Jak działa weryfikator sieci wirtualnej?
W usłudze Azure Virtual Network Manager weryfikator sieci wirtualnej umożliwia sprawdzenie, czy zasady sieciowe zezwalają na ruch między zasobami sieciowymi platformy Azure lub nie zezwalają na nie. Może to pomóc w odpowiedzi na proste pytania diagnostyczne, aby sklasyfikować, dlaczego osiągalność nie działa zgodnie z oczekiwaniami i udowodnić zgodność konfiguracji platformy Azure z wymaganiami dotyczącymi zgodności z zabezpieczeniami organizacji. Po uruchomieniu analizy dostępności w Weryfikator sieci wirtualnej może odpowiedzieć na pytania, takie jak dlaczego dwie maszyny wirtualne nie mogą komunikować się ze sobą.
Ważne
Weryfikator sieci wirtualnej w usłudze Azure Virtual Network Manager jest obecnie w publicznej wersji zapoznawczej:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Ta publiczna wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Jak działa obszar roboczy Weryfikatora?
Weryfikator sieci wirtualnej jest dostępny w każdym wystąpieniu menedżera sieci za pośrednictwem zasobu nazywanego obszarem roboczym weryfikatora, który działa jako kontener dla zasobów podrzędnych i możliwości weryfikatora sieci wirtualnej. Menedżer sieci może mieć co najmniej jeden obszar roboczy weryfikatora, a te obszary robocze weryfikatora mogą być delegowane do użytkowników nienależących do menedżera sieci. Obszar roboczy weryfikatora używa następującego przepływu pracy do zbierania i analizowania danych sieciowych.
Tworzenie obszaru roboczego weryfikatora
Obszar roboczy weryfikatora to zasób podrzędny menedżera sieci. Jego uprawnienia można delegować do użytkowników administratorów innych niż menedżer sieci i można je odnaleźć w witrynie Azure Portal. Obszar roboczy weryfikatora zawiera własne zasoby podrzędne intencji analizy osiągalności i wyniki analizy osiągalności oraz używa zakresu nadrzędnego menedżera sieci jako granicy do uruchamiania analizy.
Delegowanie zasobu obszaru roboczego weryfikatora
Domyślnie użytkownicy z uprawnieniami do menedżera sieci mają uprawnienia do tworzenia, usuwania i rozszerzania uprawnień obszaru roboczego weryfikatora. Użytkownik, który nie ma uprawnień do nadrzędnego menedżera sieci obszaru roboczego weryfikatora, może mieć uprawnienia za pośrednictwem kontroli dostępu obszaru roboczego weryfikatora, przypisując im rolę "Współautor". Udzielenie użytkownikowi uprawnień do obszaru roboczego weryfikatora w ten sposób nie daje temu użytkownikowi dostępu do pozostałej części wystąpienia menedżera sieci.
Tworzenie intencji analizy dostępności
W obszarze roboczym weryfikatora utworzysz intencję analizy dostępności, aby zdefiniować ścieżkę ruchu między źródłem a miejscem docelowym, które chcesz zweryfikować. Intencja analizy dostępności obejmuje następujące pola:
| Pole | **Opis** |
|---|---|
| Source | Źródłem ruchu, który może być maszyną wirtualną, podsiecią lub Internetem. |
| Porty źródłowe | Porty źródłowe ruchu. |
| Źródłowe adresy IP | Źródłowe adresy IP ruchu. |
| Lokalizacja docelowa | Miejsce docelowe ruchu, który może być maszyną wirtualną, podsiecią, usługą Cosmos DB, kontem magazynu, serwerem SQL lub Internetem. |
| Porty docelowe | Porty docelowe ruchu. |
| Docelowe adresy IP | Docelowe adresy IP ruchu. |
| Protokół | Protokół ruchu. |
Można utworzyć wiele intencji analizy dostępności w obszarze roboczym weryfikatora i uruchomić je równolegle. Każdy użytkownik z uprawnieniami do danego obszaru roboczego weryfikatora może tworzyć, wyświetlać i usuwać jego intencje analizy dostępności.
Uruchamianie analizy dostępności
Po zdefiniowaniu intencji analizy osiągalności należy przeprowadzić analizę, aby uzyskać wyniki weryfikacji. Ta analiza statyczna sprawdza, czy różne zasoby i konfiguracje zasad w zakresie menedżera sieci zachowują osiągalność między danym źródłem i miejscem docelowym intencji analizy dostępności. Po zakończeniu analizy tworzy wynik analizy osiągalności.
Wynik analizy dostępności jest obiektem JSON wskazującym, czy pakiety mogą dotrzeć do miejsca docelowego intencji analizy osiągalności ze źródła. Zawiera szczegółowe informacje o ścieżce łączności, pokazując, gdzie ruch został zablokowany, jeśli źródło i miejsce docelowe nie może nawiązać połączenia. Zawiera on informacje o zasobach na ścieżce i ich metadanych niezależnie od wyniku wyniku analizy osiągalności.
W witrynie Azure Portal ten wynik analizy dostępności jest wizualizowany w celu wyświetlenia ścieżki do przodu zdefiniowanej łączności intencji analizy dostępności. Każdy użytkownik z dostępem do obszaru roboczego weryfikatora może uruchomić analizę osiągalności dla dowolnej intencji analizy osiągalności w tym obszarze roboczym weryfikatora.
Obsługiwane funkcje analizy dostępności
Po uruchomieniu analiza dostępności ocenia następujące funkcje:
- Problemy dotyczące reguł sieciowej grupy zabezpieczeń (NSG)
- Reguły grupy zabezpieczeń aplikacji (ASG)
- Reguły administratora zabezpieczeń usługi Azure Virtual Network Manager
- Topologia siatki usługi Azure Virtual Network Manager (połączona grupa)
- Komunikacja równorzędna sieci wirtualnej
- Tabele tras
- Punkty końcowe usługi i listy kontroli dostępu
- Prywatne punkty końcowe
- Wirtualna sieć WAN
Ta lista jest objęta rozszerzeniem.
Limity
Ograniczenia w publicznej wersji zapoznawczej Weryfikatora sieci wirtualnej są następujące:
- Analiza osiągalności może być uruchamiana tylko w jednej intencji analizy osiągalności.
- Podsieci wybrane jako źródło i/lub miejsce docelowe intencji analizy dostępności muszą mieć co najmniej jedną uruchomioną maszynę wirtualną, aby zapewnić wynik analizy dostępności.
- Wyniki analizy dostępności są oparte na ocenie obsługiwanych usług, zasobów i zasad platformy Azure wymienionych jako obsługiwane funkcje tutaj. Rzeczywiste zachowanie ruchu wynikające z usług, które nie zostały jawnie wymienione powyżej, może różnić się od wyniku analizy dostępności.