Dela via


Hur fungerar virtuell nätverksverifierare?

I Azure Virtual Network Manager kan du kontrollera om dina nätverksprinciper tillåter eller inte tillåter trafik mellan dina Azure-nätverksresurser. Det kan hjälpa dig att besvara enkla diagnostikfrågor för att bedöma varför nåbarhet inte fungerar som förväntat och visa att din Azure-konfiguration överensstämmer med organisationens krav på säkerhetsefterlevnad. När du kör en nåbarhetsanalys i Virtual Network Verifier kan den besvara frågor som varför två virtuella datorer inte kan kommunicera med varandra.

Viktigt!

Virtual Network Verifier i Azure Virtual Network Manager är för närvarande i offentlig förhandsversion:

  • australiaeast
  • centralus
  • eastus
  • eastus2
  • eastus2euap
  • northeurope
  • USA, södra centrala
  • uksouth
  • Europa, västra
  • westus
  • westus2

Den här offentliga förhandsversionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Hur fungerar verifierararbetsytan?

Virtuell nätverksverifierare är tillgänglig i varje instans av nätverkshanteraren via en resurs som kallas en verifierararbetsyta, som fungerar som en container för virtuella nätverksverifierares underordnade resurser och funktioner. En nätverkshanterare kan ha en eller flera verifierararbetsytor och dessa verifierararbetsytor kan delegeras till användare som inte är nätverkshanterare. En verifierararbetsyta använder följande arbetsflöde för att samla in och analysera nätverksdata.

Skapa en kontrollantarbetsyta

En kontrollantarbetsyta är en underordnad resurs för en nätverkshanterare. Dess behörigheter kan delegeras till administratörsanvändare som inte är nätverkshanterare och kan identifieras från Azure Portal. Kontrollatorns arbetsyta innehåller sina egna underordnade resurser för avsikterna för nåbarhetsanalys och resultat av nåbarhetsanalys, och den använder sin överordnade nätverkshanterares omfång som gräns för att köra analys.

Delegera en verifierararbetsytaresurs

Som standard har användare med behörighet till en nätverkshanterare behörighet att skapa, ta bort och utöka behörigheter för en kontrollantarbetsyta. En användare som inte har behörighet till en kontrollantarbetsytas överordnade nätverkshanterare kan beviljas behörigheter via kontrollantarbetsytans åtkomstkontroll genom att tilldela dem rollen "Deltagare". Att ge en användare behörighet till en kontrollantarbetsyta på det här sättet ger inte användaren åtkomst till resten av nätverkshanterarens instans.

Skapa en avsikt för nåbarhetsanalys

I en kontrollantarbetsyta skapar du en avsikt för nåbarhetsanalys för att definiera trafiksökvägen mellan en källa och ett mål som du vill verifiera. Avsikten för nåbarhetsanalys innehåller följande fält:

Fält **Beskrivning**
Source Källan till den trafik som kan vara en virtuell dator, ett undernät eller internet.
Källportar Källportarna för trafiken.
Källans IP-adresser Källans IP-adresser för trafiken.
Mål Målet för den trafik som kan vara en virtuell dator, undernät, Cosmos DB, lagringskonto, SQL-server eller Internet.
Målportar Målportarna för trafiken.
Mål-IP-adresser Mål-IP-adresserna för trafiken.
Protokoll Protokollet för trafiken.

Du kan skapa flera avsikter för nåbarhetsanalys i en kontrollantarbetsyta och köra dem parallellt. Alla användare med behörighet till en viss kontrollantarbetsyta kan skapa, visa och ta bort sina avsikter för nåbarhetsanalys.

Köra en nåbarhetsanalys

När du har definierat en avsikt för nåbarhetsanalys måste du utföra en analys för att få verifieringsresultat. Den här statiska analysen kontrollerar om olika resurser och principkonfigurationer i nätverkshanterarens omfång bevarar nåbarheten mellan den angivna källan och målet för avsikten för nåbarhetsanalys. När analysen är klar genererar den ett resultat av nåbarhetsanalysen.

Resultatet av nåbarhetsanalysen är ett JSON-objekt som anger om paket kan nå mål för nåbarhetsanalysen från källan. Den innehåller information om anslutningssökvägen som visar var trafiken blockerades om källan och målet inte kunde ansluta. Den innehåller information om resurserna på sökvägen och deras metadata oavsett resultatet av nåbarhetsanalysen.

I Azure Portal visualiseras det här resultatet av nåbarhetsanalysen för att visa den framåtriktade sökvägen för avsikten för nåbarhetsanalysens definierade anslutning. Alla användare med åtkomst till kontrollantarbetsytan kan köra en nåbarhetsanalys på alla avsikter för nåbarhetsanalys inom den verifierarens arbetsyta.

Funktioner som stöds i nåbarhetsanalysen

Vid körning utvärderar en nåbarhetsanalys följande funktioner:

  • Regler för nätverkssäkerhetsgrupper (NSG)
  • Regler för programsäkerhetsgrupp (ASG)
  • Säkerhetsadministratörsregler för Azure Virtual Network Manager
  • Azure Virtual Network Manager-nättopologi (ansluten grupp)
  • Virtuell nätverkspeering
  • Routningstabeller
  • Tjänstslutpunkter och åtkomstkontrollistor
  • Privata slutpunkter
  • Virtuellt WAN

Listan kan utökas.

Gränser

Begränsningarna i den offentliga förhandsversionen av Virtual Network Verifier är följande:

  • En nåbarhetsanalys kan bara köras på en enda avsikt för nåbarhetsanalys.
  • Undernät som valts som källa och/eller mål för en avsikt för nåbarhetsanalys måste ha minst en virtuell dator som körs för att ett resultat för nåbarhetsanalys ska kunna tillhandahållas.
  • Resultat av nåbarhetsanalys baseras på utvärderingen av Azure-tjänster, resurser och principer som stöds här. Det faktiska trafikbeteendet till följd av tjänster som inte uttryckligen anges ovan kan variera från resultatet av nåbarhetsanalysen.

Nästa steg