Как работает средство проверки виртуальная сеть?
В диспетчере виртуальная сеть Azure средство проверки виртуальная сеть позволяет проверить, разрешен ли политики сети или запретить трафик между сетевыми ресурсами Azure. Это поможет вам ответить на простые диагностические вопросы, чтобы понять, почему доступность не работает должным образом и подтверждает соответствие вашей настройки Azure требованиям к соответствию безопасности вашей организации. При выполнении анализа доступности в виртуальная сеть проверки он может отвечать на такие вопросы, как почему две виртуальные машины не могут взаимодействовать друг с другом.
Внимание
средство проверки виртуальная сеть в Диспетчере виртуальная сеть Azure в настоящее время находится в общедоступной предварительной версии:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Эта общедоступная предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендуется для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
Как работает рабочая область проверяющего средства?
виртуальная сеть Средство проверки доступно в каждом экземпляре диспетчера сети с помощью ресурса, называемого рабочей областью проверяющего средства, которая выступает в качестве контейнера для дочерних ресурсов и возможностей проверяющего виртуальная сеть. Сетевой диспетчер может иметь одну или несколько рабочих областей проверки, и эти рабочие области проверки можно делегировать пользователям, не имеющим сети. Рабочая область проверяющего средства использует следующий рабочий процесс для сбора и анализа сетевых данных.
Создание рабочей области проверяющего средства
Рабочая область проверяющего — это дочерний ресурс сетевого диспетчера. Его разрешения можно делегировать пользователям администраторов, не являющихся сетевыми администраторами, и они доступны для обнаружения из портал Azure. Рабочая область проверяющего включает собственные дочерние ресурсы намерений анализа доступности и результатов анализа доступности и использует область родительского диспетчера сети в качестве границы для выполнения анализа.
Делегировать ресурс рабочей области проверяющего средства
По умолчанию пользователи с разрешениями для сетевого диспетчера имеют разрешения на создание, удаление и расширение разрешений рабочей области проверяющего объекта. Пользователю, у которому нет разрешения на родительский сетевой диспетчер рабочей области проверяющего, можно предоставить разрешения через контроль доступа проверяющей рабочей области, назначив им роль "Участник". Предоставление пользователю разрешения на рабочую область проверяющего средства таким образом не дает этому пользователю доступ к остальной части экземпляра диспетчера сети.
Создание намерения анализа доступности
В рабочей области проверяющего средства вы создадите намерение анализа доступности, чтобы определить путь трафика между источником и местом назначения, который требуется проверить. Намерение анализа доступности включает следующие поля:
| Поле | **Описание ** |
|---|---|
| Источник | Источник трафика, который может быть виртуальной машиной, подсетью или Интернетом. |
| Исходные порты | Исходные порты трафика. |
| Исходные IP-адреса | Исходные IP-адреса трафика. |
| Назначение | Назначение трафика, который может быть виртуальной машиной, подсетью, Cosmos DB, учетной записью хранения, SQL Server или Интернетом. |
| Порты назначения | Конечные порты трафика. |
| Ip-адреса назначения | Конечные IP-адреса трафика. |
| Протокол | Протокол трафика. |
Вы можете создать несколько намерений анализа доступности в рабочей области проверяющего сервера и запустить их параллельно. Любой пользователь с разрешениями для данной рабочей области проверяющего может создавать, просматривать и удалять свои намерения анализа доступности.
Выполнение анализа доступности
После определения намерения анализа доступности необходимо выполнить анализ, чтобы получить результаты проверки. Этот статический анализ проверяет, сохраняются ли различные ресурсы и конфигурации политик в области диспетчера сети между заданным источником и назначением намерения анализа доступности. После завершения анализа он создает результат анализа доступности.
Результат анализа доступности — это объект JSON, указывающий, могут ли пакеты достичь назначения намерения анализа доступности из источника. В нем содержатся сведения о пути подключения, показывающее, где был заблокирован трафик, если источник и назначение не удалось подключиться. Он содержит сведения о ресурсах пути и их метаданных независимо от результата анализа доступности.
В портал Azure этот результат анализа доступности визуализируется для отображения прямого пути к определенному подключению для анализа доступности. Любой пользователь с доступом к рабочей области проверяющего может выполнять анализ доступности для любого намерения анализа доступности в этой рабочей области проверяющего средства.
Поддерживаемые функции анализа доступности
При выполнении анализ доступности оценивает следующие функции:
- Правила группы безопасности сети (NSG)
- Правила группы безопасности приложений (ASG)
- Правила администратора безопасности Azure виртуальная сеть Manager
- Топология сетки azure виртуальная сеть Manager (подключенная группа)
- Пиринг между виртуальными сетями
- Таблицы маршрутов
- Конечные точки службы и списки управления доступом
- Частные конечные точки
- Виртуальная глобальная сеть
Этот список может быть развернут.
Ограничения
Ограничения в общедоступной предварительной версии средства проверки виртуальная сеть приведены следующим образом:
- Анализ доступности может выполняться только в одном намерении анализа доступности.
- Подсети, выбранные в качестве источника и (или) назначения намерения анализа доступности, должны иметь по крайней мере одну запущенную виртуальную машину для предоставления результата анализа доступности.
- Результаты анализа доступности основаны на оценке поддерживаемых служб Azure, ресурсов и политик, перечисленных в качестве поддерживаемых функций. Фактическое поведение трафика, полученное от служб, не перечисленных выше, может отличаться от результата анализа доступности.