Freigeben über

Überprüfen der Ressourcenerreichbarkeit mit der Überprüfung des virtuellen Netzwerks – Azure-Portal

  • Artikel

In diesem Artikel erfahren Sie, wie Sie den Virtual Network Verifier im Azure-Portal verwenden, um die Erreichbarkeit eines Speicherkontos von einem virtuellen Computer basierend auf Ihren angewendeten Netzwerkrichtlinien zu überprüfen. Im Rahmen des Prozesses erstellen Sie einen Verifier-Arbeitsbereich, erstellen eine Zielanalyse zur Erreichbarkeitsanalyse, führen eine Erreichbarkeitsanalyse aus und zeigen die Ergebnisse der Erreichbarkeitsanalyse an. In diesem Artikel wird auch veranschaulicht, wie Sie Verifier-Arbeitsbereiche an andere Benutzer in Ihrer Organisation delegieren können, damit sie einen zulässigen Verifier-Arbeitsbereich verwenden können.

Wichtig

Virtual Network Verifier ist derzeit als öffentliche Vorschauversion verfügbar.

  • australiaeast
  • centralus
  • eastus
  • eastus2
  • eastus2euap
  • northeurope
  • southcentralus
  • uksouth
  • westeurope
  • westus
  • westus2

Diese öffentliche Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Voraussetzungen

  • Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Eine vorhandene Netzwerkmanagerinstanz. Wenn Sie nicht über eine Netzwerkmanagerinstanz verfügen, können Sie eins erstellen, indem Sie die Anweisungen unter Erstellen eines virtuellen Netzwerkmanagers befolgen.
    • Ein Verifier-Arbeitsbereich ist eine untergeordnete Ressource eines Netzwerkmanagers, daher muss er aus einer Netzwerkmanagerinstanz erstellt werden. Sobald ein Verifier-Arbeitsbereich vorhanden ist, kann er direkt über das Azure-Portal aufgerufen werden, indem Sie nach Verifier-Arbeitsbereiche suchen.
  • Ressourcen zur Überprüfung der Erreichbarkeit. In diesem Beispiel werden zwei virtuelle Computer verwendet.

Erstellen eines Virtual Network Verifiers

In diesem Schritt erstellen Sie einen Verifier-Arbeitsbereich in Ihrem Netzwerkmanager, um die Zielbestimmung für die Erreichbarkeitsanalyse einzurichten, die erforderlich ist, um zu überprüfen, ob Ihr virtueller Computer Ihren anderen virtuellen Computer erreichen kann.

  1. Geben Sie im Azure-Portal Netzwerkmanager in das Suchfeld auf der Taskleiste ein, und wählen Sie die gewünschte Netzwerkmanager-Instanz aus.
  2. Navigieren Sie in der Netzwerkmanager-Instanz zum Bereich Verifier-Arbeitsbereich, um einen neuen Verifier-Arbeitsbereich zu erstellen.
  3. Wählen Sie Erstellen aus, um einen neuen Verifier-Arbeitsbereich zu erstellen.
  4. Geben Sie auf der Seite Verifier-Arbeitsbereich für virtuellen Netzwerkmanager erstellen einen Namen und eine optionale Beschreibung für Ihren Verifier-Arbeitsbereich an.

Erstellen einer Erreichbarkeitsanalyseabsicht

In diesem Schritt erstellen Sie eine Absicht für die Erreichbarkeitsanalyse in Ihrem Verifier-Arbeitsbereich. Diese Analyseabsicht beschreibt den Datenverkehrspfad, der auf Erreichbarkeit überprüft wird.

  1. Wählen Sie im von Ihnen erstellten Verifier-Arbeitsbereich Analyseabsicht definieren aus, oder navigieren Sie zu Erreichbarkeitsanalyseabsichten unter Einstellungen, und wählen Sie + Erstellen aus.

  2. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, und wählen Sie dann Erstellen aus, um die Absicht für die Erreichbarkeitsanalyse zu erstellen.

    Einstellung Wert
    Name Geben Sie einen Namen für die Erreichbarkeitsanalyseabsicht ein.
    Protokoll Wählen Sie das Protokoll des Datenverkehrs aus, den Sie überprüfen möchten.
    Quellentyp Wählen Sie den Quelltyp für Öffentliches Internet, Virtuelle Computer oder Subnetz aus. Wählen Sie für dieses Beispiel Virtuelle Computer aus.
    Quelle Wenn ein virtueller Computer als Quelltyp ausgewählt ist, verwenden Sie die Auswahl, um eine Instanz aus dem Bereich des übergeordneten Netzwerkmanagers auszuwählen.
    Quell-IP-Adresse Geben Sie eine IPv4- oder IPv6-Adresse oder einen Bereich der zu überprüfenden Quelle in CIDR-Notation ein.
    Quellport Geben Sie einen Port oder einen Bereich der zu überprüfenden Quelle ein. Um einen beliebigen Anschluss anzugeben, geben Sie * ein.
    Zieltyp Wählen Sie als Zieltyp Öffentliches Internet, Cosmos DB, Speicherkonto, SQL Server, Virtueller Computer oder Subnetz aus. Wählen Sie für dieses Beispiel Virtuelle Computer aus.
    Ziel Wenn eine Cosmos DB, ein Speicherkonto, ein SQL-Server oder ein virtueller Computer als Zieltyp ausgewählt ist, verwenden Sie die Auswahl, um eine Instanz aus dem Bereich des übergeordneten Netzwerkmanagers auszuwählen.
    Ziel-IP-Adresse Geben Sie eine IPv4- oder IPv6-Adresse oder einen Bereich des zu überprüfenden Ziels in CIDR-Notation ein.
    Zielport Geben Sie einen Port oder einen Bereich des zu überprüfenden Ziels ein. Um einen beliebigen Anschluss anzugeben, geben Sie * ein.

    Screenshot: Fenster „Analyseabsicht erstellen“ mit Einstellungen und Werten.

  3. Wiederholen Sie den Prozess, um im Verifier-Arbeitsbereich mehr Erreichbarkeitsanalyseabsichten zu erstellen.

Starten einer Analyse

Nachdem Sie eine Absicht für die Erreichbarkeitsanalyse eingerichtet haben, können Sie eine Analyse initiieren. Diese Analyse überprüft, ob ein Pfad zwischen der in der Absicht angegebenen Quelle und dem Ziel vorhanden ist, wobei die Netzwerkrichtlinien und Ressourcen berücksichtigt werden, die derzeit vorhanden sind. Diese Analyse wertet Richtlinien und Ressourcen im Rahmen des übergeordneten Netzwerkmanagers des Verifier-Arbeitsbereichs aus.

  1. Aktivieren Sie unter Erreichbarkeitsanalyseabsicht das Kontrollkästchen neben der Erreichbarkeitsanalyseabsicht, die Sie analysieren möchten, und wählen Sie Analyse starten aus.

  2. Geben Sie im Bereich Analyse starten einen Namen und eine optionale Beschreibung für die Analyse ein, und wählen Sie dann die Schaltfläche Analyse starten aus.

    Screenshot: Fenster „Analyse starten“ für die Ausführung des Analyseabsichtsjobs.

Hinweis

Diese Analyseausführung kann einige Minuten dauern. Sie können den Fortschritt der Analyse im Azure-Portal überwachen:

Anzeigen der Ergebnisse der Erreichbarkeitsanalyse

In diesem Schritt zeigen Sie die Ergebnisse der Analyse an, die Sie im vorherigen Schritt begonnen haben.

  1. Wählen Sie im Verifier-Arbeitsbereich Erreichbarkeitsanalyseabsicht unter Einstellungen aus, und wählen Sie Ergebnisse anzeigen für Ihre Erreichbarkeitsanalyseabsicht aus. Navigieren Sie alternativ zu Ergebnisse der Erreichbarkeitsanalyse, und wählen Sie den Namen des Ergebnisses aus, das Sie anzeigen möchten.

    Screenshot: Fenster „Erreichbarkeitsanalyseabsicht“ mit der anzuzeigenden Ausführung der Analyseabsicht.

  2. Im Bereich Analyseergebnisse anzeigen können Sie die Ergebnisse der Analyse anzeigen, einschließlich des Status der Analyse, des vom Datenverkehr genommenen Pfads, der durchlaufenen Ressourcen und des Ergebnisses.

    Screenshot: Fenster „Ergebnisse der Erreichbarkeitsanalyse“ mit Analyseergebnissen.

  3. Auf der Registerkarte Ergebnisse der Erreichbarkeitsanalse im Bereich Analyseergebnisse anzeigen werden die Ergebnisse in einem visuellen Format angezeigt. Die Visualisierung zeigt den Pfad des Datenverkehrs und der durchlaufenen Ressourcen.

    Screenshot: Fenster „Ergebnisse der Erreichbarkeitsanalyse“ mit einer Visualisierung der Analyseergebnissen.

  4. Wählen Sie eine der Ressourcen in der Visualisierung aus, um die Ressourcendetails anzuzeigen. Sie können auch eine der Längen in der Visualisierung auswählen, um Details zu diesem Schritt anzuzeigen.

    Screenshot: Ressourcendetails für Netzwerkmanager aus Ergebnisse der Analyseabsicht.

  5. Wählen Sie die Registerkarte JSON-Ausgabe aus, um die vollständige JSON-Ausgabe des Analyseergebnisses anzuzeigen. Der Anfang des JSON-Objekts gibt das Ergebnis an, das anzeigt, ob alle Pakete, einige Pakete oder keine Pakete erreicht wurden. Für jedes Ergebnis und jeden Erreichbarkeitsschritt werden Erläuterungen bereitgestellt.

    Screenshot: JSON-Ausgabe für Ergebnisse der Erreichbarkeitsanalyse.

  6. Wählen Sie Schließen aus, um die Analyseergebnisse zu schließen.

Delegieren eines Verifier-Arbeitsbereichs an andere Benutzer

Optional können Sie einen Verifier-Arbeitsbereich an andere Benutzer delegieren. Auf diese Weise können andere Benutzer die Funktion eines Network Verifiers verwenden, indem sie Ihnen Zugriff auf den Verifier-Arbeitsbereich, die Erreichbarkeitsanalyseabsichten, die Analysefähigkeit und die Ergebnisse der Erreichbarkeitsanalyse gewähren. Jeder Verifier-Arbeitsbereich in einem Netzwerkmanager verfügt über eigene Berechtigungen, sodass das Gewähren des Benutzerzugriffs auf einen Verifier-Arbeitsbereich nicht zu allen Verifier-Arbeitsbereichen unter demselben Netzwerkmanager führt. Das Gewähren einer Benutzerberechtigung für einen Verifier-Arbeitsbereich führt auch nicht zu einem Zugriff auf den Rest des übergeordneten Netzwerkmanagers.

  1. Wählen Sie im Verifier-Arbeitsbereich Zugriffssteuerung (IAM) aus.
  2. Wählen Sie +Hinzufügen und dann Rollenzuweisung hinzufügen aus.
  3. Wählen Sie in Rollenzuweisung hinzufügen und auf der Registerkarte Rolle die Registerkarte Privilegierte Administratorrollen und dann die Rolle Mitwirkender aus.
  4. Wählen Sie die Registerkarte Mitglieder aus, und fügen Sie die Benutzer hinzu, denen Sie Zugriff auf den Verifier-Arbeitsbereich gewähren möchten, indem Sie auf + Mitglieder auswählen klicken.
  5. Wählen Sie Überprüfen und zuweisen aus.

Nächste Schritte

Was ist der Virtual Network Verifier?