この攻略ガイドでは、Azure Monitor for SAP Solutions をデプロイできるように Azure 仮想ネットワークを構成する方法について説明します。 学習内容は次のとおりです。
- Azure Functions で使用する新しいサブネットを作成します。
- 監視する SAP 環境に送信インターネット アクセスを設定します。
新しいサブネットを作成する
Azure Functions は、Azure Monitor for SAP Solutions 用のデータ収集エンジンです。 Azure Functions をホストする新しいサブネットを作成する必要があります。
リソースを監視するために少なくとも 100 個の IP アドレスが必要なため、IPv4/25 ブロック以上の新しいサブネット を作成します。 サブネットが正常に作成されたら、次の手順を確認して、Azure Monitor for SAP ソリューション サブネットと SAP 環境サブネットの間の接続を確認します。
- それぞれのサブネットが異なる仮想ネットワークにある場合、仮想ネットワーク間で仮想ネットワーク ピアリングを実行します。
- サブネットがユーザー定義のルートに関連付けられている場合は、サブネット間のトラフィックを許可するようにルートが構成されていることを確認します。
- SAP 環境サブネットにネットワーク セキュリティ グループ (NSG) 規則がある場合は、Azure Monitor for SAP ソリューション サブネットからの受信トラフィックを許可するように規則が構成されていることを確認します。
- SAP 環境にファイアウォールがある場合は、Azure Monitor for SAP ソリューション サブネットからの受信トラフィックを許可するようにファイアウォールが構成されていることを確認します。
詳細については、アプリを Azure 仮想ネットワークと統合する方法を参照してください。
仮想ネットワークにカスタム DNS を使用する
このセクションは、仮想ネットワーク用にカスタム DNS を使用している場合にのみ適用されます。 Azure DNS サーバーを指す IP アドレス 168.63.129.16 を追加します。 この配置により、Azure Monitor for SAP ソリューションの適切な機能に必要なストレージ アカウントとその他のリソース URL が解決されます。
アウトバウンドインターネットアクセスの構成
多くのユース ケースでは、SAP ネットワーク環境への送信インターネット アクセスを制限またはブロックすることを選択できます。 ただし、Azure Monitor for SAP Solutions では、構成したサブネットと監視するシステムの間のネットワーク接続が必要です。 Azure Monitor for SAP Solutions リソースをデプロイする前に、送信インターネット アクセスを構成する必要があります。そうしないと、デプロイが失敗します。
制限付きまたはブロックされた送信インターネット アクセスに対処するには、複数の方法があります。 ユース ケースに応じて最適な方法を選んでください:
Route All を使用する
Route All は、Azure Monitor for SAP Solutions の一部としてデプロイされる Azure Functions での仮想ネットワーク統合の標準機能です。 この設定の有効化または無効化は、Azure Functions からのトラフィックにのみ影響します。 この設定は、仮想ネットワーク内の他の受信または送信トラフィックには影響しません。
Azure portal を使用して Azure Monitor for SAP Solutions リソースを作成するときに、Route All 設定を構成できます。 SAP 環境で送信インターネット アクセスが許可されていない場合は、Route All を無効にします。 SAP 環境で送信インターネット アクセスが許可されている場合は、既定の設定のままにして Route All を有効にします。
このオプションは、Azure Monitor for SAP Solutions リソースをデプロイする前にのみ使用できます。 Azure Monitor for SAP Solutions リソースを作成した後で Route All 設定を変更することはできません。
受信トラフィックを許可する
SAP 環境への受信トラフィックをブロックする NSG またはユーザー定義のルート規則がある場合は、受信トラフィックを許可するように規則を変更する必要があります。 また、追加しようとしているプロバイダーの種類によっては、次の表に示すように、いくつかのポートのブロックを解除する必要があります。
| プロバイダーの種類 | ポート番号 |
|---|---|
| Prometheus OS | 9100 |
| RHEL 上の Prometheus HA クラスター | 44322 |
| SUSE 上の Prometheus HA クラスター | 9100 |
| SQL Server | 1433 (既定のポートを使用していない場合は異なる場合があります) |
| DB2 サーバー | 25000 (既定のポートを使用していない場合は異なる場合があります) |
| SAP HANA DB | 3 <インスタンス番号> 13、3 <インスタンス番号> 15 |
| SAP NetWeaver | 5 <インスタンス番号> 13、5 <インスタンス番号> 15 |
サービス タグの使用
NSG を使用する場合は、Azure Monitor for SAP Solutions 関連の仮想ネットワーク サービス タグを作成して、デプロイに適したトラフィック フローを許可できます。 サービス タグは、特定の Azure サービスからの IP アドレス プレフィックスのグループを表します。
このオプションは、Azure Monitor for SAP Solutions リソースをデプロイすると使用できるようになります。
Azure Monitor for SAP Solutions 管理対象リソース グループに関連付けられているサブネットを検索します。
- Azure portal にサインインします。
- Azure Monitor for SAP Solutions サービスを検索または選択します。
- Azure Monitor for SAP Solutions の [概要] ページで、Azure Monitor for SAP Solutions リソースを選択します。
- 管理対象リソース グループのページで、Azure Functions アプリを選びます。
- アプリのページで [ネットワーク] タブを選択します。次に [Vnet 統合] を選択します。
- サブネットの詳細を確認してメモします。 次の手順でルールを作成するには、サブネットの IP アドレスが必要です。
サブネットの名前を選び、関連付けられている NSG を見つけます。 NSG の情報をメモします。
送信ネットワーク トラフィック用の新しい NSG ルールを設定します:
- Azure portal で NSG リソースに移動します。
- NSG メニューの [設定] で [送信セキュリティ規則] を選びます。
- [追加] を選び、次の新しいルールを追加します。
優先順位 名前 [ポート] プロトコル ソース 宛先 アクション 450 allow_monitor 443 TCP Azure Functions サブネット Azure Monitor 許可する 451 allow_keyVault 443 TCP Azure Functions サブネット Azure Key Vault 許可する 452 ストレージを許可する 443 TCP Azure Functions サブネット Storage 許可する 453 allow_azure_controlplane 443 どれでも Azure Functions サブネット Azure Resource Manager 許可する 454 allow_ams_to_source_system どれでも どれでも Azure Functions サブネット 仮想ネットワークまたはソース システムのコンマ区切りの IP アドレス。 許可する 455 allow_monitor_for_sap 443 TCP Azure Functions サブネット AzureMonitorForSAP(アジュールモニター・フォー・SAP) 許可する 660 インターネット拒否 どれでも どれでも どれでも インターネット 拒否
Azure Monitor for SAP Solutions のサブネット IP アドレスは、Azure Monitor for SAP Solutions リソースに関連付けられているサブネットの IP を指します。 サブネットを検索するには、Azure portal で、Azure Monitor for SAP Solutions リソースに移動します。 [概要] ページで、vNet/サブネットの値を確認します。
作成するルールについて、allow_vnet は deny_internetよりも優先度が低い必要があります。 他のすべてのルールも、allow_vnet よりも低い優先度を持つ必要があります。 これらの他のルールの残りの順序は交換可能です。
ネットワークに関する問題のトラブルシューティング
Azure Monitor for SAP ソリューションでプロバイダーを構成するときに、Azure Monitor for SAP ソリューションと SAP 環境の間で接続の問題が発生する可能性があります。 このセクションでは、これらのネットワークの問題のトラブルシューティング方法に関するガイダンスを提供します。
ホスト名の解決に関する問題
Azure Monitor for SAP ソリューションにプロバイダーを追加するときは、監視するシステムのホスト名を解決する必要があります。 SAP HANA や SAP NetWeaver などのさまざまなシステムを監視するために、Azure Monitor for SAP ソリューションは Azure Function アプリをデプロイします。 これらの関数アプリは、ソース システムに接続し、チェックを実行します。 このセクションでは、Azure 関数アプリが SAP システムのホスト名を解決できるかどうかを確認する方法について説明します。 ホスト名解決の問題が原因でプロバイダーのオンボードが失敗した場合は、次の手順に従ってトラブルシューティングを行うことができます。
- Azure portal に移動し、Azure Monitor for SAP ソリューション リソースに移動します。
- 次に、Azure Monitor for SAP ソリューション リソースのマネージド リソース グループを開きます。 マネージド リソース グループの名前は、Azure Monitor for SAP ソリューション リソースの [概要 ] ページで確認できます。
- マネージド リソース グループで、オンボードしようとしているプロバイダーに関連付けられている Azure 関数アプリを見つけます。 関数アプリの名前付け規則は<provider_type><unique_identifier>。 たとえば、SAP HANA システムをオンボードしようとしている場合は、 saphana-<unique_identifier> という名前の関数アプリを探します。
- 関数アプリを開き、 開発ツールを検索します。
- 左側のメニューで [高度なツール ] を開き、[ 移動 ] を選択して Kudu を開きます。
![[高度なツール] に移動する方法を示すスクリーンショット。](media/set-up-network/open-advanced-tools.png)
![[高度なツール] に移動する方法を示すスクリーンショット。](media/set-up-network/open-advanced-tools.png#lightbox)
Kudu にアクセスできるようになったので、次のチェックを実行してホスト名解決の問題をトラブルシューティングします。
Azure 関数が仮想ネットワークに統合されているかどうかを確認する
Azure 関数アプリが仮想ネットワークに統合されているかどうかを確認するには、次の手順に従います。
- Kudu で、[ 環境 ] タブを選択します。
- 次に、環境変数の一覧で WEBSITE_PRIVATE_IP を検索します。
-
WEBSITE_PRIVATE_IPの値が、Azure Monitor for SAP ソリューション用に構成したサブネットからの IP アドレスであることを確認します。
Azure 関数からのホスト名解決を確認する
Azure 関数アプリが SAP システムのホスト名を解決できるかどうかを確認するには、次の手順に従います。
Kudu で、[ SSH ] タブを選択します。
Kudu への SSH で、[ 接続の開始 ] ボタンをクリックします。 これにより、デバッグ コンソールが新しいタブで開きます。デバッグ コンソールは、コマンドを実行して接続を確認し、問題のトラブルシューティングを行うことができるターミナルです。
これで、コマンドを実行できるターミナルにアクセスできるようになりました。 次のコマンドを実行します。
SAP システムのホスト名が正しく解決されているかどうかを確認するには、ターミナルで次のコマンドを実行し、ホスト名を SAP システムの実際のホスト名に置き換えます。
nslookup hostnameAzure Function アプリが必要なポートで SAP システムに接続できるかどうかを確認するには、ターミナルで次のコマンドを実行し、ホスト名を SAP システムの実際の ホスト名 に置き換え、ポートは SAP システムがリッスンしている実際の ポート 番号に置き換えます。 ポート番号を確認するには、「 受信トラフィックを許可 する」のドキュメントセクションを参照し、プロバイダーの種類のポート番号を見つけます。
timeout 5 bash -c "</dev/tcp/hostname/port" && echo "Port Open" || echo "Port Closed" curl -v telnet://hostname:portホスト名解決が正しく機能している場合は、nslookup コマンドの出力に SAP システムの IP アドレスが表示されます。 必要なポートへの接続が正しく機能している場合は、タイムアウト コマンドの出力に "ポートを開く" と、curl コマンドの出力に正常な接続メッセージが表示されます。
これらのコマンドの出力にエラーが表示された場合は、Azure 関数アプリと SAP システムの間に接続の問題があることを示します。 エラー メッセージを使用して、さらにトラブルシューティングを行い、問題の根本原因を特定できます。 一般的な問題には、正しくない DNS 構成、トラフィックをブロックする NSG ルール、トラフィックをブロックするファイアウォール規則などがあります。
有効なネットワーク ルールを確認する
接続の問題を解決する場合は、仮想マシンまたはサブネットの有効なネットワーク規則を確認することが重要です。 有効なネットワーク ルールには、NSG ルール、ユーザー定義ルート、リソースに適用されるファイアウォール規則が含まれます。 これらのルールは、Azure Monitor for SAP ソリューションと SAP 環境の間の接続に影響を与える可能性があります。 このセクションでは、仮想マシンまたはサブネットの有効なネットワーク規則を確認する方法について説明します。
- Azure portal に移動し、SAP システムをホストしている仮想マシンに移動します。
- 左側のメニューで [ネットワーク設定] を検索して選択します。
- 仮想マシンに関連付けられている ネットワーク インターフェイス を開きます。
- 左側のメニューで [有効なルート ] を検索して選択します。 これにより、仮想マシンに適用されるすべての有効なルートが表示されます。 ルートを確認して、Azure Monitor for SAP ソリューションからのトラフィックをブロックしている可能性があるルートがあるかどうかを確認します。
