Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W usłudze Azure Virtual Network Manager weryfikator sieci to narzędzie, które umożliwia sprawdzenie, czy zasady sieciowe zezwalają na ruch między zasobami sieciowymi platformy Azure lub nie zezwalają na nie. Istnieje wiele elementów składowych między łącznością, bezpieczeństwem, routingiem a konfiguracjami specyficznymi dla zasobów — więc skąd wiesz, że to, co skonfigurowałeś w środowisku Azure, faktycznie zapewnia pożądaną łączność między twoimi zasobami sieciowymi? Niezależnie od tego, czy diagnozujesz, dlaczego osiągalność nie działa zgodnie z oczekiwaniami, czy potwierdzasz zgodność konfiguracji platformy Azure z wymaganiami dotyczącymi zgodności z zabezpieczeniami organizacji, weryfikator sieci może dostarczyć odpowiedzi. Po uruchomieniu analizy osiągalności za pomocą narzędzia do weryfikacji sieci może odpowiedzieć na pytania, takie jak dlaczego dwie maszyny wirtualne nie mogą komunikować się ze sobą, dostarczając pełną ścieżkę osiągalności i informacje o blokadach.
Ważne
Weryfikator sieci w usłudze Azure Virtual Network Manager jest ogólnie dostępny w następujących regionach:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Jak działa weryfikator sieci?
Weryfikator sieci jest dostępny w każdej instancji menedżera sieci poprzez zasób nazywany obszarem roboczym weryfikatora sieci, który działa jako kontener dla zasobów podrzędnych i możliwości weryfikatora sieci. Menedżer sieci może mieć co najmniej jeden obszar roboczy weryfikatora, a te obszary robocze weryfikatora mogą być delegowane do użytkowników nienależących do menedżera sieci. Obszar roboczy weryfikatora używa następującego przepływu pracy do zbierania i analizowania danych sieciowych.
Tworzenie obszaru roboczego weryfikatora
Obszar roboczy weryfikatora to zasób podrzędny menedżera sieci. Jego uprawnienia można delegować do użytkowników administratorów innych niż menedżer sieci i można je odnaleźć w witrynie Azure Portal. Obszar roboczy weryfikatora zawiera własne zasoby podrzędne związane z intencjami analizy dostępności oraz wynikami tej analizy i używa zakresu swojego nadrzędnego menedżera sieci jako granicy do przeprowadzenia analizy. Każdy zasób platformy Azure, konfigurację i regułę w tym zakresie można ocenić w analizie dostępności bez potrzeby podnoszenia uprawnień użytkownika dla subskrypcji i grup zarządzania w zakresie nadrzędnego menedżera sieci.
Delegowanie zasobu obszaru roboczego weryfikatora
Domyślnie użytkownicy z uprawnieniami do menedżera sieci mają uprawnienia do tworzenia, usuwania i rozszerzania uprawnień obszaru roboczego weryfikatora. Użytkownik, który nie ma uprawnień do nadrzędnego zarządcy sieci przestrzeni roboczej weryfikatora, może uzyskać uprawnienia poprzez przypisanie mu roli "Kontrybutor" w kontroli dostępu przestrzeni roboczej weryfikatora. Nadanie użytkownikowi uprawnień do przestrzeni roboczej weryfikatora w ten sposób nie zapewnia mu dostępu do pozostałej części instancji zarządcy sieci.
Tworzenie intencji analizy dostępności
W obszarze roboczym weryfikatora utworzysz intencję analizy dostępności, aby zdefiniować ścieżkę ruchu między źródłem a miejscem docelowym, które chcesz zweryfikować. Intencja analizy dostępności obejmuje następujące pola:
| Pole | **Opis** |
|---|---|
| Źródło | Źródłem ruchu może być maszyna wirtualna, instancja zestawu skalowania maszyn wirtualnych, podsieć lub Internet. |
| Porty źródłowe | Porty źródłowe ruchu. |
| Źródłowe adresy IP | Źródłowe adresy IP ruchu. |
| Lokalizacja docelowa | Miejsce docelowe ruchu, które może być maszyną wirtualną, skalowanym zestawem maszyn wirtualnych, podsiecią, usługą Cosmos DB, kontem magazynowym, serwerem SQL lub internetem. |
| Porty docelowe | Porty docelowe ruchu. |
| Docelowe adresy IP | Docelowe adresy IP ruchu. |
| Protokół | Protokół ruchu. |
Można utworzyć wiele intencji analizy dostępności w obszarze roboczym weryfikatora i uruchomić je równolegle. Każdy użytkownik z uprawnieniami do danego obszaru roboczego weryfikatora może tworzyć, wyświetlać i usuwać jego intencje analizy dostępności.
Uruchamianie analizy dostępności
Po zdefiniowaniu intencji analizy dostępności należy uruchomić analizę, aby uzyskać wynik analizy dostępności. Ta analiza statyczna sprawdza, czy różne zasoby i konfiguracje zasad w zakresu działań menedżera sieci zachowują zdolność do nawiązania połączenia między danym źródłem a miejscem docelowym w zamierzeniach analizy osiągalności. Po zakończeniu analizy dostarcza ona wynik dotyczący dostępności.
Wynik analizy dostępności jest obiektem JSON, który szczegółowo określa, czy pakiety mogą dotrzeć do miejsca docelowego intencji analizy dostępności z jego źródła. Zawiera szczegółowe informacje o ścieżce łączności, pokazując, gdzie ruch został zablokowany, jeśli źródło i miejsce docelowe nie może nawiązać połączenia. Zawiera on informacje o zasobach na ścieżce i ich metadanych niezależnie od wyniku wyniku analizy osiągalności.
W witrynie Azure Portal ten wynik analizy dostępności jest wizualizowany w celu wyświetlenia ścieżki do przodu zdefiniowanej łączności intencji analizy dostępności. Każdy użytkownik z dostępem do obszaru roboczego weryfikatora może uruchomić analizę osiągalności dla dowolnej intencji analizy osiągalności w tym obszarze roboczym weryfikatora.
Obsługiwane funkcje analizy dostępności
Po uruchomieniu analiza dostępności weryfikatora sieci ocenia następujące funkcje:
- Reguły sieciowej grupy zabezpieczeń (NSG)
- Reguły grupy zabezpieczeń aplikacji (ASG)
- Reguły administratora zabezpieczeń usługi Azure Virtual Network Manager
- Topologia siatki usługi Azure Virtual Network Manager (połączona grupa)
- Parowanie sieci wirtualnych
- Tablice tras
- Punkty końcowe usługi i listy kontroli dostępu
- Prywatne punkty końcowe
- Wirtualna sieć WAN
- Azure Firewall (tylko statyczna L4)
Ta lista jest objęta rozszerzeniem.
Kiedy należy używać weryfikatora sieciowego?
Weryfikator sieci został zaprojektowany, aby pomóc w weryfikacji konfiguracji i zasobów sieci platformy Azure, aby zapewnić ich zgodność z twoimi oczekiwaniami dotyczącymi dostępności oraz wewnętrznymi standardami. To narzędzie okazuje się szczególnie przydatne podczas fazy projektowania i po wdrożeniu konfiguracji sieci platformy Azure. Kiedy napotkasz nieoczekiwane zezwolenia lub zakazy ruchu, narzędzie weryfikacyjne sieci pomoże Ci określić pochodzenie tych odchyleń od oczekiwanej dostępności sieci w środowisku Azure. Dzięki szczegółowym wynikam analizy dostępności weryfikator sieci może odtworzyć ścieżkę źródło-miejsce docelowe podjęte na płaszczyźnie sterowania platformy Azure, umożliwiając śledzenie, gdzie leży nieprawidłowa konfiguracja.
Weryfikator sieci może pomóc w odpowiedzi na kilka pytań dotyczących dostępności zasobów sieciowych platformy Azure, w tym:
- Publiczny internetowy adres IP do/z danej maszyny wirtualnej, podsieci lub innego zasobu
- Walidacja reguł zabezpieczeń wymuszających odmowę ruchu i kolejność ewaluacji, takich jak reguły grup zabezpieczeń sieciowych i reguły administratora zabezpieczeń
- Potwierdzenie dostępności zasobów za prywatnym punktem końcowym
- Zmiana modelu teoretycznej ścieżki ruchu przez wirtualną sieć WAN
W przypadku bardziej złożonych scenariuszy rozwiązywania problemów weryfikator sieci służy jako doskonały punkt wyjścia. Jego wyniki analizy dostępności mogą kierować Cię do następnych kroków w podróży diagnostycznej, kierując Cię do narzędzi wyspecjalizowanych w monitorowaniu operacyjnym, wydajności sieci i rozwiązywaniu problemów z siecią na poziomie ścieżki danych.
Limity
Ograniczenia weryfikatora sieciowego są następujące:
- Analiza osiągalności może być uruchamiana tylko w jednej intencji analizy osiągalności.
- Podsieci wybrane jako źródło i/lub miejsce docelowe intencji analizy dostępności muszą mieć co najmniej jedną uruchomioną maszynę wirtualną, aby zapewnić wynik analizy dostępności.
- Wyniki analizy dostępności są oparte na ocenie obsługiwanych usług, zasobów i zasad platformy Azure wymienionych jako obsługiwane funkcje tutaj. Rzeczywiste zachowanie ruchu wynikające z usług, które nie zostały jawnie wymienione powyżej, może różnić się od wyniku analizy dostępności.