Konfigurera nätverksbrandväggen för Azure Monitor SCOM Managed Instance
Den här artikeln beskriver hur du konfigurerar nätverksbrandväggen och Regler för Nätverkssäkerhetsgrupp (NSG) i Azure.
Anteckning
Mer information om Azure Monitor SCOM Managed Instance-arkitekturen finns i Azure Monitor SCOM Managed Instance.
Nätverkskrav
I det här avsnittet beskrivs nätverkskrav med tre exempel på nätverksmodeller.
Upprätta direkt anslutning (siktlinje) mellan domänkontrollanten och Azure-nätverket
Se till att det finns direkt nätverksanslutning (siktlinje) mellan nätverket för din önskade domänkontrollant och Azure-undernätet (virtuellt nätverk) där du vill distribuera en instans av SCOM Managed Instance. Kontrollera att det finns direkt nätverksanslutning (siktlinje) mellan arbetsbelastningar/agenter och Azure-undernätet där SCOM Managed Instance distribueras.
Direktanslutning krävs så att alla dina följande resurser kan kommunicera med varandra i nätverket:
- Domänkontrollant
- Agenter
- System Center Operations Manager-komponenter, till exempel driftkonsolen
- SCOM Managed Instance-komponenter, till exempel hanteringsservrar
Följande tre distinkta nätverksmodeller representeras visuellt för att skapa SCOM Managed Instance.
Nätverksmodell 1: Domänkontrollanten finns lokalt
I den här modellen finns den önskade domänkontrollanten i ditt lokala nätverk. Du måste upprätta en Azure ExpressRoute-anslutning mellan ditt lokala nätverk och det Azure-undernät som används för SCOM Managed Instance.
Om domänkontrollanten och andra komponenter är lokala måste du upprätta siktlinjen via ExpressRoute eller ett virtuellt privat nätverk (VPN). Mer information finns i Dokumentation om ExpressRoute och Azure VPN Gateway dokumentation.
Följande nätverksmodell visar var den önskade domänkontrollanten finns i det lokala nätverket. Det finns en direktanslutning (via ExpressRoute eller VPN) mellan det lokala nätverket och Azure-undernätet som används för att skapa SCOM Managed Instance.
Nätverksmodell 2: Domänkontrollanten finns i Azure
I den här konfigurationen finns den avsedda domänkontrollanten i Azure och du måste upprätta en ExpressRoute- eller VPN-anslutning mellan ditt lokala nätverk och Azure-undernätet. Den används för att skapa SCOM Managed Instance och azure-undernätet som används för den avsedda domänkontrollanten. Mer information finns i ExpressRoute och VPN Gateway.
I den här modellen förblir den önskade domänkontrollanten integrerad i din lokala domänskog. Du valde dock att skapa en dedikerad Active Directory-kontrollant i Azure för att stödja Azure-resurser som förlitar sig på lokal Active Directory infrastruktur.
Nätverksmodell 3: Domänkontrollanten och SCOM Managed Instances finns i virtuella Azure-nätverk
I den här modellen placeras både den önskade domänkontrollanten och SCOM Managed Instances i separata och dedikerade virtuella nätverk i Azure.
Om domänkontrollanten du vill ha och alla andra komponenter finns i samma virtuella nätverk i Azure (en konventionell aktiv domänkontrollant) utan närvaro lokalt, har du redan en siktlinje mellan alla dina komponenter.
Om domänkontrollanten du vill ha och alla andra komponenter finns i olika virtuella nätverk i Azure (en konventionell aktiv domänkontrollant) utan närvaro lokalt, måste du utföra peering för virtuella nätverk mellan alla virtuella nätverk som finns i nätverket. Mer information finns i Peering för virtuella nätverk i Azure.
Ta hand om följande problem för alla tre nätverksmodeller som nämnts tidigare:
Kontrollera att SCOM Managed Instance-undernätet kan upprätta en anslutning till den avsedda domänkontrollanten som konfigurerats för Azure eller SCOM Managed Instance. Kontrollera också att domännamnsmatchning i SCOM Managed Instance-undernätet listar den avsedda domänkontrollanten som den översta posten bland de lösta domänkontrollanterna för att undvika problem med nätverksfördröjning eller prestanda och brandvägg.
Följande portar på den avsedda domänkontrollanten och DNS (Domain Name System) måste vara tillgängliga från SCOM Managed Instance-undernätet:
TCP-port 389 eller 636 för LDAP
TCP-port 3268 eller 3269 för global katalog
TCP- och UDP-port 88 för Kerberos
TCP- och UDP-port 53 för DNS
TCP 9389 för Active Directory-webbtjänsten
TCP 445 för SMB
TCP 135 för RPC
De interna brandväggsreglerna och NSG:n måste tillåta kommunikation från det virtuella SCOM Managed Instance-nätverket och den avsedda domänkontrollanten/DNS för alla portar som angavs tidigare.
Det Azure SQL Managed Instance virtuella nätverket och SCOM Managed Instance måste vara peer-kopplade för att upprätta anslutningen. Mer specifikt måste port 1433 (privat port) eller 3342 (offentlig port) kunna nås från SCOM Managed Instance till den SQL-hanterade instansen. Konfigurera NSG-regler och brandväggsregler i båda de virtuella nätverken så att portarna 1433 och 3342 tillåts.
Tillåt kommunikation på portarna 5723, 5724 och 443 från datorn som övervakas till SCOM Managed Instance.
Om datorn är lokal konfigurerar du NSG-regler och brandväggsregler i SCOM Managed Instance-undernätet och i det lokala nätverket där den övervakade datorn finns för att säkerställa att angivna viktiga portar (5723, 5724 och 443) kan nås från den övervakade datorn till SCOM Managed Instance-undernätet.
Om datorn finns i Azure konfigurerar du NSG-regler och brandväggsregler i det virtuella SCOM Managed Instance-nätverket och i det virtuella nätverk där den övervakade datorn finns för att säkerställa att angivna viktiga portar (5723, 5724 och 443) kan nås från den övervakade datorn till SCOM Managed Instance-undernätet.
Brandväggsförutsättningar
För att fungera korrekt måste SCOM Managed Instance ha åtkomst till följande portnummer och URL:er. Konfigurera NSG och brandväggsregler för att tillåta den här kommunikationen.
| Resurs | Port | Riktning | Tjänsttaggar | Syfte |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Utgående | Storage | Azure Storage |
| management.azure.com | 443 | Utgående | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Utgående | AzureMonitor | SCOM MI-loggar |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Utgående | AzureMonitor | SCOM MI-mått |
| *.workloadnexus.azure.com | 443 | Utgående | Nexus-tjänst | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Utgående | Bridge Service |
Viktigt
Information om hur du minimerar behovet av omfattande kommunikation med både Active Directory-administratören och nätverksadministratören finns i Självverifiering. Artikeln beskriver de procedurer som Active Directory-administratören och nätverksadministratören använder för att verifiera sina konfigurationsändringar och säkerställa att de implementeras korrekt. Den här processen minskar onödiga fram- och tillbaka-interaktioner från Operations Manager-administratören till Active Directory-administratören och nätverksadministratören. Den här konfigurationen sparar tid för administratörerna.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för