Share via

設定 Azure 監視器 SCOM 的網路防火牆 受控執行個體

  • 發行項

本文說明如何設定網路防火牆和 Azure 網路安全組 (NSG) 規則。

注意

若要瞭解 Azure 監視器 SCOM 受控執行個體 架構,請參閱 Azure 監視器 SCOM 受控執行個體

網路必要條件

本節討論具有三個網路模型範例的網路必要條件。

建立域控制器與 Azure 網路之間的直接連線 (線)

確定您想要部署 SCOM 受控執行個體 實例的網路與 Azure 子網 () 虛擬網路之間的直接網路連線 () 。 請確定工作負載/代理程式與部署 SCOM 受控執行個體 的 Azure 子網之間有直接網路連線 () 。

需要直接連線能力,讓下列所有資源都可以透過網路彼此通訊:

  • 網域控制站
  • 代理程式
  • System Center Operations Manager 元件,例如 Operations 控制台
  • SCOM 受控執行個體元件,例如管理伺服器

下列三個不同的網路模型會以可視化方式呈現,以建立SCOM受控執行個體。

網路模型 1:域控制器位於內部部署

在此模型中,所需的域控制器位於您的內部部署網路中。 您必須在內部部署網路與用於 SCOM 受控執行個體 的 Azure 子網之間建立 Azure ExpressRoute 連線。

如果您的域控制器和其他元件是內部部署,您必須透過 ExpressRoute 或虛擬專用網建立 (VPN) 的視線。 如需詳細資訊,請參閱 ExpressRoute 檔和Azure VPN 閘道 檔

下列網路模型顯示所需的域控制器位於內部部署網路中的位置。 內部部署網路與用於 SCOM 受控執行個體 建立的 Azure 子網之間,有直接連線 (透過 ExpressRoute 或 VPN) 。

顯示網路模型 1 的螢幕快照,其中域控制器位於內部部署。

網路模型 2:域控制器裝載於 Azure 中

在此設定中,指定的域控制器裝載於 Azure 中,您必須在內部部署網路與 Azure 子網之間建立 ExpressRoute 或 VPN 連線。 它用於 SCOM 受控執行個體 建立,以及用於指定域控制器的 Azure 子網。 如需詳細資訊,請參閱 ExpressRouteVPN 閘道

在此模型中,所需的域控制器仍會整合到您的內部部署網域樹系中。 不過,您選擇在 Azure 中建立專用的 Active Directory 控制器,以支援依賴 內部部署的 Active Directory 基礎結構的 Azure 資源。

顯示網路模型 2 的螢幕快照,其中裝載於 Azure 中的域控制器。

網路模型 3:域控制器和 SCOM 受控實例位於 Azure 虛擬網路中

在此模型中,所需的域控制器和 SCOM 受控實例都會放在 Azure 中的個別和專用虛擬網路中。

如果您想要的域控制器和其他所有元件都位於 Azure 的相同虛擬網路中, (傳統作用中域控制器) 且沒有任何內部部署狀態,則所有元件之間已經有一條可見線。

如果您想要的域控制器和其他所有元件都位於 Azure 的不同虛擬網路中, (傳統主動域控制器) ,且內部部署沒有作用中,您必須在網路中的所有虛擬網路之間執行虛擬網路對等互連。 如需詳細資訊,請參閱 Azure 中的虛擬網路對等互連

此螢幕快照顯示 Azure 虛擬網路中域控制器和 SCOM 受控實例的網路模型 3。

針對先前提及的所有三個網路模型,請處理下列問題:

  1. 請確定 SCOM 受控執行個體 子網可以建立針對 Azure 或 SCOM 受控執行個體 所設定之指定域控制器的連線。 此外,請確定 SCOM 受控執行個體 子網內的功能變數名稱解析會將指定的域控制器列為已解決域控制器之間的最上層專案,以避免網路等待時間或效能和防火牆問題。

  2. 指定的網域控制器與網域名稱系統 (DNS) 上的下列埠必須可從 SCOM 受控執行個體 子網存取:

    • LDAP 的 TCP 連接埠 389 或 636

    • 全域編錄的 TCP 連接埠 3268 或 3269

    • Kerberos 的 TCP 和 UDP 連接埠 88

    • 適用於 DNS 的 TCP 和 UDP 連接埠 53

    • 適用於 Active Directory Web 服務的 TCP 9389

    • 適用於SMB的TCP 445

    • RPC 的 TCP 135

      內部防火牆規則和 NSG 必須允許來自 SCOM 受控執行個體 虛擬網路的通訊,以及先前所列所有埠的指定域控制器/DNS。

  3. 虛擬網路和 SCOM 受控執行個體 Azure SQL 受控執行個體 必須對等互連,才能建立連線能力。 具體而言,埠 1433 (私人埠) 或 3342 (公用埠) 必須可從 SCOM 受控執行個體 連線到 SQL 受控實例。 在兩個虛擬網路上設定NSG規則和防火牆規則,以允許埠 1433 和 3342。

  4. 允許從受監視的電腦到 SCOM 受控執行個體 埠 5723、5724 和 443 上的通訊。

    • 如果計算機是內部部署計算機,請在SCOM受控執行個體子網和受監視電腦所在的內部部署網路上設定NSG規則和防火牆規則,以確保指定的基本埠 (5723、5724和443) 可從受監視的電腦連線到SCOM 受控執行個體子網。

    • 如果計算機位於 Azure 中,請在 SCOM 受控執行個體 虛擬網路和受監視電腦的虛擬網路上設定 NSG 規則和防火牆規則,以確保指定的基本埠 (5723、5724 和 443) 可從受監視的電腦連線到 SCOM 受控執行個體 子網。

防火牆需求

若要正常運作,SCOM 受控執行個體 必須能夠存取下列埠號碼和 URL。 設定 NSG 和防火牆規則以允許此通訊。

資源 連接埠 Direction 服務標籤 用途
*.blob.core.windows.net 443 輸出 儲存體 Azure 儲存體
management.azure.com 443 輸出 AzureResourceManager Azure Resource Manager
gcs.prod.monitoring.core.windows.net
*.prod.warm.ingest.monitor.core.windows.net		 443 輸出 AzureMonitor SCOM MI 記錄
*.prod.microsoftmetrics.com
*.prod.hot.ingest.monitor.core.windows.net
*.prod.hot.ingestion.msftcloudes.com		 443 輸出 AzureMonitor SCOM MI 計量
*.workloadnexus.azure.com 443 輸出 Nexus 服務
*.azuremonitor-scommiconnect.azure.com 443 輸出 網橋服務

重要

若要將與 Active Directory 系統管理員和網路管理員進行廣泛通訊的需求降到最低,請參閱 自我驗證。 本文概述 Active Directory 系統管理員和網路管理員用來驗證其設定變更的程式,並確保其成功實作。 此程式可減少從 Operations Manager 系統管理員到 Active Directory 系統管理員和網路管理員不必要的來回互動。此設定可節省系統管理員的時間。

下一步