Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
No Azure Virtual Network Manager, o verificador de rede é uma ferramenta que permite verificar se as suas políticas de rede permitem ou não o tráfego entre os recursos de rede do Azure. Há várias partes móveis entre conectividade, segurança, roteamento e configurações específicas de recursos -- então, como você sabe que o que você configurou em seu ambiente do Azure está realmente alcançando a acessibilidade desejada entre seus recursos de rede? Quer esteja a diagnosticar porque é que a acessibilidade não está a funcionar como esperado ou a provar a conformidade da sua configuração do Azure com os requisitos de conformidade de segurança da sua organização, o verificador de rede pode fornecer as respostas. Quando você executa uma análise de acessibilidade no verificador de rede, ela pode responder a perguntas como por que duas máquinas virtuais não podem se comunicar entre si, fornecendo o caminho de acessibilidade total e os bloqueadores.
Importante
O verificador de rede no Azure Virtual Network Manager está geralmente disponível nas seguintes regiões:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- E.U.A Centro-Sul
- uksouth
- westeurope
- westus
- westus2
Como funciona o verificador de rede?
O verificador de rede está disponível em cada instância do gestor de rede através de um recurso chamado espaço de trabalho do verificador, que atua como um contêiner para os recursos e funcionalidades filhas do verificador de rede. Um gerenciador de rede pode ter um ou mais espaços de trabalho de verificador e esses espaços de trabalho de verificador podem ser delegados a usuários que não são do gerenciador de rede. Um espaço de trabalho de verificador usa o fluxo de trabalho a seguir para coletar e analisar dados de rede.
Criar um espaço de trabalho do verificador
Um espaço de trabalho de verificador é um recurso filho de um gerenciador de rede. Suas permissões podem ser delegadas a usuários administradores que não são do gerenciador de rede e podem ser descobertas no portal do Azure. O espaço de trabalho do verificador inclui seus próprios recursos filhos de intenções de análise de acessibilidade e resultados de análise de acessibilidade, e usa o escopo do gerente de rede pai como o limite para executar a análise. Qualquer recurso, configuração e regra do Azure dentro desse escopo pode ser avaliado na análise de acessibilidade sem a necessidade de elevar as permissões de usuário para as assinaturas e grupos de gerenciamento do escopo do gerente de rede pai.
Delegar um recurso de espaço de trabalho do verificador
Por padrão, os usuários com permissões para um gerenciador de rede têm permissões para criar, excluir e estender permissões de um espaço de trabalho de verificador. Um usuário que não tem permissão para o gerente de rede pai de um espaço de trabalho verificador pode receber permissões por meio do controle de acesso do espaço de trabalho do verificador, atribuindo-lhe a função de "Colaborador". Conceder uma permissão de usuário a um espaço de trabalho de verificador dessa maneira não dá a esse usuário acesso ao restante da instância do gerenciador de rede.
Criar uma intenção de análise de acessibilidade
Em um espaço de trabalho de verificação, você cria uma análise de acessibilidade com a intenção de definir o caminho de tráfego entre uma origem e um destino que deseja verificar. A intenção da análise de acessibilidade inclui os seguintes campos:
| Campo | **Descrição ** |
|---|---|
| Fonte | A origem do tráfego que pode ser uma máquina virtual, a escala da máquina virtual define instância, sub-rede ou a Internet. |
| Portas de origem | As portas de origem do tráfego. |
| Endereços IP de origem | Os endereços IP de origem do tráfego. |
| Destino | O destino do tráfego que pode ser uma máquina virtual, a escala da máquina virtual define instância, sub-rede, Cosmos DB, conta de armazenamento, servidor SQL ou a Internet. |
| Portos de destino | As portas de destino do tráfego. |
| Endereços IP de destino | Os endereços IP de destino do tráfego. |
| Protocolo | O protocolo do trânsito. |
Você pode criar várias intenções de análise de acessibilidade em um espaço de trabalho de verificador e executá-las em paralelo. Qualquer usuário com permissões para um determinado espaço de trabalho do verificador pode criar, exibir e excluir suas intenções de análise de acessibilidade.
Executar uma análise de acessibilidade
Depois de definir uma intenção de análise de acessibilidade, você precisa executar uma análise para receber o resultado da análise de acessibilidade. Essa análise estática verifica se vários recursos e configurações de política no escopo do gerenciador de rede preservam a acessibilidade entre a origem e o destino da intenção da análise de acessibilidade. Uma vez concluída a análise, ela produz um resultado de análise de acessibilidade.
O resultado da análise de acessibilidade é um objeto JSON que detalha se os pacotes podem chegar ao destino da intenção da análise de acessibilidade a partir de sua origem. Ele fornece detalhes sobre o caminho da conectividade, mostrando onde o tráfego foi bloqueado se a origem e o destino não puderam se conectar. Inclui informações sobre os recursos no caminho e seus metadados, independentemente do resultado da análise de acessibilidade.
No portal do Azure, esse resultado da análise de acessibilidade é visualizado para mostrar o caminho para frente da conectividade definida da intenção da análise de acessibilidade. Qualquer usuário com acesso ao espaço de trabalho do verificador pode executar uma análise de acessibilidade em qualquer intenção de análise de acessibilidade dentro desse espaço de trabalho do verificador.
Funcionalidades suportadas da análise de alcançabilidade
Quando executada, a análise de acessibilidade do verificador de rede avalia as seguintes funcionalidades:
- Regras do grupo de segurança de rede (NSG)
- Regras do grupo de segurança de aplicativo (ASG)
- Regras de administração de segurança do Azure Virtual Network Manager
- Topologia de malha do Azure Virtual Network Manager (grupo conectado)
- Peering virtual de rede
- Tabelas de rotas
- Pontos de extremidade de serviço e listas de controle de acesso
- Pontos finais privados
- WAN Virtual
- Azure Firewall (somente L4 estático)
Esta lista está sujeita a ser alargada.
Quando devo usar o verificador de rede?
O verificador de rede foi projetado para ajudá-lo a validar suas configurações e recursos de rede do Azure, garantindo que eles estejam alinhados com a acessibilidade pretendida e em conformidade com os padrões internos. Essa ferramenta se mostra particularmente útil durante as fases de design e pós-implantação de sua configuração de rede do Azure. Quando te deparas com autorizações ou bloqueios de tráfego inesperados, o verificador de rede ajuda-te a identificar a origem desses desvios do teu alcance esperado no ambiente Azure. Com seus resultados detalhados de análise de acessibilidade, o verificador de rede pode reconstruir o caminho de origem para destino tomado no plano de controle do Azure, permitindo que você rastreie onde está a configuração incorreta.
O verificador de rede pode ajudá-lo a responder a várias perguntas sobre a acessibilidade dos recursos de rede do Azure, incluindo:
- Endereço IP público da Internet de/para uma determinada máquina virtual, sub-rede ou outro recurso
- Validação de regras de segurança que impõem a negação de tráfego e ordem de avaliação, tais como regras NSG e regras de administração de segurança
- Confirmação do acesso aos recursos atrás de um ponto final privado
- Remodelação do caminho de tráfego teórico através de uma WAN virtual
Para cenários de solução de problemas mais complexos, o verificador de rede serve como um excelente ponto de partida. Os resultados da análise de acessibilidade podem guiá-lo para as próximas etapas em sua jornada de diagnóstico, direcionando-o para ferramentas especializadas em monitoramento operacional, desempenho de rede e solução de problemas de rede no nível do caminho de dados.
Limites
As limitações do verificador de rede são as seguintes:
- Uma análise de acessibilidade só pode ser executada com uma única intenção de análise de acessibilidade.
- As sub-redes selecionadas como origem e/ou destino de uma intenção de análise de acessibilidade devem ter pelo menos uma máquina virtual em execução para que um resultado de análise de acessibilidade seja fornecido.
- Os resultados da análise de acessibilidade baseiam-se na avaliação dos serviços, recursos e políticas suportados do Azure listados como funcionalidades suportadas aqui. O comportamento real do tráfego resultante de serviços não explicitamente listados acima pode variar do resultado da análise de acessibilidade.