你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
虚拟网络验证工具的工作原理是什么?
在 Azure Virtual Network Manager 中,虚拟网络验证工具支持检查网络策略是允许还是禁止 Azure 网络资源之间的流量。 它可以帮助你回答简单的诊断问题,以确定可访问性未按预期工作的原因,并证明 Azure 设置符合组织的安全合规性要求。 在虚拟网络验证工具中运行可访问性分析时,它可以回答诸如为什么两台虚拟机无法相互通信之类的问题。
重要
Azure Virtual Network Manager 中的虚拟网络验证程序目前处于公共预览阶段:
- australiaeast
- 美国中部
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
此公共预览版在提供时没有附带服务级别协议,建议不要将其用于生产工作负载。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
验证工具工作区的工作原理是什么?
虚拟网络验证工具可通过称为验证工具工作区的资源在每个网络管理器实例中使用,验证工具工作区充当虚拟网络验证工具子资源和功能的容器。 网络管理器可以拥有一个或多个验证工具工作区,这些验证工具工作区可以委托给非网络管理器用户。 验证工具工作区使用以下工作流来收集和分析网络数据。
创建验证工具工作区
验证工具工作区是网络管理器的子资源。 它的权限可以委托给非网络管理器管理员用户,并且可以通过 Azure 门户发现它。 验证工具工作区包括其自身的可访问性分析意图和可访问性分析结果子资源,并使用其父级网络管理器的范围作为运行分析的边界。
委托验证工具工作区资源
默认情况下,拥有网络管理器权限的用户有权创建、删除和扩展验证工具工作区的权限。 没有验证工具工作区父级网络管理器权限的用户可以通过验证工具工作区的访问控制获得权限,方法是向其分配“参与者”角色。以这种方式授予用户验证工具工作区的权限并不意味着该用户可以访问网络管理器实例的其他部分。
创建可访问性分析意图
在验证工具工作区内,可以创建可访问性分析意图,以定义要验证的源和目标之间的流量路径。 可访问性分析意图包括以下字段:
| 字段 | **说明 ** |
|---|---|
| Source | 流量的源(可以是虚拟机、子网或 Internet)。 |
| 源端口 | 流量的源端口。 |
| 源 IP 地址 | 流量的源 IP 地址。 |
| 目标 | 流量的目标(可以是虚拟机、子网、Cosmos DB、存储帐户、SQL Server 或 Internet)。 |
| 目标端口 | 流量的目标端口。 |
| 目标 IP 地址 | 流量的目标 IP 地址。 |
| 协议 | 流量的协议。 |
可以在验证工具工作区中创建多个可访问性分析意图,并行运行它们。 任何拥有给定验证工具工作区权限的用户都可以创建、查看和删除其可访问性分析意图。
运行可访问性分析
定义可访问性分析意图后,需要执行分析以获得验证结果。 这种静态分析会检查网络管理器范围内的各种资源和策略配置是否保留了可访问性分析意图的给定源和目标之间的可访问性。 分析完成后,它将生成可访问性分析结果。
可访问性分析结果是一个 JSON 对象,指示包是否能从源到达可访问性分析意图的目标。 它提供了连接路径的详细信息,显示了源和目标无法连接时流量受阻的位置。 它包括有关路径上资源及其元数据的信息,而不考虑可访问性分析结果如何。
在 Azure 门户中,这种可访问性分析结果经过可视化,以显示可访问性分析意图定义的连接的前向路径。 任何可以访问验证工具工作区的用户都可以对该验证工具工作区内的任何可访问性分析意图运行可访问性分析。
可访问性分析支持的功能
运行时,可访问性分析将评估以下功能:
- 网络安全组 (NSG) 规则
- 应用程序安全组 (ASG) 规则
- Azure Virtual Network Manager 安全管理规则
- Azure Virtual Network Manager 网格拓扑(已连接的组)
- 虚拟网络对等
- 路由表
- 服务终结点和访问控制列表
- 专用终结点
- 虚拟 WAN
此列表可能会扩展。
限制
虚拟网络验证工具公共预览版的限制如下:
- 可访问性分析只能针对单个可访问性分析意向运行。
- 被选为可访问性分析意图的源和/或目标的子网必须至少有一台正在运行的虚拟机,才能提供可访问性分析结果。
- 可访问性分析结果基于对此处列为支持功能的受支持 Azure 服务、资源和策略的评估。 未在上面明确列出的服务所产生的实际流量行为可能与可访问性分析结果不同。