虛擬網路驗證器如何運作?
在 Azure Virtual Network Manager 中,虛擬網路驗證器可讓您檢查您的網路原則是否允許 Azure 網路資源之間的流量。 其可協助您回答簡單的診斷問題,以分級連線能力無法如預期般運作的原因,並證明 Azure 設定符合貴組織的安全性合規性需求。 當您在虛擬網路驗證器中執行連線能力分析時,其可以回答問題,例如為什麼兩部虛擬機器無法彼此通訊。
重要
Azure Virtual Network Manager 中的虛擬網路驗證器目前處於公開預覽狀態:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
此公開預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
驗證器工作區如何運作?
虛擬網路驗證器可透過稱為驗證器工作區的資源在每個網路管理員執行個體中使用,其可做為虛擬網路驗證器子資源和功能的容器。 網路管理員可以有一或多個驗證器工作區,且這些驗證器工作區可以委派給非網路管理員使用者。 驗證器工作區會使用下列工作流程來收集並分析網路資料。
建立驗證器工作區
驗證器工作區是網路管理員的子資源。 其權限可以委派給非網路管理員系統管理員使用者,且可從 Azure 入口網站進行探索。 驗證器工作區包含自己的子資源,包括連線能力分析意圖和連線能力分析結果,並使用其上層網路管理員的範圍做為執行分析的界限。
委派驗證器工作區資源
根據預設,具有網路管理員權限的使用者有權限可建立、刪除及擴充驗證器工作區的權限。 沒有驗證者工作區上層網路管理員權限的使用者,可以指派「參與者」角色,以透過驗證器工作區的存取控制授與權限。以這種方式將使用者權限授與驗證器工作區,並不會授與該使用者對網路管理員執行個體其餘部分的存取權。
建立連線能力分析意圖
在驗證器工作區中,您要建立連線能力分析意圖,以定義您想要驗證的來源與目的地之間的流量路徑。 連線能力分析意圖包含下列欄位:
| 欄位 | **描述** |
|---|---|
| 來源 | 可以是虛擬機器、子網路或網際網路的流量來源。 |
| 來源連接埠 | 流量的來源連接埠。 |
| 來源 IP 位址 | 流量的來源 IP 位址。 |
| 目的地 | 流量的目的地,可以是虛擬機器、子網路、Cosmos DB、儲存體帳戶、SQL Server 或網際網路。 |
| 目的地連接埠 | 流量的目的地連接埠。 |
| 目的地 IP 位址 | 流量的目的地 IP 位址。 |
| 通訊協定 | 流量的通訊協定。 |
您可以在驗證器工作區內建立多個連線能力分析意圖,並加以平行執行。 任何具有指定驗證器工作區權限的使用者都可以建立、檢視及刪除其連線能力分析意圖。
執行連線能力分析
定義連線能力分析意圖之後,您必須執行分析以取得驗證結果。 此靜態分析會檢查網路管理員範圍中的各種資源和原則組態,是否保留連線能力分析意圖的指定來源和目的地之間的連線能力。 分析完成之後,會產生連線能力分析結果。
連線能力分析結果是 JSON 物件,會指出封包是否可以從其來源到達連線能力分析意圖的目的地。 其提供有關連線路徑的詳細資料,其中顯示來源和目的地無法連線時,流量遭到封鎖的位置。 不論可觸達性分析結果的結果為何,其都包含路徑上的資源及其中繼資料的相關資訊。
在 Azure 入口網站中,會將此連線能力分析結果視覺化,以顯示連線能力分析意圖所定義連線的正向路徑。 任何具有驗證器工作區存取權的使用者,都可以在該驗證器工作區內的任何連線能力分析意圖上執行連線能力分析。
連線能力分析的支援功能
執行時,連線能力分析會評估下列功能:
- 網路安全性群組 (NSG) 規則
- 應用程式安全性群組 (ASG) 規則
- Azure Virtual Network Manager 安全性管理員規則
- Azure Virtual Network Manager 網格拓撲 (已連線群組)
- 虛擬網路對等互連
- 路由表
- 服務端點和存取控制清單
- 私人端點
- 虛擬 WAN
此清單會隨時擴充。
限制
虛擬網路驗證器公開預覽的限制如下:
- 連線能力分析只能在單一連線能力分析意圖上執行。
- 選取為連線能力分析意圖來源和/或目的地的子網路必須至少有一部執行中的虛擬機器,才能提供連線能力分析結果。
- 連線能力分析結果是根據此處所列出的支援 Azure 服務、資源和原則的評估。 上述未明確列出的服務所產生的實際流量行為可能會因連線能力分析結果而異。