Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Диспетчере виртуальных сетей Azure средство проверки сети позволяет проверять, разрешают ли ваши сетевые политики трафик между сетевыми ресурсами Azure или запрещают его. Существует несколько взаимосвязанных компонентов между подключением, безопасностью, маршрутизацией и специфическими настройками ресурсов. Так как же вы убеждаетесь, что в вашей среде Azure действительно обеспечивается достижение желаемой доступности среди сетевых ресурсов? Независимо от того, выясняете ли вы, почему доступность нарушена, или подтверждаете соответствие вашей настройки Azure требованиям безопасности вашей организации, средство проверки сети может помочь найти ответы. При выполнении анализа доступности в средстве проверки сети он может ответить на такие вопросы, как почему две виртуальные машины не могут связываться друг с другом, показывая полный путь доступности и препятствия.
Внимание
Средство проверки сети в Azure Virtual Network Manager обычно доступно в следующих регионах:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Как работает средство проверки сети?
Средство проверки сети доступно в каждом экземпляре диспетчера сети через ресурс, называемый рабочей областью верификатора, которая служит контейнером для дочерних ресурсов и возможностей верификатора. Менеджер сети может иметь одну или несколько рабочих областей проверки, и эти рабочие области проверки можно делегировать пользователям, не являющимся менеджерами сети. Рабочая область проверяющего средства использует следующий рабочий процесс для сбора и анализа сетевых данных.
Рабочее пространство проверяющего
Рабочая область проверяющего — это дочерний ресурс сетевого диспетчера. Его права доступа можно делегировать администраторам, не являющимся сетевыми менеджерами, и он обнаруживается в портале Azure. Рабочая область верификатора включает в себя собственные дочерние ресурсы намерений анализа доступности и результаты анализа доступности, при этом используется область сетевого менеджера в качестве границы для выполнения анализа. Любой ресурс Azure, конфигурация и правило в пределах этой области охвата можно оценить в анализе доступности, не требуя повышения разрешений пользователей для подписок и групп управления области охвата родительского сетевого менеджера.
Делегировать ресурс рабочей области проверяющего
По умолчанию пользователи с разрешениями для сетевого диспетчера имеют разрешения на создание, удаление и расширение разрешений рабочей области проверяющего объекта. Пользователю, у которого нет разрешения на родительский сетевой менеджер рабочей области верификатора, можно предоставить разрешения через управление доступом рабочей области верификатора, назначив ему роль "Участник". Предоставление пользователю права доступа к рабочей области верификатора таким образом не дает этому пользователю доступа к остальной части экземпляра сетевого менеджера.
Создание намерения анализа доступности
В рабочей области проверяющего средства вы создадите намерение анализа доступности, чтобы определить путь трафика между источником и местом назначения, который требуется проверить. Намерение анализа доступности включает следующие поля:
| Поле | **Описание ** |
|---|---|
| Источник | Источник трафика, который может быть виртуальной машиной, экземпляром набора масштабируемых виртуальных машин, подсетью или интернетом. |
| Исходные порты | Исходные порты трафика. |
| Исходные IP-адреса | Исходные IP-адреса трафика. |
| Назначение | Назначение трафика, который может быть виртуальной машиной, экземпляром масштабируемых групп виртуальных машин, подсетью, Cosmos DB, учетной записью хранения, сервером SQL или Интернетом. |
| Порты назначения | Конечные порты трафика. |
| Ip-адреса назначения | Конечные IP-адреса трафика. |
| Протокол | Протокол трафика. |
Вы можете создать несколько интенций анализа достижимости в рабочей области верификатора и запустить их параллельно. Любой пользователь с разрешениями для данной рабочей области проверяющего может создавать, просматривать и удалять свои намерения анализа доступности.
Выполнение анализа доступности
После определения намерения анализа доступности необходимо выполнить анализ, чтобы получить результат анализа доступности. Этот статический анализ проверяет, сохраняют ли различные ресурсы и конфигурации политик в области диспетчера сети достижимость между заданным источником и пунктом назначения, определенным намерением анализа доступности. После завершения анализа он создает результат анализа доступности.
Результат анализа доступности — это объект JSON, который содержит сведения о том, могут ли пакеты достигать назначения намерения анализа доступности из источника. В нем содержатся сведения о пути подключения, показывающие, где трафик был заблокирован, если не удалось подключить источник и пункт назначения. Он содержит сведения о ресурсах пути и их метаданных независимо от результата анализа доступности.
В портале Azure результат этого анализа доступности визуализируется, чтобы показать запланированный путь подключения, определенный намерением анализа доступности. Любой пользователь с доступом к рабочей области средства проверки может выполнять анализ достижимости для любого намерения анализа достижимости в этой рабочей области средства проверки.
Поддерживаемые функции анализа доступности
При запуске анализ доступности средства проверки сети оценивает следующие функции:
- Правила группы безопасности сети (NSG)
- Правила группы безопасности приложений (ASG)
- Правила безопасности администратора Azure Virtual Network Manager
- Топология ячеистой сети в Azure Virtual Network Manager (подключенная группа)
- Пиринг между виртуальными сетями
- Таблицы маршрутов
- Конечные точки службы и списки управления доступом
- Частные конечные точки
- Виртуальная глобальная сеть
- Брандмауэр Azure (только статический L4)
Этот список может быть развернут.
Когда следует использовать средство проверки сети?
Средство проверки сети предназначено для проверки конфигураций и ресурсов Сети Azure, обеспечивая их соответствие требованиям и соответствие внутренним стандартам. Это средство оказывается особенно полезным во время этапов разработки и после развертывания настройки сети Azure. При возникновении неожиданных разрешений или запретов на трафик, инструмент проверки сети помогает определить происхождение этих отклонений от ожидаемой доступности сети в вашей среде Azure. С помощью подробных результатов анализа доступности средство проверки сети может восстановить путь от источника к месту назначения, пройденный в плоскости управления Azure, что позволяет отследить, где находится некорректная конфигурация.
Средство проверки сети поможет вам ответить на несколько вопросов о доступности сетевого ресурса Azure, в том числе:
- Общедоступный IP-адрес интернета для определенной виртуальной машины, подсети или другого ресурса
- Проверка правил безопасности, применяющих блокировку трафика и порядок проверки, например, с правилами сетевых групп безопасности (NSG) и правилами администратора безопасности.
- Подтверждение доступности ресурсов за частной конечной точкой
- Перемодель теоретических путей трафика через виртуальную глобальную сеть
Для более сложных сценариев устранения неполадок средство проверки сети служит отличной отправной точкой. Результаты анализа достижимости могут помочь вам на дальнейших этапах вашего диагностического пути, направив вас к средствам, специализированным в области оперативного мониторинга, производительности сети и устранения неполадок на уровне передачи данных.
Ограничения
Ограничения средства проверки сети приведены следующим образом:
- Анализ доступности может выполняться только с одним намерением анализа.
- Подсети, выбранные в качестве источника и (или) назначения намерения анализа доступности, должны иметь по крайней мере одну запущенную виртуальную машину для предоставления результата анализа доступности.
- Результаты анализа доступности основаны на оценке поддерживаемых служб Azure, ресурсов и политик, перечисленных в качестве поддерживаемых функций. Фактическое поведение трафика, полученное от служб, не перечисленных выше, может отличаться от результата анализа доступности.