Configuración del firewall de red para la Instancia administrada de SCOM de Azure Monitor
En este artículo se describe cómo configurar el firewall de red y las reglas del grupo de seguridad de red (NSG) de Azure.
Nota
Para más información sobre la arquitectura de Instancia administrada SCOM de Azure Monitor, consulte Instancia administrada de SCOM de Azure Monitor.
Requisitos previos de red
En esta sección se describen los requisitos previos de red con tres ejemplos de modelo de red.
Establecimiento de conectividad directa (línea de visión) entre el controlador de dominio y la red de Azure
Asegúrese de que hay conectividad de red directa (línea de visión) entre la red del controlador de dominio deseado y la subred de Azure (red virtual) donde desea implementar una instancia de SCOM Instancia administrada. Asegúrese de que hay conectividad de red directa (línea de visión) entre las cargas de trabajo o los agentes y la subred de Azure en la que se implementa el Instancia administrada SCOM.
Se requiere conectividad directa para que todos los recursos siguientes puedan comunicarse entre sí a través de la red:
- Controlador de dominio
- Agentes
- Componentes de System Center Operations Manager, como la consola del operador
- Componentes de Instancia administrada SCOM, como servidores de administración
Los siguientes tres modelos de red distintos se representan visualmente para crear el Instancia administrada SCOM.
Modelo de red 1: el controlador de dominio se encuentra en el entorno local
En este modelo, el controlador de dominio deseado se encuentra dentro de la red local. Debe establecer una conexión de Azure ExpressRoute entre la red local y la subred de Azure que se usa para el Instancia administrada de SCOM.
Si el controlador de dominio y otro componente son locales, debe establecer la línea de visión a través de ExpressRoute o una red privada virtual (VPN). Para más información, consulte la documentación de ExpressRoute y la documentación de Azure VPN Gateway.
El siguiente modelo de red muestra dónde se encuentra el controlador de dominio deseado dentro de la red local. Existe una conexión directa (a través de ExpressRoute o VPN) entre la red local y la subred de Azure que se usa para la creación de SCOM Instancia administrada.
Modelo de red 2: el controlador de dominio se hospeda en Azure
En esta configuración, el controlador de dominio designado se hospeda en Azure y debe establecer una conexión ExpressRoute o VPN entre la red local y la subred de Azure. Se usa para la creación del Instancia administrada SCOM y la subred de Azure que se usa para el controlador de dominio designado. Para más información, consulte ExpressRoute y VPN Gateway.
En este modelo, el controlador de dominio deseado permanece integrado en el bosque de dominio local. Sin embargo, ha elegido crear un controlador de Active Directory dedicado en Azure para admitir recursos de Azure que dependen de la infraestructura de Active Directory local.
Modelo de red 3: el controlador de dominio y las instancias administradas de SCOM están en redes virtuales de Azure
En este modelo, tanto el controlador de dominio deseado como las instancias administradas de SCOM se colocan en redes virtuales independientes y dedicadas en Azure.
Si el controlador de dominio que desea y todos los demás componentes están en la misma red virtual de Azure (un controlador de dominio activo convencional) sin presencia local, ya tiene una línea de visión entre todos los componentes.
Si el controlador de dominio que desea y todos los demás componentes están en diferentes redes virtuales de Azure (un controlador de dominio activo convencional) sin presencia local, debe realizar el emparejamiento de redes virtuales entre todas las redes virtuales que están en la red. Para más información, consulte Emparejamiento de redes virtuales en Azure.
Tenga en cuenta los siguientes problemas para los tres modelos de red mencionados anteriormente:
Asegúrese de que la subred SCOM Instancia administrada pueda establecer conectividad con el controlador de dominio designado configurado para Azure o SCOM Instancia administrada. Además, asegúrese de que la resolución de nombres de dominio dentro de la subred SCOM Instancia administrada enumera el controlador de dominio designado como la entrada superior entre los controladores de dominio resueltos para evitar problemas de rendimiento o firewall de red.
Los puertos siguientes en el controlador de dominio designado y el Sistema de nombres de dominio (DNS) deben ser accesibles desde la subred SCOM Instancia administrada:
Puerto TCP 389 o 636 para LDAP
Puerto TCP 3268 o 3269 para el catálogo global
Puerto TCP y UDP 88 para Kerberos
Puerto TCP y UDP 53 para DNS
TCP 9389 para el servicio web de Active Directory
TCP 445 para SMB
TCP 135 para RPC
Las reglas de firewall internas y el grupo de seguridad de red deben permitir la comunicación desde la red virtual de SCOM Instancia administrada y el controlador de dominio o DNS designados para todos los puertos enumerados anteriormente.
La red virtual Azure SQL Managed Instance y el Instancia administrada SCOM deben emparejarse para establecer la conectividad. En concreto, el puerto 1433 (puerto privado) o 3342 (puerto público) debe ser accesible desde el Instancia administrada de SCOM a la instancia administrada de SQL. Configure las reglas de NSG y las reglas de firewall en ambas redes virtuales para permitir los puertos 1433 y 3342.
Permita la comunicación en los puertos 5723, 5724 y 443 desde la máquina que se supervisa a SCOM Instancia administrada.
Si la máquina está en el entorno local, configure las reglas de NSG y las reglas de firewall en la subred de SCOM Instancia administrada y en la red local donde se encuentra la máquina supervisada para garantizar que se puedan acceder a los puertos esenciales especificados (5723, 5724 y 443) desde la máquina supervisada hasta la subred SCOM Instancia administrada.
Si la máquina está en Azure, configure las reglas de NSG y las reglas de firewall en la red virtual de SCOM Instancia administrada y en la red virtual donde se encuentra la máquina supervisada para asegurarse de que se pueden acceder a los puertos esenciales especificados (5723, 5724 y 443) desde la máquina supervisada a la subred SCOM Instancia administrada.
Requisitos de firewall
Para funcionar correctamente, SCOM Instancia administrada debe tener acceso al siguiente número de puerto y direcciones URL. Configure el grupo de seguridad de red y las reglas de firewall para permitir esta comunicación.
| Recurso | Port | Dirección | Etiquetas de servicio | Propósito |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Salida | Storage | Azure Storage |
| management.azure.com | 443 | Salida | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Salida | AzureMonitor | Registros de SCOM MI |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Salida | AzureMonitor | Métricas de SCOM MI |
| *.workloadnexus.azure.com | 443 | Salida | Servicio Nexus | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Salida | Servicio bridge |
Importante
Para minimizar la necesidad de una comunicación extensa con el administrador de Active Directory y el administrador de red, consulte Auto-comprobación. En el artículo se describen los procedimientos que usa el administrador de Active Directory y el administrador de red para validar sus cambios de configuración y garantizar su implementación correcta. Este proceso reduce las interacciones innecesarias desde el administrador de Operations Manager al administrador de Active Directory y al administrador de red. Esta configuración ahorra tiempo para los administradores.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de