Como funciona o Virtual Network Verifier?
No Gerenciador de Rede Virtual do Azure, o Verificador de Rede Virtual permite verificar se suas políticas de rede permitem ou não o tráfego entre seus recursos de rede do Azure. Ele pode ajudá-lo a responder a perguntas de diagnóstico simples para triar por que a acessibilidade não está funcionando como esperado e provar a conformidade da sua configuração do Azure com os requisitos de conformidade de segurança da sua organização. Quando você executa uma análise de acessibilidade no Verificador de Rede Virtual, ela pode responder a perguntas como por que duas máquinas virtuais não podem se comunicar entre si.
Importante
O Verificador de Rede Virtual no Azure Virtual Network Manager está atualmente em pré-visualização pública:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- E.U.A Centro-Sul
- uksouth
- westeurope
- westus
- westus2
Esta versão de visualização pública é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
Como funciona o Verifier Workspace?
O Verificador de Rede Virtual está disponível em todas as instâncias do gerenciador de rede por meio de um recurso chamado espaço de trabalho do verificador, que atua como um contêiner para os recursos e recursos filhos do Verificador de Rede Virtual. Um gerenciador de rede pode ter um ou mais espaços de trabalho de verificador e esses espaços de trabalho de verificador podem ser delegados a usuários que não são do gerenciador de rede. Um espaço de trabalho de verificador usa o fluxo de trabalho a seguir para coletar e analisar dados de rede.
Criar um espaço de trabalho do verificador
Um espaço de trabalho de verificador é um recurso filho de um gerenciador de rede. Suas permissões podem ser delegadas a usuários administradores que não são do gerenciador de rede e podem ser descobertas no portal do Azure. O espaço de trabalho do verificador inclui seus próprios recursos filhos de intenções de análise de acessibilidade e resultados de análise de acessibilidade, e usa o escopo do gerente de rede pai como o limite para executar a análise.
Delegar um recurso de espaço de trabalho do verificador
Por padrão, os usuários com permissões para um gerenciador de rede têm permissões para criar, excluir e estender permissões de um espaço de trabalho de verificador. Um usuário que não tem permissão para o gerente de rede pai de um espaço de trabalho verificador pode receber permissões por meio do controle de acesso do espaço de trabalho do verificador, atribuindo-lhe a função de "Colaborador". Conceder uma permissão de usuário a um espaço de trabalho de verificador dessa maneira não dá a esse usuário acesso ao restante da instância do gerenciador de rede.
Criar uma intenção de análise de acessibilidade
Em um espaço de trabalho de verificação, você cria uma análise de acessibilidade com a intenção de definir o caminho de tráfego entre uma origem e um destino que deseja verificar. A intenção da análise de acessibilidade inclui os seguintes campos:
| Campo | **Descrição ** |
|---|---|
| Source | A origem do tráfego que pode ser uma máquina virtual, uma sub-rede ou a Internet. |
| Portas de origem | As portas de origem do tráfego. |
| Endereços IP de origem | Os endereços IP de origem do tráfego. |
| Destino | O destino do tráfego que pode ser uma máquina virtual, sub-rede, Cosmos DB, conta de armazenamento, servidor SQL ou a Internet. |
| Portos de destino | As portas de destino do tráfego. |
| Endereços IP de destino | Os endereços IP de destino do tráfego. |
| Protocolo | O protocolo do trânsito. |
Você pode criar várias intenções de análise de acessibilidade em um espaço de trabalho de verificador e executá-las em paralelo. Qualquer usuário com permissões para um determinado espaço de trabalho do verificador pode criar, exibir e excluir suas intenções de análise de acessibilidade.
Executar uma análise de acessibilidade
Depois de definir uma intenção de análise de acessibilidade, você precisa realizar uma análise para obter os resultados da verificação. Essa análise estática verifica se vários recursos e configurações de política no escopo do gerenciador de rede preservam a acessibilidade entre a origem e o destino da intenção da análise de acessibilidade. Uma vez feita a análise, ela produz um resultado de análise de acessibilidade.
O resultado da análise de acessibilidade é um objeto JSON que indica se os pacotes podem chegar ao destino da intenção da análise de acessibilidade a partir de sua origem. Ele fornece detalhes sobre o caminho da conectividade, mostrando onde o tráfego foi bloqueado se a origem e o destino não puderam se conectar. Inclui informações sobre os recursos no caminho e seus metadados, independentemente do resultado da análise de acessibilidade.
No portal do Azure, esse resultado da análise de acessibilidade é visualizado para mostrar o caminho para frente da conectividade definida da intenção da análise de acessibilidade. Qualquer usuário com acesso ao espaço de trabalho do verificador pode executar uma análise de acessibilidade em qualquer intenção de análise de acessibilidade dentro desse espaço de trabalho do verificador.
Recursos suportados da análise de acessibilidade
Quando executada, uma análise de acessibilidade avalia os seguintes recursos:
- Regras do grupo de segurança de rede (NSG)
- Regras do grupo de segurança de aplicativo (ASG)
- Regras de administração de segurança do Azure Virtual Network Manager
- Topologia de malha do Azure Virtual Network Manager (grupo conectado)
- Peering de rede virtual
- Tabelas de rotas
- Pontos de extremidade de serviço e listas de controle de acesso
- Pontos finais privados
- WAN Virtual
Esta lista está sujeita a ser alargada.
Limites
As limitações na visualização pública do Virtual Network Verifier são as seguintes:
- Uma análise de acessibilidade só pode ser executada com uma única intenção de análise de acessibilidade.
- As sub-redes selecionadas como origem e/ou destino de uma intenção de análise de acessibilidade devem ter pelo menos uma máquina virtual em execução para que um resultado de análise de acessibilidade seja fornecido.
- Os resultados da análise de acessibilidade baseiam-se na avaliação dos serviços, recursos e políticas suportados do Azure listados como funcionalidades suportadas aqui. O comportamento real do tráfego resultante de serviços não explicitamente listados acima pode variar do resultado da análise de acessibilidade.