Virtual Network Verifier のしくみ
Azure Virtual Network Manager では、Virtual Network Verifier を使用して、ネットワーク ポリシーで Azure ネットワーク リソース間のトラフィックが許可または禁止されているかどうかを確認できます。 これにより、簡単な診断の質問への回答を得て、到達可能性が期待どおりに機能しない理由をトリアージし、組織のセキュリティ コンプライアンス要件への Azure セットアップの準拠を証明することができます。 Virtual Network Verifier で到達可能性分析を実行すると、2 つの仮想マシンが相互に通信できない理由などの質問に対する回答が得られます。
重要
現在、Azure Virtual Network Manager の Virtual Network Verifier は、パブリック プレビュー段階です。
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
このパブリック プレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
Verifier ワークスペースのしくみ
Virtual Network Verifier は、Virtual Network Verifier の子リソースと機能のコンテナーとして機能する検証ツール ワークスペースと呼ばれるリソースを介して、すべてのネットワーク マネージャー インスタンスで使用できます。 ネットワーク マネージャーには 1 つ以上の検証ツール ワークスペースを含めることができ、これらの検証ツール ワークスペースは、ネットワーク マネージャー以外のユーザーに委任できます。 検証ツール ワークスペースでは、次のワークフローを使用してネットワーク データを収集および分析します。
検証ツール ワークスペースを作成する
検証ツール ワークスペースは、ネットワーク マネージャーの子リソースです。 そのアクセス許可は、ネットワーク マネージャー以外の管理者ユーザーに委任でき、Azure portal から検出できます。 検証ツール ワークスペースには、到達可能性分析意図と到達可能性分析結果の独自の子リソースが含まれており、その親ネットワーク マネージャーのスコープを境界として使用して分析を実行します。
検証ツール ワークスペース リソースを委任する
既定では、ネットワーク マネージャーへのアクセス許可を持つユーザーには、検証ツール ワークスペースの作成、削除、および拡張するためのアクセス許可があります。 検証ツール ワークスペースの親ネットワーク マネージャーに対するアクセス許可を持たないユーザーには、"共同作成者" のロールを割り当てることで、検証ツール ワークスペースのアクセス制御を通じてアクセス許可を付与できます。この方法で検証ツール ワークスペースにユーザー アクセス許可を付与しても、そのユーザーにネットワーク マネージャー インスタンスの残りの部分へのアクセス権は付与されません。
到達可能性分析意図を作成する
検証ツール ワークスペース内で、到達可能性分析意図を作成して、検証する送信元と送信先の間のトラフィック パスを定義します。 到達可能性分析意図には、次のフィールドが含まれます。
| フィールド | ** 説明 ** |
|---|---|
| ソース | 仮想マシン、サブネット、またはインターネットである可能性がある、トラフィックのソース。 |
| 送信元ポート | トラフィックのソース ポート。 |
| ソース IP アドレス | トラフィックのソース IP アドレス。 |
| 宛先 | 仮想マシン、サブネット、Cosmos DB、ストレージ アカウント、SQL サーバー、またはインターネットである可能性がある、トラフィックの宛先。 |
| 送信先ポート | トラフィックの宛先ポート。 |
| 宛先 IP アドレス | トラフィックの宛先 IP アドレス。 |
| プロトコル | トラフィックのプロトコル。 |
検証ツール ワークスペース内に複数の到達可能性分析意図を作成し、それらを並行して実行できます。 特定の検証ツール ワークスペースに対するアクセス許可を持つすべてのユーザーは、その到達可能性分析の意図を作成、表示、削除できます。
到達可能性分析を実行する
到達可能性分析の意図を定義した後、分析を実行して検証結果を取得する必要があります。 この静的分析では、ネットワーク マネージャーのスコープ内のさまざまなリソースとポリシーの構成によって、到達可能性分析意図の特定のソースと宛先の間の到達可能性が保持されているかどうかを確認します。 分析が完了すると、到達可能性分析結果が生成されます。
到達可能性分析結果は、パケットがそのソースから到達可能性分析意図の宛先に到達できるかどうかを示す JSON オブジェクトです。 接続のパスに関する詳細情報が提供され、ソースと宛先が接続できなかった場合にトラフィックがブロックされた場所が示されます。 これには、到達可能性分析の結果に関係なく、パス上のリソースとそのメタデータに関する情報が含まれます。
Azure portal では、この到達可能性分析結果が視覚化され、到達可能性分析意図の定義された接続の前方のパスが表示されます。 検証ツール ワークスペースへのアクセス権を持つユーザーは、検証ツール ワークスペース内のすべての到達可能性分析意図上で到達可能性分析を実行できます。
到達可能性分析のサポートされている機能
実行すると、到達可能性分析により、次の機能が評価されます。
- ネットワーク セキュリティ グループ (NSG) のルール
- アプリケーション セキュリティ グループ (ASG) ルール
- Azure Virtual Network Manager セキュリティ管理者ルール
- Azure Virtual Network Manager メッシュ トポロジー (接続グループ)
- 仮想ネットワーク ピアリング
- ルート テーブル
- サービス エンドポイントとアクセス制御リスト
- プライベート エンドポイント
- Virtual WAN
この一覧は拡張されることがあります。
制限
Virtual Network Verifier のパブリック プレビューでの制限事項は、次のとおりです。
- 到達可能性分析は、単一の到達可能性分析意図でのみ実行できます。
- 到達可能性分析意図のソース/宛先として選択されたサブネットには、到達可能性分析結果が提供されるために、少なくとも 1 つの仮想マシンが実行されている必要があります。
- 到達可能性分析の結果は、サポートされている機能としてここに記載されているサポートされた Azure サービス、リソース、ポリシーの評価に基づいています。 上記で明示的に示されていないサービスに起因する実際のトラフィックの動作は、到達可能性分析の結果とは異なる場合があります。