使用虛擬網路驗證器來驗證資源的連線能力
在本文中,您將了解如何在 Azure 入口網站中使用虛擬網路驗證器,以根據所套用的網路原則,驗證從 VM 到儲存體帳戶的連線能力。 在這個流程中,您會建立驗證器工作區、建立連線能力分析意圖、執行連線能力分析,以及檢視連線能力分析結果。 本文也會示範如何將驗證器工作區委派給組織中的其他使用者,讓其能夠使用獲得允許的驗證器工作區。
重要
Azure Virtual Network Manager 中的虛擬網路驗證器目前處於公開預覽狀態:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
此公開預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
必要條件
- Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
- 現有的網路管理員執行個體。 如果您沒有網路管理員執行個體,請遵循建立虛擬網路管理員中的指示建立一個。
- 驗證器工作區是網路管理員的子資源,因此您必須從網路管理員執行個體建立驗證器工作區。 驗證器工作區存在之後,即可透過搜尋驗證器工作區,直接從 Azure 入口網站存取驗證器工作區。
- 用來驗證彼此間連線能力的資源。 在此範例中,會使用兩部虛擬機器。
建立虛擬網路驗證器
在此步驟中,您會在網路管理員中建立驗證器工作區,以設定要驗證虛擬機器是否可以連線到其他虛擬機器所需的連線能力分析意圖。
- 在 Azure 入口網站中,於工作列上的搜尋方塊中輸入網路管理員,然後選取所需的網路管理員執行個體。
- 在網路管理員執行個體內,瀏覽至 [驗證器工作區] 窗格,以建立新的驗證器工作區。
- 選取 [建立] 以建立新的驗證器工作區。
- 在 [建立虛擬網路管理員驗證器工作區] 頁面上,提供驗證器工作區的名稱和選用描述。
建立連線能力分析意圖
在此步驟中,您會在驗證器工作區中建立連線能力分析意圖。 此分析意圖會描述要檢查連線能力的流量路徑。
在您建立的驗證器工作區內,直接選取 [定義分析意圖],或瀏覽至 [設定] 底下的 [連線能力分析意圖],然後選取 [+ 建立]。
輸入或選取下列資訊,然後選取 [建立] 以建立連線能力分析意圖。
設定 值 名稱 輸入連線能力分析意圖的名稱。 通訊協定 選取您要驗證之流量的通訊協定。 來源類型 選取 [公用網際網路]、[虛擬機器] 或 [子網路] 的來源類型。 針對此範例,請選取 [虛擬機器]。 來源 如果選取 [虛擬機器] 作為來源類型,請使用選取項目選擇器從上層網路管理員的範圍中選取執行個體。 來源 IP 位址 使用您想要驗證之來源的 CIDR 表示法,輸入 IPv4 或 IPv6 位址或範圍。 來源連接埠 輸入您要驗證之來源的連接埠或範圍。 若要指定任何連接埠,請透過 *。 目的地類型 選取 [公用網際網路]、[Cosmos DB]、[儲存體帳戶]、[SQL Server]、[虛擬機器] 或 [子網路] 的目的地類型。 針對此範例,請選取 [虛擬機器]。 目的地 如果選取 [Cosmos DB]、[儲存體帳戶]、[SQL Server] 或 [虛擬機器] 作為目的地類型,請使用選取項目選擇器從上層網路管理員的範圍中選取執行個體。 目的地 IP 位址 使用您想要驗證之目的地的 CIDR 表示法,輸入 IPv4 或 IPv6 位址或範圍。 目的地連接埠 輸入您要驗證之目的地的連接埠或範圍。 若要指定任何連接埠,請透過 *。 ![[建立分析意圖] 視窗的螢幕擷取畫面,其中包含設定和值。](media/how-to-verify-reachability-with-virtual-network-verifier/create-analysis-intent.png)
重複此流程,在驗證器工作區中建立更多連線能力分析意圖。
開始分析
在設定連線能力分析意圖之後,您可以起始分析。 此分析會檢查意圖中指定的來源與目的地之間是否存在路徑,並考慮目前備有的網路原則和資源。 此分析會評估驗證器工作區上層網路管理員範圍內的原則和資源。
在 [連線能力分析意圖] 底下,選取您要分析之連線能力分析意圖旁的核取方塊,然後選取 [開始分析]。
在 [開始分析] 窗格中,輸入分析的名稱和選用描述,然後選取 [開始分析] 按鈕。
![分析意圖執行作業之 [開始分析] 視窗的螢幕擷取畫面。](media/how-to-verify-reachability-with-virtual-network-verifier/start-analysis-run.png)
注意
分析執行可能需要幾分鐘的時間才能完成。 您可以在 Azure 入口網站中監視分析進度。
檢視連線能力分析結果
在此步驟中,您會檢視在上一個步驟中開始進行之分析的結果。
在驗證器工作區中,選取 [設定] 底下的 [連線能力分析意圖],然後選取對應的 [檢視結果] 以用於您的連線能力分析意圖。 或者,瀏覽至 [連線能力分析結果],然後選取您想要檢視之結果的名稱。
![螢幕擷取畫面:顯示要檢視之分析意圖執行的 [連線能力分析意圖] 視窗。](media/how-to-verify-reachability-with-virtual-network-verifier/select-analysis-results.png)
在 [檢視分析結果] 窗格中,您可以檢視分析的結果,包括分析的狀態、流量所採用的路徑、所周游的資源,以及結果。
![[連線能力分析結果] 視窗的螢幕擷取畫面,其中包含分析結果。](media/how-to-verify-reachability-with-virtual-network-verifier/view-analysis-results.png)
在 [檢視分析結果] 窗格中的 [連線能力分析結果] 索引標籤上,您會看到視覺效果格式的結果。 視覺效果會顯示流量所採用的路徑和所周遊的資源。
![[連線能力分析結果] 視窗的螢幕擷取畫面,其中包含分析結果的視覺效果。](media/how-to-verify-reachability-with-virtual-network-verifier/view-analysis-results-visualization.png)
選取視覺效果中的其中一個資源,以檢視資源詳細資料。 您也可以選取視覺效果中的任何長度,以檢視該步驟的詳細資料。
選取 [JSON 輸出] 索引標籤,以檢視分析結果的完整 JSON 輸出。 JSON 物件的開頭會詳細說明結果,結果中會指出所有封包均已到達、部分封包已到達,還是沒有任何封包到達。 每個結果和每個連線能力步驟都會提供說明。
選取 [關閉] 以關閉分析結果。
將驗證器工作區委派給其他使用者
您可以選擇性地將驗證器工作區委派給其他使用者。 這可讓其他使用者使用網路驗證器的功能,方法是向這些使用者授與權限,使其能夠存取驗證器工作區、連線能力分析意圖、分析能力,以及連線能力分析結果。 網路管理員中的每個驗證器工作區都有自己的權限,因此向使用者授與一個驗證器工作區的存取權,並不會導致其能夠存取相同網路管理員下的所有驗證器工作區。 向使用者授與驗證器工作區的權限,也不會導致其能夠存取上層網路管理員的其餘部分。
- 在驗證器工作區中,選取 [存取控制 (IAM)]。
- 選取 [+ 新增] 和 [新增角色指派]。
- 在 [新增角色指派] 和 [角色] 索引標籤內,選取 [特殊權限系統管理員角色] 索引標籤,然後選取 [參與者] 角色。
- 選取 [成員] 索引標籤,然後按一下 [+ 選取成員] 來新增您要讓其具有驗證器工作區存取權的使用者。
- 選取檢閱+指派。