Come funziona Verifica rete virtuale?
In Gestione rete virtuale di Azure, Verifica rete virtuale consente di verificare se i criteri di rete consentono o non consentono il traffico tra le risorse di rete di Azure. Può aiutare a rispondere a semplici domande di diagnostica per valutare il motivo per cui la raggiungibilità non funziona come previsto e dimostrare la conformità della configurazione di Azure ai requisiti di conformità della sicurezza dell'organizzazione. Quando si esegue un'analisi della raggiungibilità in Verifica rete virtuale, può rispondere a domande come il motivo per cui due macchine virtuali non possono comunicare tra loro.
Importante
Verifica rete virtuale in Gestione rete virtuale di Azure è attualmente in anteprima pubblica:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- Stati Uniti centro-meridionali
- uksouth
- westeurope
- westus
- westus2
Questa versione di anteprima pubblica viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Come funziona l'area di lavoro di verifica?
Verifica rete virtuale è disponibile in ogni istanza di Gestione rete tramite una risorsa denominata area di lavoro di verifica, che funge da contenitore per le risorse e le funzionalità figlio di Verifica rete virtuale. Una risorsa gestione rete può avere una o più aree di lavoro di verifica e queste aree di lavoro di verifica possono essere delegate agli utenti non di gestione rete. Un'area di lavoro di verifica usa il flusso di lavoro seguente per raccogliere e analizzare i dati di rete.
Creare un'area di lavoro di verifica
Un'area di lavoro di verifica è una risorsa figlio di gestione rete. Le autorizzazioni possono essere delegate agli utenti amministratori non di gestione rete ed è individuabile dal portale di Azure. L'area di lavoro di verifica include le proprie risorse figlio di finalità di analisi della raggiungibilità e i risultati dell'analisi della raggiungibilità e usa l'ambito di gestione rete padre come limite per eseguire l'analisi.
Delegare una risorsa area di lavoro di verifica
Per impostazione predefinita, gli utenti con autorizzazioni di gestione rete dispongono delle autorizzazioni per creare, eliminare ed estendere le autorizzazioni di un'area di lavoro di verifica. A un utente che non dispone dell'autorizzazione di gestione rete padre di un'area di lavoro di verifica possono essere concesse le autorizzazioni tramite il controllo di accesso dell'area di lavoro di verifica assegnandogli il ruolo di "Collaboratore". La concessione di un'autorizzazione utente a un'area di lavoro di verifica in questo modo non concede l'accesso alla parte rimanente dell'istanza di gestione rete.
Creare una finalità di analisi della raggiungibilità
All'interno di un'area di lavoro di verifica si crea una finalità di analisi della raggiungibilità per definire il percorso del traffico tra un'origine e una destinazione da verificare. La finalità di analisi della raggiungibilità include i campi seguenti:
| Campo | **Descrizione** |
|---|---|
| Origine | Origine del traffico che può essere una macchina virtuale, una subnet o Internet. |
| Porte di origine | Porte di origine del traffico. |
| Indirizzi IP di origine | Indirizzi IP di origine del traffico. |
| Destinazione | Destinazione del traffico che può essere una macchina virtuale, una subnet, Cosmos DB, un account di archiviazione, SQL Server o Internet. |
| Porte di destinazione | Porte di destinazione del traffico. |
| Indirizzi IP di destinazione | Indirizzi IP di destinazione del traffico. |
| Protocollo | Protocollo del traffico. |
È possibile creare più finalità di analisi della raggiungibilità all'interno di un'area di lavoro di verifica ed eseguirle in parallelo. Qualsiasi utente con autorizzazioni per una determinata area di lavoro di verifica può creare, visualizzare ed eliminare le finalità di analisi della raggiungibilità.
Eseguire un'analisi della raggiungibilità
Dopo aver definito una finalità di analisi della raggiungibilità, è necessario eseguire un'analisi per ottenere i risultati della verifica. Questa analisi statica verifica se varie risorse e configurazioni dei criteri nell'ambito di gestione rete mantengono la raggiungibilità tra l'origine e la destinazione specificate della finalità di analisi della raggiungibilità. Al termine dell'analisi, viene generato un risultato di analisi della raggiungibilità.
Il risultato dell'analisi della raggiungibilità è un oggetto JSON che indica se i pacchetti possono raggiungere la destinazione dell'analisi della raggiungibilità dalla relativa origine. Fornisce informazioni dettagliate sul percorso della connettività, che mostra il punto in cui il traffico è stato bloccato se l'origine e la destinazione non sono riuscite a connettersi. Include informazioni sulle risorse nel percorso e sui relativi metadati indipendentemente dal risultato dell'analisi della raggiungibilità.
Nel portale di Azure questo risultato dell'analisi della raggiungibilità viene visualizzato per mostrare il percorso di trasferimento della connettività definita dall'intento di analisi della raggiungibilità. Qualsiasi utente con accesso all'area di lavoro di verifica può eseguire un'analisi della raggiungibilità per qualunque finalità di analisi della raggiungibilità all'interno dell'area di lavoro di verifica.
Funzionalità supportate dell'analisi della raggiungibilità
Quando viene eseguita, un'analisi della raggiungibilità valuta le funzionalità seguenti:
- Regole relative al gruppo di sicurezza di rete
- Regole del gruppo di sicurezza delle applicazioni
- Regole di amministrazione della sicurezza di Gestione rete virtuale di Azure
- Topologia mesh di Gestione rete virtuale di Azure (gruppo connesso)
- Peering di reti virtuali
- Tabelle di route
- Endpoint servizio ed elenchi di controllo di accesso
- Endpoint privati
- Rete WAN virtuale
L'elenco è soggetto a espansione.
Limiti
Le limitazioni nell'anteprima pubblica di Gestione rete virtuale sono le seguenti:
- Un'analisi della raggiungibilità può essere eseguita solo su una singola finalità di analisi della raggiungibilità.
- Nelle subnet selezionate come origine e/o destinazione di una finalità di analisi della raggiungibilità deve essere presente almeno una macchina virtuale in esecuzione per fornire un risultato di analisi della raggiungibilità.
- I risultati dell'analisi della raggiungibilità sono basati sulla valutazione dei servizi, delle risorse e dei criteri di Azure elencati come funzionalità supportate qui. Il comportamento effettivo del traffico risultante dai servizi non elencati in modo esplicito in precedenza può variare dal risultato dell'analisi della raggiungibilità.