, o controlador de domínio desejado e as Instâncias Gerenciadas SCOM são colocados em redes virtuais separadas e dedicadas no Azure.
Se o controlador de domínio desejado e todos os outros componentes estiverem na mesma rede virtual do Azure (um controlador de domínio ativo convencional) sem presença local, você já terá uma linha de visão entre todos os componentes.
Se o controlador de domínio desejado e todos os outros componentes estiverem em diferentes redes virtuais do Azure (um controlador de domínio ativo convencional) sem presença local, você precisará fazer o emparelhamento de rede virtual entre todas as redes virtuais que estão em sua rede. Para obter mais informações, consulte Emparelhamento de rede virtual no Azure.
Cuide dos seguintes problemas para todos os três modelos de rede mencionados anteriormente:
Certifique-se de que a sub-rede da Instância Gerenciada SCOM possa estabelecer conectividade com o controlador de domínio designado configurado para a Instância Gerenciada do Azure ou SCOM. Além disso, certifique-se de que a resolução de nomes de domínio na sub-rede da Instância Gerenciada SCOM liste o controlador de domínio designado como a entrada superior entre os controladores de domínio resolvidos para evitar latência de rede ou problemas de desempenho e firewall.
As seguintes portas no controlador de domínio designado e no DNS (Sistema de Nomes de Domínio) devem estar acessíveis a partir da sub-rede da Instância Gerenciada SCOM:
Porta TCP 389 ou 636 para LDAP
Porta TCP 3268 ou 3269 para catálogo global
Porta TCP e UDP 88 para Kerberos
Porta TCP e UDP 53 para DNS
TCP 9389 para serviço Web do Ative Directory
TCP 445 para SMB
TCP 135 para RPC
As regras internas de firewall e o NSG devem permitir a comunicação da rede virtual da Instância Gerenciada SCOM e do controlador de domínio/DNS designado para todas as portas listadas anteriormente.
A rede virtual da Instância Gerenciada SQL do Azure e a Instância Gerenciada SCOM devem ser emparelhadas para estabelecer conectividade. Especificamente, a porta 1433 (porta privada) ou 3342 (porta pública) deve ser acessível da Instância Gerenciada SCOM para a instância gerenciada SQL. Configure as regras NSG e as regras de firewall em ambas as redes virtuais para permitir as portas 1433 e 3342.
Permita a comunicação nas portas 5723, 5724 e 443 da máquina que está sendo monitorada para a Instância Gerenciada SCOM.
Se a máquina estiver no local, configure as regras NSG e as regras de firewall na sub-rede da Instância Gerenciada SCOM e na rede local onde a máquina monitorada está localizada para garantir que as portas essenciais especificadas (5723, 5724 e 443) possam ser acessadas da máquina monitorada para a sub-rede da Instância Gerenciada SCOM.
Se a máquina estiver no Azure, configure as regras NSG e as regras de firewall na rede virtual da Instância Gerenciada SCOM e na rede virtual onde a máquina monitorada está localizada para garantir que as portas essenciais especificadas (5723, 5724 e 443) sejam acessíveis da máquina monitorada para a sub-rede da Instância Gerenciada SCOM.
Requisitos de firewall
Para funcionar corretamente, a Instância Gerenciada SCOM deve ter acesso ao seguinte número de porta e URLs. Configure as regras de NSG e firewall para permitir essa comunicação.
| Recurso | Porta | Direção | Etiquetas de Serviço | Propósito |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Saída | Armazenamento | Armazenamento do Azure |
| management.azure.com | 443 | Saída | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Saída | AzureMonitor | SCOM MI Logs |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Saída | AzureMonitor | Métricas SCOM MI |
| *.workloadnexus.azure.com | 443 | Saída | Serviço Nexus | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Saída | Serviço de Pontes |
Importante
Para minimizar a necessidade de comunicação extensiva com o administrador do Ative Directory e o administrador da rede, consulte Autoverificação. O artigo descreve os procedimentos que o administrador do Ative Directory e o administrador da rede usam para validar suas alterações de configuração e garantir sua implementação bem-sucedida. Esse processo reduz as interações desnecessárias de ida e volta do administrador do Operations Manager para o administrador do Ative Directory e o administrador da rede. Essa configuração economiza tempo para os administradores.