Menyiapkan jaringan untuk Azure Monitor untuk solusi SAP
Dalam panduan cara ini, Anda mempelajari cara mengonfigurasi jaringan virtual Azure sehingga Anda dapat menyebarkan Azure Monitor untuk solusi SAP. Anda akan mempelajari cara untuk:
- Buat subnet baru untuk digunakan dengan Azure Functions.
- Siapkan akses internet keluar ke lingkungan SAP yang ingin Anda pantau.
Membuat subnet baru
Azure Functions adalah mesin pengumpulan data untuk Azure Monitor untuk solusi SAP. Anda harus membuat subnet baru untuk menghosting Azure Functions.
Buat subnet baru dengan blok IPv4/25 atau lebih besar karena Anda memerlukan setidaknya 100 alamat IP untuk memantau sumber daya. Setelah Anda berhasil membuat subnet, verifikasi langkah-langkah berikut untuk memastikan konektivitas antara subnet solusi Azure Monitor untuk SAP dan subnet lingkungan SAP Anda:
- Jika kedua subnet berada di jaringan virtual yang berbeda, lakukan peering jaringan virtual antara jaringan virtual.
- Jika subnet dikaitkan dengan rute yang ditentukan pengguna, pastikan rute dikonfigurasi untuk memungkinkan lalu lintas antar subnet.
- Jika subnet lingkungan SAP memiliki aturan kelompok keamanan jaringan (NSG), pastikan aturan dikonfigurasi untuk mengizinkan lalu lintas masuk dari Azure Monitor untuk subnet solusi SAP.
- Jika Anda memiliki firewall di lingkungan SAP Anda, pastikan firewall dikonfigurasi untuk mengizinkan lalu lintas masuk dari Azure Monitor untuk subnet solusi SAP.
Untuk informasi selengkapnya, lihat cara mengintegrasikan aplikasi Anda dengan jaringan virtual Azure.
Menggunakan DNS Kustom untuk jaringan virtual Anda
Bagian ini hanya berlaku jika Anda menggunakan DNS Kustom untuk jaringan virtual Anda. Tambahkan alamat IP 168.63.129.16, yang menunjuk ke Azure DNS Server. Pengaturan ini menyelesaikan akun penyimpanan dan URL sumber daya lain yang diperlukan untuk berfungsinya Azure Monitor untuk solusi SAP.
Konfigurasikan akses internet keluar
Dalam banyak kasus penggunaan, Anda dapat memilih untuk membatasi atau memblokir akses internet keluar ke lingkungan jaringan SAP Anda. Namun, solusi Azure Monitor untuk SAP memerlukan konektivitas jaringan antara subnet yang Anda konfigurasi dan sistem yang ingin Anda pantau. Sebelum menyebarkan sumber daya solusi Azure Monitor untuk SAP, Anda harus mengonfigurasi akses internet keluar atau penyebaran gagal.
Ada beberapa metode untuk mengatasi akses internet keluar yang dibatasi atau diblokir. Pilih metode yang paling sesuai untuk kasus penggunaan Anda:
- Menggunakan fitur Rutekan Semua di Azure Functions
- Menggunakan tag layanan dengan NSG di jaringan virtual Anda
Gunakan Rutekan Semua
Route All adalah fitur standar integrasi jaringan virtual di Azure Functions, yang disebarkan sebagai bagian dari Azure Monitor untuk solusi SAP. Mengaktifkan atau menonaktifkan pengaturan ini hanya memengaruhi lalu lintas dari Azure Functions. Pengaturan ini tidak memengaruhi lalu lintas masuk atau keluar lainnya dalam jaringan virtual Anda.
Anda dapat mengonfigurasi pengaturan Route All saat membuat sumber daya solusi Azure Monitor for SAP melalui portal Azure. Jika lingkungan SAP Anda tidak mengizinkan akses internet keluar, nonaktifkan Rutekan Semua. Jika lingkungan SAP Anda mengizinkan akses internet keluar, pertahankan pengaturan default untuk mengaktifkan Rutekan Semua.
Anda hanya dapat menggunakan opsi ini sebelum menyebarkan sumber daya solusi Azure Monitor for SAP. Tidak dimungkinkan untuk mengubah pengaturan Route All setelah Anda membuat sumber daya solusi Azure Monitor for SAP.
Perbolehkan lalu lintas masuk
Jika Anda memiliki aturan NSG atau Rute yang Ditentukan Pengguna yang memblokir lalu lintas masuk ke lingkungan SAP, Anda harus memodifikasi aturan untuk mengizinkan lalu lintas masuk. Selain itu, tergantung pada jenis penyedia yang coba Anda tambahkan, Anda harus membuka blokir beberapa port, seperti yang ditunjukkan dalam tabel berikut.
| Tipe penyedia | Nomor port |
|---|---|
| Prometheus OS | 9100 |
| Kluster Ha Prometheus di RHEL | 44322 |
| Kluster Ha Prometheus di SUSE | 9100 |
| SQL Server | 1433 (bisa berbeda jika Anda tidak menggunakan port default) |
| DB2 Server | 25000 (bisa berbeda jika Anda tidak menggunakan port default) |
| SAP HANA DB | 3<instans nomor>13, 3<instans nomor>15 |
| SAP NetWeaver | 5<instans nomor>13, 5<instans nomor>15 |
Menggunakan tag layanan
Jika Anda menggunakan NSG, Anda dapat membuat Azure Monitor untuk tag layanan jaringan virtual terkait solusi SAP untuk memungkinkan arus lalu lintas yang sesuai untuk penyebaran Anda. Tag layanan mewakili sekelompok prefiks alamat IP dari layanan Azure tertentu.
Anda dapat menggunakan opsi ini setelah menyebarkan sumber daya solusi Azure Monitor untuk SAP.
Temukan subnet yang terkait dengan grup sumber daya terkelola solusi Azure Monitor for SAP Anda:
- Masuk ke portal Azure.
- Cari atau pilih layanan solusi Azure Monitor untuk SAP.
- Pada halaman Gambaran Umum untuk azure Monitor untuk solusi SAP, pilih sumber daya solusi Azure Monitor for SAP Anda.
- Pada halaman grup sumber daya terkelola, pilih aplikasi Azure Functions.
- Pada halaman aplikasi, pilih tab Jaringan . Lalu pilih Integrasi VNET.
- Tinjau dan catat detail subnet. Anda memerlukan alamat IP subnet untuk membuat aturan di langkah berikutnya.
Pilih nama subnet untuk menemukan NSG terkait. Perhatikan informasi NSG.
Atur aturan NSG baru untuk lalu lintas jaringan keluar:
- Buka sumber daya NSG di portal Azure.
- Pada menu NSG, di bawah Pengaturan, pilih Aturan keamanan keluar.
- Pilih Tambahkan untuk menambahkan aturan baru berikut ini:
Prioritas Nama Port Protokol Sumber Tujuan Tindakan 450 allow_monitor 443 TCP Subnet Azure Functions Azure Monitor Izinkan 501 allow_keyVault 443 TCP Subnet Azure Functions Azure Key Vault Izinkan 550 allow_storage 443 TCP Subnet Azure Functions Penyimpanan Bolehkan 600 allow_azure_controlplane 443 Apa pun Subnet Azure Functions Azure Resource Manager Izinkan 650 allow_ams_to_source_system Apa pun Apa pun Subnet Azure Functions Jaringan virtual atau alamat IP yang dipisahkan koma dari sistem sumber Izinkan 660 deny_internet Apa pun Apa pun Apa pun Internet Tolak
Alamat IP subnet solusi Azure Monitor untuk SAP mengacu pada IP subnet yang terkait dengan sumber daya solusi Azure Monitor for SAP Anda. Untuk menemukan subnet, buka sumber daya solusi Azure Monitor for SAP di portal Azure. Pada halaman Gambaran Umum, tinjau nilai vNet/subnet.
Untuk aturan yang Anda buat, allow_vnet harus memiliki prioritas yang lebih rendah daripada deny_internet. Semua aturan lain juga harus memiliki prioritas yang lebih rendah daripada allow_vnet. Urutan yang tersisa dari aturan lain ini dapat dipertukarkan.