SAP 솔루션을 위한 Azure Monitor 네트워크 설정

이 방법 가이드에서는 SAP 솔루션을 위한 Azure Monitor를 배포할 수 있도록 Azure 가상 네트워크를 구성하는 방법을 알아봅니다. 다음을 배우게 됩니다.

새 서브넷 만들기

Azure Functions는 SAP 솔루션을 위한 Azure Monitor의 데이터 수집 엔진입니다. Azure Functions를 호스트할 새 서브넷을 만들어야 합니다.

리소스를 모니터링하기 위해 100개 이상의 IP 주소가 필요하기 때문에 IPv4/25 블록 또는 이보다 큰 블록을 사용하여 새 서브넷을 만듭니다. 서브넷을 성공적으로 만든 후 다음 단계를 확인하여 SAP 솔루션을 위한 Azure Monitor 서브넷과 SAP 환경 서브넷 간의 연결을 확인합니다.

  • 두 서브넷이 모두 서로 다른 가상 네트워크에 있는 경우 가상 네트워크 간에 가상 네트워크 피어링을 수행합니다.
  • 서브넷이 사용자 정의 경로와 연결된 경우 서브넷 간의 트래픽을 허용하도록 경로가 구성되어 있는지 확인합니다.
  • SAP 환경 서브넷에 NSG(네트워크 보안 그룹) 규칙이 있는 경우 SAP 솔루션을 위한 Azure Monitor 서브넷의 인바운드 트래픽을 허용하도록 규칙이 구성되어 있는지 확인합니다.
  • SAP 환경에 방화벽이 있는 경우 SAP 솔루션을 위한 Azure Monitor 서브넷의 인바운드 트래픽을 허용하도록 방화벽이 구성되어 있는지 확인합니다.

자세한 내용은 Azure Virtual Network와 앱 통합 방법을 참조하세요.

가상 네트워크에 사용자 지정 DNS 사용

이 섹션은 가상 네트워크에 사용자 지정 DNS를 사용하는 경우에만 적용됩니다. Azure DNS 서버를 가리키는 IP 주소를 168.63.129.16추가합니다. 이렇게 할당하면 SAP 솔루션을 위한 Azure Monitor가 제대로 작동하는 데 필요한 스토리지 계정 및 기타 리소스 URL이 확인됩니다.

Azure Portal의 사용자 지정 DNS 설정을 보여 주는 스크린샷.

아웃바운드 인터넷 액세스 구성

대부분의 사용 사례에서는 SAP 네트워크 환경에 대한 아웃바운드 인터넷 액세스를 제한하거나 차단하도록 선택할 수 있습니다. 그러나 SAP 솔루션을 위한 Azure Monitor에는 구성한 서브넷과 모니터링하려는 시스템 간의 네트워크 연결이 필요합니다. SAP 솔루션을 위한 Azure Monitor 리소스를 배포하기 전에 아웃바운드 인터넷 액세스를 구성해야 합니다. 그렇지 않으면 배포가 실패합니다.

제한되거나 차단된 아웃바운드 인터넷 액세스를 처리하는 여러 가지 방법이 있습니다. 사용 사례에 가장 적합한 방법을 선택합니다.

라우트 모두 사용

Route All은 Azure Functions에서 가상 네트워크 통합의 표준 기능이며, SAP 솔루션을 위한 Azure Monitor의 일부로 배포됩니다. 이 설정을 사용하거나 사용하지 않도록 설정하면 Azure Functions 트래픽에만 영향을 줍니다. 이 설정은 가상 네트워크 내에서 들어오거나 나가는 다른 트래픽에는 영향을 주지 않습니다.

Azure Portal 통해 SAP 솔루션을 위한 Azure Monitor 리소스를 만들 때 모두 라우팅 설정을 구성할 수 있습니다. SAP 환경에서 아웃바운드 인터넷 액세스를 허용하지 않는 경우 모두 라우팅을 사용하지 않도록 설정합니다. SAP 환경에서 아웃바운드 인터넷 액세스를 허용하는 경우 기본 설정을 유지하여 모두 라우팅을 사용하도록 설정합니다.

SAP 솔루션을 위한 Azure Monitor 리소스를 배포하기 전에만 이 옵션을 사용할 수 있습니다. SAP 솔루션을 위한 Azure Monitor 리소스를 만든 후에는 모두 라우팅 설정을 변경할 수 없습니다.

인바운드 트래픽 허용

SAP 환경에 대한 인바운드 트래픽을 차단하는 NSG 또는 사용자 정의 경로 규칙이 있는 경우 인바운드 트래픽을 허용하도록 규칙을 수정해야 합니다. 또한 추가하려는 공급자 유형에 따라 다음 표와 같이 몇 가지 포트의 차단을 해제해야 합니다.

공급자 형식 포트 번호
Prometheus OS 9100
RHEL의 Prometheus HA 클러스터 44322
SUSE의 Prometheus HA 클러스터 9100
SQL Server 1433(기본 포트를 사용하지 않는 경우 다를 수 있음)
DB2 서버 25000(기본 포트를 사용하지 않는 경우 다를 수 있음)
SAP HANA DB 3<인스턴스 번호>13, 3<인스턴스 번호>15
SAP NetWeaver 5<인스턴스 번호>13, 5<인스턴스 번호>15

서비스 태그 사용

NSG를 사용하는 경우 SAP 솔루션을 위한 Azure Monitor 관련 가상 네트워크 서비스 태그를 만들어 배포를 위해 적절한 트래픽 흐름을 허용할 수 있습니다. 서비스 태그는 특정 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다.

SAP 솔루션을 위한 Azure Monitor 리소스를 배포한 후 이 옵션을 사용할 수 있습니다.

  1. Azure Monitor for SAP 솔루션을 위해 관리되는 리소스 그룹과 연결된 서브넷을 찾으세요.

    1. Azure Portal에 로그인합니다.
    2. SAP 솔루션을 위한 Azure Monitor 서비스를 검색하거나 선택합니다.
    3. SAP 솔루션을 위한 Azure Monitor의 개요 페이지에서 SAP 솔루션을 위한 Azure Monitor 리소스를 선택합니다.
    4. 관리되는 리소스 그룹의 페이지에서 Azure Functions 앱을 선택합니다.
    5. 앱의 페이지에서 네트워킹 탭을 선택합니다. 그런 다음 VNET 통합을 선택합니다.
    6. 서브넷 세부 정보를 검토하고 기록해 둡니다. 다음 단계에서 규칙을 만들려면 서브넷의 IP 주소가 필요합니다.

  2. 서브넷의 이름을 선택하여 연결된 NSG를 찾습니다. NSG의 정보를 기록해 둡니다.

  3. 아웃바운드 네트워크 트래픽에 대한 새 NSG 규칙을 설정합니다.

    1. Azure Portal에서 NGS 리소스로 이동합니다.
    2. NSG 메뉴의 설정 아래에서 아웃바운드 보안 규칙을 선택합니다.
    3. 추가를 선택하여 다음 새 규칙을 추가합니다.
    우선 순위 Name 포트 프로토콜 원본 목적지 액션
    450 allow_monitor (모니터 허용) 443 TCP Azure Functions 서브넷 Azure Monitor 허용
    451 키볼트_허용 443 TCP Azure Functions 서브넷 Azure Key Vault 허용
    452 저장소 허용 443 TCP Azure Functions 서브넷 스토리지 허용
    453 allow_azure_controlplane 443 모두 Azure Functions 서브넷 Azure Resource Manager 허용
    454 ams가 소스 시스템에 액세스를 허용 모두 모두 Azure Functions 서브넷 가상 네트워크 또는 쉼표로 구분된 원본 시스템의 IP 주소 허용
    455 SAP 모니터링 허용 443 TCP Azure Functions 서브넷 AzureMonitorForSAP 허용
    660 deny_internet 모두 모두 모두 인터넷 거부

SAP 솔루션을 위한 Azure Monitor의 서브넷 IP 주소는 SAP 솔루션을 위한 Azure Monitor 리소스와 연결된 서브넷의 IP를 나타냅니다. 서브넷을 찾으려면 Azure Portal에서 SAP 솔루션을 위한 Azure Monitor 리소스로 이동합니다. 개요 페이지에서 vNet/서브넷 값을 검토합니다.

만드는 규칙의 경우 allow_vnet deny_internet보다 우선 순위가 낮아야 합니다. 다른 모든 규칙은 allow_vnet보다 우선 순위가 낮아야 합니다. 이러한 다른 규칙의 나머지 순서는 서로 교환 가능합니다.

네트워킹 문제 해결

SAP 솔루션용 Azure Monitor에서 공급자를 구성할 때 SAP 솔루션용 Azure Monitor와 SAP 환경 간에 연결 문제가 발생할 수 있습니다. 이 섹션에서는 이러한 네트워킹 문제를 해결하는 방법에 대한 지침을 제공합니다.

호스트 이름 해결 문제

SAP 솔루션용 Azure Monitor에 공급자를 추가하는 경우 모니터링하려는 시스템의 호스트 이름을 확인해야 합니다. SAP HANA 또는 SAP NetWeaver와 같은 다른 시스템을 모니터링하려는 경우 SAP 솔루션용 Azure Monitor는 Azure Function 앱을 배포합니다. 이러한 함수 앱은 원본 시스템에 연결하고 검사를 실행합니다. 이 섹션에서는 Azure 함수 앱이 SAP 시스템의 호스트 이름을 확인할 수 있는지 확인하는 방법을 알아보세요. 호스트 이름 확인 문제로 인해 공급자 온보딩이 실패하는 경우 다음 단계에 따라 문제를 해결할 수 있습니다.

  1. Azure Portal로 이동하여 SAP 솔루션 리소스용 Azure Monitor로 이동합니다.

  2. 이제 SAP 솔루션 리소스용 Azure Monitor에 대한 관리되는 리소스 그룹을 엽니다. SAP 솔루션 리소스용 Azure Monitor의 개요 페이지에서 관리되는 리소스 그룹의 이름을 찾을 수 있습니다.

    Azure Portal의 관리되는 리소스 그룹을 보여 주는 스크린샷.

  3. 관리되는 리소스 그룹에서 온보딩하려는 공급자와 연결된 Azure Function 앱을 찾습니다. 함수 앱의 명명 규칙은 <provider_type>-<unique_identifier>입니다. 예를 들어 SAP HANA 시스템을 온보딩하려는 경우 saphana-unique_identifier<> 이름의 함수 앱을 찾습니다.

    Azure Portal의 Azure Function 앱을 보여 주는 스크린샷.

  4. 함수 앱을 열고 개발 도구를 검색합니다.

  5. 왼쪽 메뉴에서 고급 도구를 연 다음 , [이동 ]을 선택하여 Kudu를 엽니다.

    Azure Portal에서 고급 도구로 이동하는 방법을 보여 주는 스크린샷

이제 Kudu에 액세스할 수 있으므로 다음 검사를 실행하여 호스트 이름 해결 문제를 해결합니다.

Azure Function이 가상 네트워크와 통합되었는지 확인

다음 단계에 따라 Azure Function 앱이 가상 네트워크와 통합되어 있는지 확인합니다.

  1. Kudu에서 환경 탭을 선택합니다.

  2. 이제 환경 변수 목록에서 WEBSITE_PRIVATE_IP 검색합니다.

  3. WEBSITE_PRIVATE_IP 값이 SAP 솔루션용 Azure Monitor에 대해 구성한 서브넷의 IP 주소인지 확인합니다.

    Azure App Service의 웹 사이트 개인 IP 주소를 강조 표시하는 스크린샷.

Azure Function에서 도메인 이름 조회 확인

다음 단계에 따라 Azure Function 앱이 SAP 시스템의 호스트 이름을 확인할 수 있는지 확인합니다.

  1. Kudu에서 SSH 탭을 선택합니다.

  2. SSH-Kudu에서 연결 시작 단추를 선택합니다. 새 탭에서 디버그 콘솔이 열립니다. 디버그 콘솔은 연결을 확인하고 문제를 해결하는 명령을 실행할 수 있는 터미널입니다.

    Kudu 디버그 콘솔을 보여 주는 스크린샷.

  3. 이제 명령을 실행할 수 있는 터미널에 액세스할 수 있습니다.

  4. SAP 시스템의 호스트 이름이 올바르게 확인되는지 확인하려면 터미널에서 다음 명령을 실행하여 호스트 이름을 SAP 시스템의 실제 호스트 이름으로 바꿉다.

    nslookup hostname

  5. Azure Function 앱이 필요한 포트에서 SAP 시스템에 연결할 수 있는지 확인하려면 터미널에서 다음 명령을 실행하여 호스트 이름을 SAP 시스템의 실제 호스트 이름으로 , 포트를 SAP 시스템에서 수신 대기 중인 실제 포트 번호로 바꿉다. 포트 번호를 찾으려면 인바운드 트래픽 허용 에 대한 설명서 섹션을 참조하고 공급자 유형에 대한 포트 번호를 찾습니다.

    timeout 5 bash -c "</dev/tcp/hostname/port" && echo "Port Open" || echo "Port Closed"
curl -v telnet://hostname:port

  6. 호스트 이름 확인이 제대로 작동하는 경우 명령의 출력에 SAP 시스템의 IP 주소가 nslookup 표시됩니다. 필요한 포트에 대한 연결이 제대로 작동하는 경우 시간 제한 명령의 출력에 "포트 열기"가 표시됩니다. curl 명령의 출력에 성공한 연결 메시지가 표시됩니다.

  7. 이러한 명령의 출력에 오류가 표시되면 Azure Function 앱과 SAP 시스템 간에 연결 문제가 있음을 나타냅니다. 오류 메시지를 사용하여 문제의 근본 원인을 추가로 해결하고 식별할 수 있습니다. 일반적인 문제로는 잘못된 DNS 구성, 트래픽을 차단하는 NSG 규칙 또는 트래픽을 차단하는 방화벽 규칙이 있습니다.

효과적인 네트워크 규칙 확인

연결 문제를 해결하려고 할 때 VM(가상 머신) 또는 서브넷에 대한 효과적인 네트워크 규칙을 확인하는 것이 중요합니다. 효과적인 네트워크 규칙에는 NSG 규칙, 사용자 정의 경로 및 리소스에 적용되는 방화벽 규칙이 포함됩니다. 이러한 규칙은 SAP 솔루션용 Azure Monitor와 SAP 환경 간의 연결에 영향을 줄 수 있습니다. 이 섹션에서는 VM 또는 서브넷에 대한 효과적인 네트워크 규칙을 확인하는 방법을 알아봅니다.

  1. Azure Portal로 이동하여 SAP 시스템을 호스팅하는 VM으로 이동합니다.

  2. 왼쪽 메뉴에서 네트워크 설정을 검색하고 선택합니다.

  3. VM과 연결된 네트워크 인터페이스 를 엽니다.

    VM의 네트워크 인터페이스를 보여 주는 스크린샷

  4. 왼쪽 메뉴에서 유효 경로를 검색하고 선택합니다. 그러면 VM에 적용되는 모든 유효 경로가 표시됩니다. 경로를 검토하여 SAP 솔루션용 Azure Monitor의 트래픽을 차단할 수 있는 경로가 있는지 확인합니다.

    네트워크 인터페이스의 유효 경로를 보여 주는 스크린샷

다음 단계

  • Last updated on