次の方法で共有


Virtual Network Verifier を使用してリソースの到達可能性を検証する - Azure portal

この記事では、Azure portal で Virtual Network Verifier を使用して、適用されたネットワーク ポリシーに基づいて、VM からストレージ アカウントへの到達可能性を検証する方法について説明します。 プロセスの一環として、検証ツール ワークスペースを作成し、到達可能性分析意図を作成し、到達可能性分析を実行し、到達可能性分析結果を表示します。 この記事では、組織内の他のユーザーに検証ツール ワークスペースを委任して、許可された検証ツール ワークスペースを使用できるようにする方法についても説明します。

重要

現在、Azure Virtual Network Manager の Virtual Network Verifier は、パブリック プレビュー段階です。

  • australiaeast
  • centralus
  • eastus
  • eastus2
  • eastus2euap
  • northeurope
  • southcentralus
  • uksouth
  • westeurope
  • westus
  • westus2

このパブリック プレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

前提条件

  • Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
  • 既存のネットワーク マネージャー インスタンス。 ネットワーク マネージャー インスタンスがない場合は、仮想ネットワークマネージャーの作成に関する記事の手順に従って作成できます。
    • 検証ツール ワークスペースはネットワーク マネージャーの子リソースであるため、ネットワーク マネージャー インスタンスから作成する必要があります。 検証ツール ワークスペースが存在すると、検証ツール ワークスペースで検索して Azure portal から直接アクセスできます。
  • リソース間の到達可能性を検証します。 この例では、2 つの仮想マシンが使用されます。

Virtual Network Verifier を作成する

この手順では、検証ツール ワークスペースをネットワーク マネージャーに作成して、仮想マシンが他の仮想マシンに到達できるかどうかを検証するために必要な到達可能性分析意図を設定します。

  1. Azure portal で、タスク バーの検索ボックスに「ネットワーク マネージャー」と入力し、目的のネットワーク マネージャー インスタンスを選択します。
  2. ネットワーク マネージャー インスタンス内で [検証ツール ワークスペース] ウィンドウに移動して、新しい検証ツール ワークスペースを作成します。
  3. [作成] を選択して、新しい検証ツール ワークスペースを作成します。
  4. [仮想ネットワーク マネージャー検証ツール ワークスペースの作成] ページで、検証ツール ワークスペースの名前とオプションの説明を入力します。

到達可能性分析意図を作成する

この手順では、検証ツール ワークスペースに到達可能性分析意図を作成します。 この分析意図では、到達可能性を確認するトラフィック パスが記述されます。

  1. 作成した検証ツール ワークスペース内で、[分析意図を定義する] を直接選択するか、[設定] の下の [到達可能性分析意図] に移動し、[+ 作成] を選択します。

  2. 次の情報を入力または選択し、[作成] を選択して到達可能性分析意図を作成します。

    設定
    名前 到達可能性分析意図の名前を入力します。
    プロトコル 検証するトラフィックのプロトコルを選択します。
    ソースの種類 [パブリック インターネット][仮想マシン][サブネット] のいずれかのソースの種類を選択します。 この例では、[仮想マシン] を選択します。
    ソース ソースの種類として仮想マシンが選択されている場合は、選択ピッカーを使用して、親ネットワーク マネージャー スコープからインスタンスを選択します。
    ソース IP アドレス 検証するソースの CIDR 表記を使用して IPv4 または IPv6 のアドレスまたは範囲を入力します。
    ソース ポート 検証するソースのポートまたは範囲を入力します。 任意のポートを指定するには、「*」と入力します。
    送信先の種類 [パブリック インターネット][Cosmos DB][ストレージ アカウント][SQL Server][仮想マシン][サブネット] のいずれかの送信先の種類を選択します。 この例では、[仮想マシン] を選択します。
    宛先 送信先の種類として Cosmos DB、ストレージ アカウント、SQL サーバー、または仮想マシンが選択されている場合は、選択ピッカーを使用して、親ネットワーク マネージャー スコープからインスタンスを選択します。
    宛先 IP アドレス 検証する送信先の CIDR 表記を使用して IPv4 または IPv6 のアドレスまたは範囲を入力します。
    宛先ポート 検証する送信先のポートまたは範囲を入力します。 任意のポートを指定するには、「*」と入力します。

    設定と値が表示された [分析意図の作成] ウィンドウのスクリーンショット。

  3. プロセスを繰り返して、検証ツール ワークスペースにさらに到達可能性分析意図を作成します。

分析の開始

到達可能性分析意図を設定すると、分析を開始できます。 この分析では、意図で指定されたソースと送信先の間に、現在適用されているネットワーク ポリシーとリソースを考慮したパスが存在するかどうかを確認します。 この分析では、検証ツール ワークスペースの親ネットワーク マネージャーの範囲内のポリシーとリソースを評価します。

  1. 到達可能性分析意図で、分析する到達可能性分析意図の横にあるチェックボックスをオンにし、[分析の開始] を選択します。

  2. [分析の開始] ウィンドウで、分析の名前と任意の説明を入力し、[分析の開始] ボタンを選択します。

    分析意図実行ジョブ用の [分析の開始] ウィンドウのスクリーンショット。

Note

分析の実行が完了するまでに数分かかる場合があります。 Azure portal で分析の進行状況を監視できます。

到達可能性分析結果を表示する

この手順では、前の手順で開始した分析結果を表示します。

  1. 検証ツール ワークスペースで、[設定] の下の [到達可能性分析意図] を選択し、到達可能性分析意図に対応する [結果の表示] を選択します。 または、[到達可能性分析結果] に移動し、表示する結果の名前を選択します。

    表示する分析意図の実行を示す [到達可能性分析意図] ウィンドウのスクリーンショット。

  2. [分析結果の表示] ウィンドウでは、分析の状態、トラフィックが選択したパス、走査したリソース、結果など、分析の結果を表示できます。

    分析結果が表示された [到達可能性分析結果] ウィンドウのスクリーンショット。

  3. [分析結果の表示] ウィンドウの [到達可能性分析結果] タブで、結果をビジュアル形式で表示します。 視覚化により、トラフィックが選択したパスと走査したリソースが表示されます。

    分析結果の視覚化が表示された [到達可能性分析結果] ウィンドウのスクリーンショット。

  4. リソースの詳細を表示するには、視覚化のリソースを 1 つ選択します。 また、視覚化で任意の長さを選択して、その手順の詳細を表示することもできます。

    分析意図結果からのネットワーク マネージャーのリソースの詳細のスクリーンショット。

  5. [JSON 出力] タブを選択すると、分析結果の完全な JSON 出力が表示されます。 JSON オブジェクトの先頭には、すべてのパケットに到達したのか、一部のパケットに到達したのか、パケットに到達しなかったのかを示す、結果の詳細が記述されます。 各結果と各到達可能性手順に説明があります。

    到達可能性分析結果の JSON 出力のスクリーンショット。

  6. [閉じる] を選択して分析結果を閉じます。

検証ツール ワークスペースを他のユーザーに委任する

オプションで、検証ツール ワークスペースを他のユーザーに委任できます。 これにより、検証ツール ワークスペース、到達可能性分析意図、分析機能、到達可能性分析結果へのアクセス権を付与することで、他のユーザーがネットワーク検証ツールの機能を使用できるようになります。 ネットワーク マネージャー内の各検証ツール ワークスペースにはそれぞれ独自のアクセス許可があるため、ある検証ツール ワークスペースへのアクセス権をユーザーに付与しても、同じネットワーク マネージャーの下にあるすべての検証ツール ワークスペースにアクセスできるようになるわけではありません。 検証ツール ワークスペースにユーザー アクセス許可を付与しても、親ネットワーク マネージャーの残りの部分にはアクセスできません。

  1. 検証ツール ワークスペースで、[アクセス制御 (IAM)] を選択します。
  2. [+ 追加] を選択し、[ロールの割り当ての追加] を選択します。
  3. [ロールの割り当てを追加する] タブおよび [ロール] タブ内で、[特権管理者ロール] タブを選択し、[共同作成者] ロールを選択します。
  4. [メンバー] タブを選択し、[+ メンバーの選択] をクリックして検証ツール ワークスペースにアクセスさせるユーザーを追加します。
  5. [レビューと割り当て] を選択します。

次のステップ