Configurar uma rede para soluções do Azure Monitor for SAP

Neste guia de instruções, você aprenderá a configurar uma rede virtual do Azure para implantar soluções do Azure Monitor for SAP. Sabe como:

Criar uma nova sub-rede

O Azure Functions é o mecanismo de coleta de dados para soluções do Azure Monitor for SAP. Você deve criar uma nova sub-rede para hospedar o Azure Functions.

Crie uma nova sub-rede com um bloco IPv4/25 ou maior porque você precisa de pelo menos 100 endereços IP para monitorar recursos. Depois de criar uma sub-rede com êxito, verifique as seguintes etapas para garantir a conectividade entre a sub-rede do Azure Monitor for SAP solutions e sua sub-rede do ambiente SAP:

  • Se ambas as sub-redes estiverem em redes virtuais diferentes, faça um emparelhamento de rede virtual entre as redes virtuais.
  • Se as sub-redes estiverem associadas a rotas definidas pelo usuário, verifique se as rotas estão configuradas para permitir o tráfego entre as sub-redes.
  • Se as sub-redes do ambiente SAP tiverem regras NSG (grupo de segurança de rede), verifique se as regras estão configuradas para permitir o tráfego de entrada da sub-rede do Azure Monitor for SAP solutions.
  • Se você tiver um firewall em seu ambiente SAP, verifique se o firewall está configurado para permitir o tráfego de entrada da sub-rede do Azure Monitor for SAP solutions.

Para obter mais informações, consulte como integrar seu aplicativo a uma rede virtual do Azure.

Usar DNS personalizado para sua rede virtual

Esta secção aplica-se apenas se estiver a utilizar DNS personalizado para a sua rede virtual. Adicione o endereço IP 168.63.129.16, que aponta para o Servidor DNS do Azure. Esta disposição resolve a conta de armazenamento e outras URLs de recursos necessárias para o funcionamento adequado das soluções Azure Monitor for SAP.

Captura de tela que mostra a configuração DNS personalizado.

Configurar o acesso de saída à Internet

Em muitos casos de uso, você pode optar por restringir ou bloquear o acesso de saída à Internet para seu ambiente de rede SAP. No entanto, o Azure Monitor para soluções SAP requer conectividade de rede entre a sub-rede que você configurou e os sistemas que deseja monitorar. Antes de implantar um recurso do Azure Monitor for SAP solutions, você deve configurar o acesso de saída à Internet ou a implantação falhará.

Existem vários métodos para lidar com o acesso de saída restrito ou bloqueado à Internet. Escolha o método que funciona melhor para o seu caso de uso:

Usar o Route All

O Route All é um recurso padrão de integração de rede virtual no Azure Functions, que é implantado como parte das soluções do Azure Monitor for SAP. Habilitar ou desabilitar essa configuração afeta apenas o tráfego do Azure Functions. Esta definição não afeta qualquer outro tráfego de entrada ou de saída na sua rede virtual.

Você pode definir a configuração Rotear Tudo ao criar um recurso do Azure Monitor for SAP solutions por meio do portal do Azure. Se o seu ambiente SAP não permitir o acesso de saída à Internet, desative o Route All. Se o seu ambiente SAP permitir acesso de saída à Internet, mantenha a configuração padrão para ativar o Route All.

Você só pode usar essa opção antes de implantar um recurso de soluções do Azure Monitor for SAP. Não é possível alterar a configuração Rotear tudo depois de criar o recurso Azure Monitor for SAP solutions.

Permitir tráfego de entrada

Se você tiver regras NSG ou User-Defined Route que bloqueiem o tráfego de entrada para seu ambiente SAP, deverá modificar as regras para permitir o tráfego de entrada. Além disso, dependendo dos tipos de provedores que você está tentando adicionar, você deve desbloquear algumas portas, conforme mostrado na tabela a seguir.

Tipo de fornecedor Número da porta
Prometheus OS 9100
Prometheus HA Cluster no RHEL 44322
Prometheus HA Cluster na SUSE 9100
SQL Server 1433 (pode ser diferente se você não estiver usando a porta padrão)
Servidor DB2 25000 (pode ser diferente se você não estiver usando a porta padrão)
BANCO DE DADOS SAP HANA <3 número>de instância 13, 3<número>de instância 15
SAP NetWeaver <5 número>de instância 13, 5<número>de instância 15

Usar tags de serviço

Se você usar NSGs, poderá criar tags de serviço de rede virtual relacionadas ao Azure Monitor for SAP para permitir o fluxo de tráfego apropriado para sua implantação. Uma marca de serviço representa um grupo de prefixos de endereço IP de um serviço específico do Azure.

Você pode usar essa opção depois de implantar um recurso de soluções do Azure Monitor for SAP.

  1. Encontre a sub-rede associada ao seu grupo de recursos gerenciados do Azure Monitor for SAP solutions:

    1. Inicie sessão no portal do Azure.
    2. Procure ou selecione o serviço Azure Monitor for SAP solutions.
    3. Na página Visão geral do Azure Monitor para soluções SAP, selecione seu recurso Azure Monitor for SAP solutions.
    4. Na página do grupo de recursos gerenciados, selecione o aplicativo Azure Functions.
    5. Na página do aplicativo, selecione a guia Rede . Em seguida, selecione Integração VNET.
    6. Analise e anote os detalhes da sub-rede. Você precisa do endereço IP da sub-rede para criar regras na próxima etapa.
  2. Selecione o nome da sub-rede para localizar o NSG associado. Observe as informações do NSG.

  3. Defina novas regras NSG para o tráfego de rede de saída:

    1. Vá para o recurso NSG no portal do Azure.
    2. No menu NSG, em Configurações, selecione Regras de segurança de saída.
    3. Selecione Adicionar para adicionar as seguintes novas regras:
    Prioridade Name Porta Protocolo Origem Destino Ação
    450 allow_monitor 443 TCP Sub-rede do Azure Functions Azure Monitor Permitir
    501 allow_keyVault 443 TCP Sub-rede do Azure Functions Azure Key Vault Permitir
    550 allow_storage 443 TCP Sub-rede do Azure Functions Armazenamento Permitir
    600 allow_azure_controlplane 443 Qualquer Sub-rede do Azure Functions Azure Resource Manager Permitir
    650 allow_ams_to_source_system Qualquer Qualquer Sub-rede do Azure Functions Rede virtual ou endereços IP separados por vírgulas do sistema de origem Permitir
    660 deny_internet Qualquer Qualquer Qualquer Internet Negar

O endereço IP da sub-rede da solução Azure Monitor for SAP refere-se ao IP da sub-rede associada ao recurso de soluções do Azure Monitor for SAP. Para localizar a sub-rede, vá para o recurso Azure Monitor for SAP solutions no portal do Azure. Na página Visão geral, revise o valor vNet/sub-rede.

Para as regras que você criar, allow_vnet deve ter uma prioridade menor do que deny_internet. Todas as outras regras também têm de ter uma prioridade inferior à allow_vnet. A ordem restante destas outras regras é intercambiável.

Próximos passos