Jak funguje ověřitel virtuální sítě?
Ve Správci virtuálních sítí Azure vám nástroj Virtual Network Verifier umožňuje zkontrolovat, jestli zásady sítě povolují nebo nepovolují provoz mezi síťovými prostředky Azure. Pomůže vám zodpovědět jednoduché diagnostické otázky, abyste mohli určit, proč dostupnost nefunguje podle očekávání, a prokázat soulad nastavení Azure s požadavky vaší organizace na dodržování předpisů zabezpečení. Když spustíte analýzu dostupnosti ve službě Virtual Network Verifier, může odpovídat na otázky, jako je třeba důvod, proč spolu dva virtuální počítače nemůžou vzájemně komunikovat.
Důležité
Ověřovatel virtuálních sítí ve službě Azure Virtual Network Manager je aktuálně ve verzi Public Preview:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- Střed USA – jih
- uksouth
- westeurope
- westus
- westus2
Tato verze Public Preview je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Jak funguje pracovní prostor Verifier?
Nástroj Virtual Network Verifier je k dispozici v každé instanci správce sítě prostřednictvím prostředku označovaného jako ověřovatel pracovního prostoru, který funguje jako kontejner pro podřízené prostředky a možnosti ověřovatele virtuální sítě. Správce sítě může mít jeden nebo více kontrolních pracovních prostorů a tyto pracovní prostory ověřovatele je možné delegovat uživatelům, kteří nejsou správci sítě. Pracovní prostor ověřovatele používá následující pracovní postup ke shromažďování a analýze síťových dat.
Vytvoření ověřitele pracovního prostoru
Pracovní prostor pro ověření je podřízeným prostředkem správce sítě. Jeho oprávnění je možné delegovat uživatelům, kteří nejsou správci správce sítě, a je zjistitelná na webu Azure Portal. Pracovní prostor ověřovatele zahrnuje vlastní podřízené prostředky záměrů analýzy dostupnosti a výsledků analýzy dostupnosti a jako hranici ke spuštění analýzy používá obor nadřazeného správce sítě.
Delegování prostředku ověřitele pracovního prostoru
Ve výchozím nastavení mají uživatelé s oprávněními správce sítě oprávnění k vytváření, odstraňování a rozšiřování oprávnění ověřovatele pracovního prostoru. Uživateli, který nemá oprávnění k nadřazené správci sítě ověřovatele pracovního prostoru, může mít udělená oprávnění prostřednictvím řízení přístupu pracovního prostoru ověřovatele tím, že mu přiřadíte roli Přispěvatel. Udělení oprávnění uživatele k ověřiteli pracovního prostoru tímto způsobem neuděluje uživateli přístup ke zbytku instance správce sítě.
Vytvoření záměru analýzy dostupnosti
V rámci ověřovatele pracovního prostoru vytvoříte záměr analýzy dostupnosti, který definuje cestu provozu mezi zdrojem a cílem, který chcete ověřit. Záměr analýzy dostupnosti zahrnuje následující pole:
| Pole | **Popis** |
|---|---|
| Source | Zdrojem provozu, který může být virtuální počítač, podsíť nebo internet. |
| Zdrojové porty | Zdrojové porty provozu. |
| Zdrojové IP adresy | Zdrojové IP adresy provozu. |
| Cíl | Cílem provozu, který může být virtuální počítač, podsíť, Cosmos DB, účet úložiště, SQL server nebo internet. |
| Cílové porty | Cílové porty provozu. |
| Cílové IP adresy | Cílové IP adresy provozu. |
| Protokol | Protokol provozu. |
V rámci ověřitele pracovního prostoru můžete vytvořit několik záměrů analýzy dostupnosti a spustit je paralelně. Každý uživatel s oprávněními k danému ověřovateli může vytvářet, zobrazovat a odstraňovat záměry analýzy dostupnosti.
Spuštění analýzy dostupnosti
Po definování záměru analýzy dostupnosti je potřeba provést analýzu, abyste získali výsledky ověření. Tato statická analýza kontroluje, jestli různé prostředky a konfigurace zásad v oboru správce sítě zachovávají dostupnost mezi daným zdrojem a cílem záměru analýzy dostupnosti. Jakmile se analýza dokončí, vytvoří výsledek analýzy dostupnosti.
Výsledek analýzy dostupnosti je objekt JSON, který označuje, jestli pakety mohou dosáhnout cíle záměru analýzy dostupnosti z jeho zdroje. Poskytuje podrobnosti o cestě připojení, kde se provoz zablokoval, pokud se zdroj a cíl nemohl připojit. Obsahuje informace o prostředcích na cestě a jejich metadatech bez ohledu na výsledek analýzy dostupnosti.
Na webu Azure Portal se tento výsledek analýzy dostupnosti vizualizuje, aby se zobrazila cesta vpřed definovaného připojení záměru analýzy dostupnosti. Každý uživatel s přístupem k ověřiteli pracovního prostoru může spustit analýzu dostupnosti pro jakýkoli záměr analýzy dostupnosti v rámci tohoto ověřitele pracovního prostoru.
Podporované funkce analýzy dostupnosti
Při spuštění analýza dostupnosti vyhodnocuje následující funkce:
- Pravidla skupin zabezpečení sítě (NSG)
- Pravidla skupin zabezpečení aplikací (ASG)
- Pravidla správy zabezpečení azure Virtual Network Manageru
- Topologie sítě Azure Virtual Network Manageru (připojená skupina)
- Peering virtuálních sítí
- Směrovací tabulky
- Koncové body služby a seznamy řízení přístupu
- Privátní koncové body
- Virtuální síť WAN
Tento seznam se může rozbalit.
Omezení
Omezení ve verzi Public Preview služby Virtual Network Verifier jsou následující:
- Analýzu dostupnosti je možné spustit pouze v jednom záměru analýzy dostupnosti.
- Podsítě vybrané jako zdroj nebo cíl záměru analýzy dostupnosti musí mít alespoň jeden spuštěný virtuální počítač, aby bylo možné poskytnout výsledek analýzy dostupnosti.
- Výsledky analýzy dostupnosti jsou založené na vyhodnocení podporovaných služeb, prostředků a zásad Azure uvedených jako podporované funkce. Skutečné chování provozu vyplývající ze služeb, které nejsou explicitně uvedené výše, se může lišit od výsledku analýzy dostupnosti.