Configurare il firewall di rete per il Istanza gestita SCOM di Monitoraggio di Azure
Questo articolo descrive come configurare le regole del firewall di rete e del gruppo di sicurezza di rete di Azure.
Nota
Per informazioni sull'architettura di Istanza gestita SCOM di Monitoraggio di Azure, vedere Monitoraggio di Azure SCOM Istanza gestita.
Prerequisiti di rete
Questa sezione illustra i prerequisiti di rete con tre esempi di modello di rete.
Stabilire la connettività diretta (linea di vista) tra il controller di dominio e la rete di Azure
Assicurarsi che sia presente connettività di rete diretta (linea di vista) tra la rete del controller di dominio desiderato e la subnet di Azure (rete virtuale) in cui si vuole distribuire un'istanza di SCOM Istanza gestita. Assicurarsi che sia presente connettività di rete diretta (linea di vista) tra i carichi di lavoro/agenti e la subnet di Azure in cui viene distribuita la Istanza gestita SCOM.
La connettività diretta è necessaria in modo che tutte le risorse seguenti possano comunicare tra loro tramite la rete:
- Controller di dominio
- Agenti
- Componenti di System Center Operations Manager, ad esempio la console operatore
- Componenti di Istanza gestita SCOM, ad esempio server di gestione
I tre modelli di rete distinti seguenti sono rappresentati visivamente per creare il Istanza gestita SCOM.
Modello di rete 1: il controller di dominio si trova in locale
In questo modello il controller di dominio desiderato si trova all'interno della rete locale. È necessario stabilire una connessione Di Azure ExpressRoute tra la rete locale e la subnet di Azure usata per l'Istanza gestita SCOM.
Se il controller di dominio e altri componenti sono locali, è necessario stabilire la linea di visualizzazione tramite ExpressRoute o una rete privata virtuale (VPN). Per altre informazioni, vedere documentazione di ExpressRoute e documentazione di Azure Gateway VPN.
Il modello di rete seguente mostra dove si trova il controller di dominio desiderato all'interno della rete locale. Esiste una connessione diretta (tramite ExpressRoute o VPN) tra la rete locale e la subnet di Azure usata per la creazione di Istanza gestita SCOM.
Modello di rete 2: il controller di dominio è ospitato in Azure
In questa configurazione il controller di dominio designato è ospitato in Azure e è necessario stabilire una connessione ExpressRoute o VPN tra la rete locale e la subnet di Azure. Viene usato per la creazione di Istanza gestita SCOM e la subnet di Azure usata per il controller di dominio designato. Per altre informazioni, vedere ExpressRoute e Gateway VPN.
In questo modello il controller di dominio desiderato rimane integrato nella foresta di dominio locale. Tuttavia, si è scelto di creare un controller Active Directory dedicato in Azure per supportare le risorse di Azure che si basano sull'infrastruttura Active Directory locale.
Modello di rete 3: il controller di dominio e le istanze gestite di SCOM si trovano in reti virtuali di Azure
In questo modello, sia il controller di dominio desiderato che le istanze gestite SCOM vengono posizionate in reti virtuali separate e dedicate in Azure.
Se il controller di dominio desiderato e tutti gli altri componenti si trovano nella stessa rete virtuale di Azure (un controller di dominio attivo convenzionale) senza presenza locale, è già presente una linea di vista tra tutti i componenti.
Se il controller di dominio desiderato e tutti gli altri componenti si trovano in reti virtuali diverse di Azure (un controller di dominio attivo convenzionale) senza presenza locale, è necessario eseguire il peering di rete virtuale tra tutte le reti virtuali presenti nella rete. Per altre informazioni, vedere Peering di rete virtuale in Azure.
Prendere in considerazione i seguenti problemi per tutti e tre i modelli di rete indicati in precedenza:
Assicurarsi che la subnet di Istanza gestita SCOM possa stabilire la connettività al controller di dominio designato configurato per Azure o SCOM Istanza gestita. Assicurarsi inoltre che la risoluzione dei nomi di dominio all'interno della subnet SCOM Istanza gestita elenca il controller di dominio designato come voce principale tra i controller di dominio risolti per evitare problemi di latenza o prestazioni e firewall di rete.
Le porte seguenti sul controller di dominio designato e il dns (Domain Name System) devono essere accessibili dalla subnet di Istanza gestita SCOM:
Porta TCP 389 o 636 per LDAP
Porta TCP 3268 o 3269 per il catalogo globale
Porta TCP e UDP 88 per Kerberos
Porta TCP e UDP 53 per DNS
TCP 9389 per il servizio Web Active Directory
TCP 445 per SMB
TCP 135 per RPC
Le regole del firewall interno e il gruppo di sicurezza di rete devono consentire la comunicazione dalla rete virtuale SCOM Istanza gestita e dal controller di dominio designato/DNS per tutte le porte elencate in precedenza.
È necessario eseguire il peering della rete virtuale Istanza gestita di SQL di Azure e del Istanza gestita SCOM per stabilire la connettività. In particolare, la porta 1433 (porta privata) o 3342 (porta pubblica) deve essere raggiungibile dalla Istanza gestita SCOM all'istanza gestita di SQL. Configurare le regole del gruppo di sicurezza di rete e le regole del firewall in entrambe le reti virtuali per consentire porte 1433 e 3342.
Consentire la comunicazione sulle porte 5723, 5724 e 443 dal computer monitorato al Istanza gestita SCOM.
Se il computer è locale, configurare le regole del gruppo di sicurezza di rete e le regole del firewall nella subnet di Istanza gestita SCOM e nella rete locale in cui si trova il computer monitorato per garantire le porte essenziali specificate (5724, 5724 e 443) sono raggiungibili dal computer monitorato alla subnet di Istanza gestita SCOM.
Se il computer si trova in Azure, configurare le regole del gruppo di sicurezza di rete e le regole del firewall nella rete virtuale SCOM Istanza gestita e nella rete virtuale in cui si trova la macchina monitorata per garantire le porte essenziali specificate (5724, 5724 e 443) sono raggiungibili dal computer monitorato alla subnet del Istanza gestita SCOM.
Requisiti del firewall
Per funzionare correttamente, il Istanza gestita SCOM deve avere accesso al numero di porta e agli URL seguenti. Configurare le regole del gruppo di sicurezza di rete e del firewall per consentire questa comunicazione.
| Risorsa | Porta | Direzione | Tag di servizio | Scopo |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | In uscita | Archiviazione | Archiviazione di Azure |
| management.azure.com | 443 | In uscita | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | In uscita | AzureMonitor | Log MI SCOM |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | In uscita | AzureMonitor | Metriche MI SCOM |
| *.workloadnexus.azure.com | 443 | In uscita | Servizio Nexus | |
| *.azuremonitor-scommiconnect.azure.com | 443 | In uscita | Servizio bridge |
Importante
Per ridurre al minimo la necessità di una comunicazione estesa con l'amministratore di Active Directory e l'amministratore di rete, vedere Verifica automatica. L'articolo descrive le procedure usate dall'amministratore di Active Directory e dall'amministratore di rete per convalidare le modifiche di configurazione e garantire la corretta implementazione. Questo processo riduce le interazioni back-and-end non necessarie dall'amministratore di Operations Manager all'amministratore di Active Directory e all'amministratore di rete. Questa configurazione consente di risparmiare tempo per gli amministratori.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per