你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Azure Monitor for SAP 解决方案设置网络
在本操作指南中,你会了解如何配置 Azure 虚拟网络,以便部署 Azure Monitor for SAP 解决方案。 学习如何:
- 新建子网以用于 Azure Functions。
- 设置要监视的 SAP 环境的出站 Internet 访问。
新建子网
Azure Functions 是 Azure Monitor for SAP 解决方案的数据收集引擎。 必须新建子网以托管 Azure Functions。
使用IPv4/25块或更大的块新建子网,因为需要至少 100 个 IP 地址来监视资源。 成功创建子网后,请验证以下步骤以确保 Azure Monitor for SAP 解决方案子网与 SAP 环境子网之间的连接:
- 如果两个子网位于不同的虚拟网络中,请在虚拟网络之间执行虚拟网络对等互连。
- 如果子网与用户定义的路由相关联,请确保将路由配置为允许子网之间的流量。
- 如果 SAP 环境子网有网络安全组 (NSG) 规则,请确保将规则配置为允许来自 Azure Monitor for SAP 解决方案子网的入站流量。
- 如果 SAP 环境中有防火墙,请确保防火墙配置为允许来自 Azure Monitor for SAP 解决方案子网的入站流量。
有关详细信息,请参阅将应用与 Azure 虚拟网络集成。
为虚拟网络使用自定义 DNS
仅当对虚拟网络使用自定义 DNS 时,此部分才适用。 添加 IP 地址 168.63.129.16,该地址指向 Azure DNS 服务器。 此安排可解决正常运行 Azure Monitor for SAP 解决方案所需的存储帐户和其他资源 URL。
配置出站 Internet 访问
在许多用例中,你可能会选择限制或阻止对 SAP 网络环境的出站 Internet 访问。 但是,Azure Monitor for SAP 解决方案需要在配置的子网和要监视的系统之间建立网络连接。 在部署 Azure Monitor for SAP 解决方案资源之前,必须配置出站 Internet 访问,否则部署会失败。
可以通过多种方法来解决受限制或阻止的出站 Internet 访问。 选择最适合你的用例的方法:
使用全部路由
全部路由是 Azure Functions 中的一项标准虚拟网络集成功能,它是作为 Azure Monitor for SAP 解决方案的一部分部署的。 启用或禁用此设置仅影响来自 Azure Functions 的流量。 此设置不会影响虚拟网络中的任何其他传入或传出流量。
通过 Azure 门户创建 Azure Monitor for SAP 解决方案资源时,可配置全部路由设置。 如果 SAP 环境不允许出站 Internet 访问,请禁用“全部路由”。 如果 SAP 环境允许出站 Internet 访问,请保留默认设置,以启用“全部路由”。
只能在部署 Azure Monitor for SAP 解决方案资源之前使用此选项。 创建 Azure Monitor for SAP 解决方案资源后,将无法更改全部路由设置。
允许入站流量
如果有阻止发往 SAP 环境的入站流量的 NSG 或用户定义的路由规则,则必须修改规则以允许入站流量。 此外,根据尝试添加的提供程序类型,必须取消阻止几个端口,如下表所示。
提供程序类型 | 端口号 |
---|---|
Prometheus OS | 9100 |
RHEL 上的 Prometheus HA 群集 | 44322 |
SUSE 上的 Prometheus HA 群集 | 9100 |
SQL Server | 1433(如果不使用默认端口,则可以不同) |
DB2 服务器 | 25000(如果不使用默认端口,则可以不同) |
SAP HANA DB | 3<实例编号>13,3<实例编号>15 |
SAP NetWeaver | 5<实例编号>13,5<实例编号>15 |
使用服务标记
如使用 NSG,则可以创建与 Azure Monitor for SAP 解决方案相关的虚拟网络服务标记,以便为部署提供适当的流量。 服务标记表示来自特定 Azure 服务的一组 IP 地址前缀。
部署 Azure Monitor for SAP 解决方案资源后,可使用此选项。
查找与 Azure Monitor for SAP 解决方案托管资源组相关的子网:
- 登录 Azure 门户。
- 搜索或选择 Azure Monitor for SAP 解决方案服务。
- 在 Azure Monitor for SAP 解决方案的概述页,选择 Azure Monitor for SAP 解决方案资源。
- 在受管理资源组的页面上,选择 Azure Functions 应用。
- 在应用的页面上,选择“网络”选项卡。然后选择“VNET 集成”。
- 查看并记下子网详细信息。 在下一步中,需要子网的 IP 地址才能创建规则。
选择子网的名称以查找关联的 NSG。 记下 NSG 的信息。
为出站网络流量设置新的 NSG 规则:
- 在 Azure 门户中转到 NSG 资源。
- 在 NSG 菜单的“设置”下,选择“出站安全规则”。
- 选择“添加”以添加以下新规则:
优先级 名称 端口 协议 源 目标 操作 450 allow_monitor 443 TCP Azure Functions 子网 Azure Monitor 允许 501 allow_keyVault 443 TCP Azure Functions 子网 Azure Key Vault 允许 550 allow_storage 443 TCP Azure Functions 子网 存储 Allow 600 allow_azure_controlplane 443 任意 Azure Functions 子网 Azure 资源管理器 允许 650 allow_ams_to_source_system 任意 任意 Azure Functions 子网 源系统的虚拟网络或逗号分隔的 IP 地址 允许 660 deny_internet 任意 任意 任意 Internet 拒绝
Azure Monitor for SAP 解决方案子网 IP 地址是指与用于 Azure Monitor for SAP 解决方案资源有关的子网 IP。 如需查找子网,请转入 Azure 门户中的 Azure Monitor for SAP 解决方案资源。 在“概述”页面上,查看“vNet/子网”值。
对于创建的规则,allow_vnet 的优先级必须低于 deny_internet。 所有其他规则的优先级也必须低于 allow_vnet。 这些其他规则的其余顺序是可以互换的。