通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用虚拟网络验证程序验证资源可访问性 - Azure 门户

  • 项目

在本文中,你将了解如何使用 Azure 门户中的虚拟网络验证器根据应用的网络策略验证从 VM 到存储帐户的可访问性。 在此过程中,你将创建验证程序工作区、创建可访问性分析意向、运行可访问性分析并查看可访问性分析结果。 本文还演示了如何将验证程序工作区委托给组织中的其他用户,以便他们能够使用允许的验证程序工作区。

重要

Azure Virtual Network Manager 中的虚拟网络验证程序目前处于公共预览阶段:

  • australiaeast
  • 美国中部
  • eastus
  • eastus2
  • eastus2euap
  • northeurope
  • southcentralus
  • uksouth
  • westeurope
  • westus
  • westus2

此公共预览版在提供时没有附带服务级别协议,建议不要将其用于生产工作负载。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款

先决条件

  • Azure 订阅。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户
  • 现有的网络管理器实例。 如果没有网络管理器实例,可以按照创建虚拟网络管理器中的说明创建一个虚拟网络。
    • 验证程序工作区是网络管理器的子资源,因此必须通过网络管理器实例创建。 验证程序工作区存在后,可以通过搜索验证程序工作区,直接在 Azure 门户中加以访问。
  • 用于验证两者之间可访问性的资源。 在此示例中,使用两个虚拟机。

创建虚拟网络验证程序

在此步骤中,你会在网络管理器中创建一个验证程序工作区,以设置可访问性分析意向,进而验证虚拟机是否可以访问其他虚拟机。

  1. 在 Azure 门户中,在任务栏上的搜索框中输入网络管理器,然后选择所需的网络管理器实例。
  2. 在网络管理器实例中,导航到“验证程序工作区”窗格以新建验证程序工作区。
  3. 选择“创建”以新建验证程序工作区。
  4. 在“创建虚拟网络管理器验证程序工作区”页上,为验证程序工作区提供名称和可选说明。

创建可访问性分析意向

在此步骤中,你会在验证程序工作区中创建可访问性分析意向。 此分析意向描述要检查的流量路径是否可访问。

  1. 在创建的验证程序工作区中,直接选择“定义分析意向”,或导航到“设置”下的“可访问性分析意向”,然后选择“+ 创建”

  2. 输入或选择以下信息,然后选择“创建”以创建可访问性分析意向。

    设置
    Name 输入可访问性分析意向的名称。
    协议 选择要用于验证的流量的协议。
    源类型 选择公共 Internet虚拟机子网的数据源类型。 在此示例中,选择“虚拟机”
    Source 如果选择虚拟机作为数据源类型,请使用选择选取器从父网络管理器的范围中选择一个实例。
    源 IP 地址 输入要验证的数据源的 IPv4 或 IPv6 地址或使用 CIDR 表示法的范围。
    源端口 输入要验证的数据源的端口或范围。 若要指定任意端口,请输入“*”。
    目标类型 从以下目标类型中选择一个:公共 InternetCosmos DB存储帐户SQL Server虚拟机子网。 在此示例中,选择“虚拟机”
    目标 如果选择 Cosmos DB、存储帐户、SQL 服务器或虚拟机作为目标类型,请使用选择选取器从父网络管理器的范围中选择一个实例。
    目标 IP 地址 输入要验证的目标的 IPv4 或 IPv6 地址或使用 CIDR 表示法的范围。
    目标端口 输入要验证的目标端口或范围。 若要指定任意端口,请输入“*”。

    “创建分析意向”窗口的屏幕截图,其中包含设置和值。

  3. 重复此过程,在验证程序工作区中创建更多可访问性分析意向。

启动分析

设置可访问性分析意向后,可以启动分析。 此分析将依据当前实施的网络策略和资源,检查意向中指定的源和目标之间是否存在路径。 此分析会评估验证程序工作区父网络管理器范围内的策略和资源。

  1. 在“可访问性分析意向”下,选中要分析的可访问性分析意向旁边的复选框,然后选择“开始分析”

  2. 在“开始分析”窗格中,输入分析的名称和可选说明,然后选择“开始分析”按钮

    分析意向运行作业的“开始分析”窗口的屏幕截图。

注意

分析运行可能需要几分钟才能完成。 可以在 Azure 门户中监视分析的进度。

查看可访问性分析结果

在此步骤中,可以查看在上一步中启动的分析结果。

  1. 在验证器工作区中,选择“设置”下的“可访问性分析意向”,然后选择可访问性分析意向对应的“查看结果”。 或者,导航到“可访问性分析结果”,然后选择要查看的结果的名称

    可访问性分析意向窗口的屏幕截图,其中显示了要查看的分析意向运行情况。

  2. 在“查看分析结果”窗格中,可以查看分析的结果,包括分析的状态、流量途经的路径、遍历的资源以及结果

    “可访问性分析结果”窗口的屏幕截图,其中包含分析结果。

  3. 在“查看分析结果”窗格中的“可访问性分析结果”选项卡上,你会看到采用可视格式的结果。 可视化效果显示了流量所途经的路径和遍历的资源。

    “可访问性分析结果”窗口的屏幕截图,其中显示了分析结果的可视化效果。

  4. 在可视化效果中选择其中一个资源以查看资源详细信息。 还可以选择可视化效果中的任意一段来查看该步骤的详细信息。

    分析意向结果中网络管理器的资源详细信息的屏幕截图。

  5. 选择“JSON 输出”选项卡,查看分析结果的完整 JSON 输出。 JSON 对象的开头详细说明了结果的成果,表示所有数据包均已到达、部分数据包到达或没有数据包到达。 为每个结果和每个可访问性步骤提供了解释。

    用于可访问性分析结果的 JSON 输出的屏幕截图。

  6. 选择“关闭”以关闭分析结果

将验证程序工作区委托给其他用户

(可选)可以将验证程序工作区委托给其他用户。 通过授予其他用户访问验证程序工作区、可访问性分析意向、分析能力和可访问性分析结果的权限,从而允许其他用户使用网络验证程序的功能。 网络管理器中的每个验证程序工作区都有自己的权限,因此授予用户对一个验证程序工作区的访问权限并不会导致其访问同一网络管理器下的所有验证程序工作区。 向用户授予验证程序工作区的权限也不会让他们具有对父网络管理器的其余部分的任何访问权限。

  1. 在验证程序工作区中,选择“访问控制 (IAM)”
  2. 选择“+添加”和“添加角色分配”
  3. 在“添加角色分配”和“角色”选项卡中,选择“特权管理员角色”选项卡,然后选择“参与者”角色
  4. 选择“成员”选项卡,然后单击“+ 选择成员”,将你希望有权访问验证程序工作区的用户添加到其中
  5. 选择“查看 + 分配”。

后续步骤

什么是虚拟网络验证程序