¿Cómo funciona Comprobador de redes virtuales?
En Azure Virtual Network Manager, el Comprobador de redes virtuales le permite comprobar si sus directivas de red permiten o deniegan el tráfico entre sus recursos de red Azure. Puede ayudarle a responder preguntas de diagnóstico sencillas para determinar por qué la accesibilidad no funciona como se esperaba y demostrar la conformidad de su configuración de Azure con los requisitos de cumplimiento de seguridad de su organización. Cuando ejecuta un análisis de accesibilidad en el de redes virtuales, puede responder a preguntas como por qué dos máquinas virtuales no pueden comunicarse entre sí.
Importante
El Comprobador de redes virtuales en Azure Virtual Network Manager se encuentra actualmente en versión preliminar pública:
- australiaeast
- centralus
- estado
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Esta versión pública preliminar se proporciona sin un contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.
¿Cómo funciona el Área de trabajo del comprobador?
El Comprobador de redes virtuales está disponible en todas las instancias del administrador de red a través de un recurso denominado área de trabajo del comprobador, que actúa como contenedor de los recursos y capacidades secundarios del Comprobador de redes virtuales. Un administrador de red puede tener uno o más áreas de trabajo de comprobador y estas áreas de trabajo de comprobador pueden delegarse a usuarios que no sean administradores de red. Un área de trabajo de comprobador utiliza el siguiente flujo de trabajo para recopilar y analizar datos de red.
Crear un área de trabajo del comprobador
Un área de trabajo de verificación es un recurso secundario de un administrador de red. Sus permisos se pueden delegar a usuarios administradores que no sean administradores de red y se puede acceder a él desde Azure Portal. El área de trabajo del comprobador incluye sus propios recursos secundarios de intentos de análisis de accesibilidad y resultados de análisis de accesibilidad, y utiliza el ámbito de su administrador de red principal como límite para ejecutar el análisis.
Delegar un recurso del área de trabajo del comprobador
Por defecto, los usuarios con permisos para un administrador de red tienen permisos para crear, eliminar y ampliar los permisos de un área de trabajo del comprobador. A un usuario que no tenga permiso para el administrador de red principal de un área de trabajo de comprobación se le pueden conceder permisos a través del control de acceso del área de trabajo de comprobación asignándole el rol de "Colaborador". Conceder permiso a un usuario a un área de trabajo del comprobador de esta forma no le da acceso al resto de la instancia del administrador de red.
Creación de una intención de análisis de accesibilidad
Dentro de un área de trabajo del comprobador, se crea una intención de análisis de accesibilidad para definir la ruta de tráfico entre un origen y un destino que se desea comprobar. El intento de análisis de accesibilidad incluye los siguientes campos:
| Campo | **Descripción** |
|---|---|
| Origen | El origen del tráfico que puede ser una máquina virtual, una subred o Internet. |
| Puertos de origen | Los puertos de origen del tráfico. |
| Direcciones IP de origen | Las direcciones IP de origen del tráfico. |
| Destino | El destino del tráfico que puede ser una máquina virtual, subred, Cosmos DB, cuenta de almacenamiento, servidor SQL o Internet. |
| Puertos de destino | Los puertos de destino del tráfico. |
| Direcciones IP de destino | Las direcciones IP de destino del tráfico. |
| Protocolo | El protocolo del tráfico. |
Puede crear varios intentos de análisis de accesibilidad dentro de un área de trabajo del comprobador y ejecutarlos en paralelo. Cualquier usuario con permisos para un área de trabajo de comprobación determinada puede crear, ver y eliminar sus intentos de análisis de accesibilidad.
Realizar un análisis de accesibilidad
Tras definir una intención de análisis de accesibilidad, es necesario realizar un análisis para obtener resultados de comprobación. Este análisis estático comprueba si varios recursos y configuraciones de directivas en el ámbito del administrador de red preservan la capacidad de acceso entre el origen y el destino dados de la intención del análisis de capacidad de acceso. Una vez realizado el análisis, genera un resultado de análisis de accesibilidad.
El resultado del análisis de accesibilidad es un objeto JSON que indica si los paquetes pueden alcanzar el destino de la intención del análisis de accesibilidad desde su origen. Proporciona detalles sobre la ruta de conectividad, mostrando dónde se bloqueó el tráfico si el origen y el destino no pudieron conectarse. Incluye información sobre los recursos de la ruta y sus metadatos, independientemente del resultado del análisis de accesibilidad.
En Azure Portal, este resultado de análisis de accesibilidad se visualiza para mostrar la ruta de avance de la conectividad definida por la intención de análisis de accesibilidad. Cualquier usuario con acceso al área de trabajo del verificador puede ejecutar un análisis de accesibilidad en cualquier intento de análisis de accesibilidad dentro de ese área de trabajo del comprobador.
Características compatibles con el análisis de accesibilidad
Cuando se ejecuta, un análisis de accesibilidad evalúa las siguientes características:
- Reglas de grupos de seguridad de red (NSG)
- Reglas del grupo de seguridad de aplicaciones (ASG)
- Reglas de administración de seguridad de Azure Virtual Network Manager
- Topología de malla de Azure Virtual Network Manager (grupo conectado)
- Emparejamiento de redes virtuales
- Tablas de ruta
- Puntos de conexión de servicios y listas de control de acceso
- Puntos de conexión privados
- Red WAN virtual
Esta lista puede ampliarse.
Límites
Las limitaciones de la versión pública de Comprobador de redes virtuales son las siguientes:
- Un análisis de accesibilidad solo puede ejecutarse en un único intento de análisis de accesibilidad.
- Las subredes seleccionadas como origen y/o destino de un intento de análisis de accesibilidad deben tener al menos una máquina virtual en ejecución para que se proporcione un resultado de análisis de accesibilidad.
- Los resultados del análisis de accesibilidad se basan en la evaluación de los servicios, recursos y directivas de Azure admitidos que se enumeran aquí como funciones admitidas. El comportamiento real del tráfico resultante de servicios no enumerados explícitamente más arriba puede variar con respecto al resultado del análisis de accesibilidad.