Hoe werkt Virtual Network Verifier?
In Azure Virtual Network Manager kunt u met Virtual Network Verifier controleren of uw netwerkbeleid verkeer tussen uw Azure-netwerkbronnen toestaat of niet toestaat. Het kan u helpen om eenvoudige diagnostische vragen te beantwoorden om te bepalen waarom de bereikbaarheid niet werkt zoals verwacht en om te bewijzen dat uw Azure-installatie voldoet aan de beveiligingsnalevingsvereisten van uw organisatie. Wanneer u een bereikbaarheidsanalyse uitvoert in Virtual Network Verifier, kan deze vragen beantwoorden, zoals waarom twee virtuele machines niet met elkaar kunnen communiceren.
Belangrijk
Virtual Network Verifier in Azure Virtual Network Manager is momenteel beschikbaar als openbare preview:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- US - zuid-centraal
- uksouth
- westeurope
- westus
- westus2
Deze openbare preview-versie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
Hoe werkt Verifier Workspace?
Virtual Network Verifier is beschikbaar in elk exemplaar van netwerkbeheer via een resource die een verifier-werkruimte wordt genoemd, die fungeert als een container voor onderliggende resources en mogelijkheden van Virtual Network Verifier. Een netwerkbeheerder kan een of meer verifier-werkruimten hebben en deze verificatorwerkruimten kunnen worden gedelegeerd aan gebruikers van niet-netwerkbeheer. Een verifierwerkruimte maakt gebruik van de volgende werkstroom om netwerkgegevens te verzamelen en te analyseren.
Een verifierwerkruimte maken
Een verifier-werkruimte is een onderliggende resource van een netwerkbeheerder. De machtigingen kunnen worden gedelegeerd aan gebruikers van beheerders die geen netwerkbeheerder zijn en die kunnen worden gedetecteerd vanuit De Azure-portal. De verifier-werkruimte bevat zijn eigen onderliggende resources van intenties voor bereikbaarheidsanalyses en resultaten van de bereikanalyse en maakt gebruik van het bereik van de bovenliggende netwerkbeheerder als grens voor het uitvoeren van analyse.
Een verifier-werkruimteresource delegeren
Standaard hebben gebruikers met machtigingen voor een netwerkbeheerder machtigingen voor het maken, verwijderen en uitbreiden van machtigingen van een verifier-werkruimte. Een gebruiker die niet gemachtigd is voor de bovenliggende netwerkbeheerder van een verifier-werkruimte, kan machtigingen krijgen via het toegangsbeheer van de verifier-werkruimte door hen de rol 'Inzender' toe te wijzen. Het verlenen van een gebruikersmachtiging aan een verifier-werkruimte op deze manier geeft die gebruiker geen toegang tot de rest van het netwerkbeheerexemplaren.
Een intentie voor een bereikbaarheidsanalyse maken
In een verifier-werkruimte maakt u een intentie voor bereikbaarheidsanalyse om het verkeerspad te definiëren tussen een bron en bestemming die u wilt verifiëren. De intentie voor de bereikbaarheidsanalyse bevat de volgende velden:
| Veld | **Beschrijving** |
|---|---|
| Bron | De bron van het verkeer dat een virtuele machine, subnet of internet kan zijn. |
| Bronpoorten | De bronpoorten van het verkeer. |
| IP-bronadressen | De bron-IP-adressen van het verkeer. |
| Bestemming | Het doel van het verkeer dat een virtuele machine, subnet, Cosmos DB, opslagaccount, SQL-server of internet kan zijn. |
| Doelpoorten | De doelpoorten van het verkeer. |
| DOEL-IP-adressen | De doel-IP-adressen van het verkeer. |
| Protocol | Het protocol van het verkeer. |
U kunt meerdere intenties voor de bereikbaarheidsanalyse maken binnen een verifier-werkruimte en deze parallel uitvoeren. Elke gebruiker met machtigingen voor een bepaalde verifier-werkruimte kan intenties voor de bereikbaarheidsanalyse maken, weergeven en verwijderen.
Een bereikbaarheidsanalyse uitvoeren
Nadat u een intentie voor een bereikbaarheidsanalyse hebt gedefinieerd, moet u een analyse uitvoeren om verificatieresultaten op te halen. Met deze statische analyse wordt gecontroleerd of verschillende resources en beleidsconfiguraties in het bereik van de netwerkbeheerder de bereikbaarheid behouden tussen de opgegeven bron en het doel van de intentie van de bereikbaarheidsanalyse. Zodra de analyse is uitgevoerd, wordt het resultaat van een bereikbaarheidsanalyse gegenereerd.
Het resultaat van de bereikbaarheidsanalyse is een JSON-object dat aangeeft of pakketten het doel van de bereikbaarheidsanalyse kunnen bereiken vanuit de bron. Het bevat informatie over het pad naar connectiviteit, waarin wordt weergegeven waar verkeer is geblokkeerd als de bron en bestemming geen verbinding konden maken. Het bevat informatie over de resources op het pad en de bijbehorende metagegevens, ongeacht het resultaat van de bereikbaarheidsanalyse.
In De Azure-portal wordt dit resultaat van de bereikbaarheidsanalyse gevisualiseerd om het pad naar de door de bereikbaarheidsanalyse gedefinieerde connectiviteit weer te geven. Elke gebruiker met toegang tot de verifier-werkruimte kan een bereikanalyse uitvoeren op elke intentie van een bereikanalyse binnen die verifier-werkruimte.
Ondersteunde functies van de bereikbaarheidsanalyse
Wanneer deze wordt uitgevoerd, evalueert een bereikbaarheidsanalyse de volgende functies:
- NSG-regels (netwerkbeveiligingsgroep)
- Regels voor toepassingsbeveiligingsgroepen (ASG)
- Azure Virtual Network Manager-beveiligingsbeheerdersregels
- Mesh-topologie van Azure Virtual Network Manager (verbonden groep)
- Peering op virtueel netwerk
- Routetabellen
- Service-eindpunten en toegangsbeheerlijsten
- Privé-eindpunten
- Virtuele WAN
Deze lijst is onderhevig aan uitvouwen.
Limieten
De beperkingen in de openbare preview van Virtual Network Verifier zijn als volgt:
- Een bereikanalyse kan alleen worden uitgevoerd op één intentie van een bereikbaarheidsanalyse.
- Subnetten die zijn geselecteerd als de bron en/of het doel van een intentie van een bereikbaarheidsanalyse, moeten ten minste één actieve virtuele machine hebben om het resultaat van een bereikbaarheidsanalyse op te geven.
- Resultaten van de bereikbaarheidsanalyse zijn gebaseerd op de evaluatie van ondersteunde Azure-services, -resources en -beleidsregels die hier worden vermeld als ondersteunde functies. Het werkelijke verkeer dat het gevolg is van services die hierboven niet expliciet worden vermeld, kan variëren van het resultaat van de bereikbaarheidsanalyse.