Поделиться через

Проверка доступности ресурсов с помощью средства проверки сети на портале Azure

  • Статья

Из этой статьи вы узнаете, как использовать средство проверки сети на портале Azure, чтобы проверить доступность одной виртуальной машины на другую виртуальную машину на основе примененных политик сети. В рамках процесса вы создаете рабочую область для проверки, создаете задачу анализа доступности, выполняете анализ доступности и просматриваете результаты этого анализа. В этой статье также показано, как делегировать рабочие области проверки другим пользователям в организации, чтобы они могли использовать разрешенную рабочую область проверки.

Внимание

Средство проверки сети в Azure Virtual Network Manager обычно доступно в следующих регионах:

  • australiaeast
  • centralus
  • eastus
  • eastus2
  • eastus2euap
  • northeurope
  • southcentralus
  • uksouth
  • westeurope
  • вестус
  • westus2

Предварительные условия

  • Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
  • Существующий экземпляр менеджера сети. Если у вас нет экземпляра диспетчера сети, создайте его, следуя инструкциям в разделе "Создание диспетчера виртуальных сетей".
    • Рабочая область проверяющего — это дочерний ресурс сетевого диспетчера, поэтому его необходимо создать из экземпляра диспетчера сети. Как только рабочая область проверяющего создана, доступ к ней можно получить непосредственно из портала Azure, выполнив поиск Рабочие области проверяющего.
  • Ресурсы для проверки доступности между ними. В этом примере используются две виртуальные машины.

Создание средства проверки виртуальной сети

На этом шаге вы создаете пространство верификатора в менеджере сети, чтобы настроить намерение для анализа доступности, необходимое для проверки того, может ли ваша виртуальная машина достичь другой виртуальной машины.

  1. В портале Azure введите менеджеры сети в поле поиска на панели задач и выберите нужный экземпляр сетевого менеджера.
  2. В экземпляре диспетчера сети перейдите в область Проверяющего, чтобы создать новую область проверяющего.
  3. Нажмите кнопку "Создать", чтобы создать новое рабочее пространство проверяющего.
  4. На странице создания рабочей области проверяющего диспетчера виртуальных сетей укажите имя и необязательное описание этой рабочей области.

Создание намерения анализа доступности

На этом шаге вы создаёте намерение анализа достижимости в рабочей области инструмента проверки. Эта цель анализа описывает путь трафика, проверяемый на достижимость.

  1. В рабочей области проверяющего средства, которую вы создали, выберите Определить намерение анализа напрямую или перейдите к намерениям анализа доступности в разделе Параметры и нажмите + Создать.

  2. Введите или выберите следующие сведения, а затем нажмите кнопку "Создать ", чтобы создать намерение анализа доступности.

    Настройка Значение
    Имя Введите имя намерения анализа доступности.
    Протокол Выберите протокол трафика, который требуется проверить.
    Тип источника Выберите исходный тип общедоступный интернет, виртуальные машины, подсетьили экземпляр масштабирующегося набора виртуальных машин. Выберите виртуальные машины для этого примера.
    Источник В зависимости от типа источника используйте средство выбора для выбора экземпляра из области родительского сетевого диспетчера.
    Исходный IP-адрес Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR источника, который требуется проверить.
    Исходный порт При необходимости введите порт или диапазон источника, который требуется проверить.
    Тип назначения Выберите тип назначения: общий интернет, Cosmos DB, учетная запись хранения, SQL Server, виртуальные машины, подсетьили экземпляр масштабируемого набора виртуальных машин. Выберите виртуальные машины для этого примера.
    Назначение В зависимости от типа назначения используйте селектор, чтобы выбрать экземпляр из области действий родительского сетевого менеджера.
    Конечный IP-адрес Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR назначения, которое вы хотите проверить.
    Порт назначения При необходимости введите порт или диапазон назначения, который требуется проверить.

    На снимке экрана: окно создания аналитического запроса с параметрами и значениями.

  3. Повторите процесс, чтобы создать более достижимые намерения анализа в рабочей области проверяющего объекта.

Запуск анализа

После настройки намерения анализа доступности можно инициировать анализ. Эта проверка анализирует, существует ли путь между источником и пунктом назначения, указанными в цели, с учетом ресурсов Azure и сетевых политик, которые действуют в настоящее время. Этот анализ оценивает политики и ресурсы в области родительского сетевого диспетчера рабочей области проверяющего.

  1. В разделе "Намерения анализа доступности" установите флажок рядом с намерением анализа доступности, который вы хотите проанализировать и выбрать "Начать анализ".

  2. В области "Пуск анализа" введите имя и необязательное описание для анализа, а затем нажмите кнопку "Начать анализ".

    Снимок экрана: окно

Примечание.

Выполнение анализа может занять несколько минут. Ход выполнения анализа можно отслеживать на портале Azure.

Просмотр результатов анализа доступности

На этом шаге вы просматриваете результаты анализа, запущенного на предыдущем шаге.

  1. В рабочей области проверяющего выберите намерения анализа доступности в разделе "Параметры " и выберите соответствующие результаты просмотра для намерения анализа доступности. Кроме того, перейдите к результатам анализа доступности и выберите имя результата, который вы хотите просмотреть.

    Снимок экрана: окон целевых действий анализа достижимости, демонстрирующих выполнение анализа для просмотра.

  2. В области "Просмотр результатов анализа" можно просмотреть результаты анализа, включая состояние анализа, путь, которым проходит трафик, ресурсы, через которые он проходит, и итоговый результат.

    Снимок экрана: окно результатов анализа доступности с результатами анализа.

  3. На вкладке "Результаты анализа доступности" в области результатов анализа представления отображаются результаты в визуальном формате. Визуализация демонстрирует маршрут движения трафика и задействованных ресурсов, а также является интерактивной.

    Снимок экрана: окно результатов анализа доступности с визуализацией результатов анализа.

  4. Выберите один из ресурсов в визуализации, чтобы просмотреть сведения о ресурсе. Вы также можете выбрать любую длину в визуализации, чтобы просмотреть сведения об этом шаге. Если результаты указывают на блокировку в пути доступности, выберите длину непосредственно перед блокировкой, чтобы увидеть, какой ресурс или политика вызвал блокировку.

    Снимок экрана с сведениями о ресурсах диспетчера сети по результатам анализа намерений.

    снимок экрана со сведениями о шаге для диспетчера сети из результатов анализа намерений.

  5. Выберите вкладку выходных данных JSON, чтобы просмотреть полные выходные данные JSON результата анализа. Начало объекта JSON содержит сведения о результатах, которые указывают, достигли ли все пакеты, некоторые пакеты или ни один пакет не достиг. Объяснения предоставляются для каждого результата и каждого шага доступности.

    Снимок экрана: выходные данные JSON для результатов анализа доступности.

  6. Нажмите кнопку "Закрыть", чтобы закрыть результаты анализа.

Делегировать рабочую область проверяющего пользователя другим пользователям

При необходимости можно делегировать рабочую область проверяющего средства другим пользователям. Это позволяет другим пользователям использовать возможности верификатора сети путем предоставления им доступа к рабочей области верификатора, намерениям анализа достижимости, возможностей анализа и результатов анализа достижимости. Каждая рабочая область верификатора в сетевом диспетчере имеет свои собственные разрешения, поэтому предоставление пользователю доступа к одной из них не приводит к доступу ко всем рабочим областям в рамках одного сетевого диспетчера. Предоставление пользователю доступа к рабочей области проверяющей системы также не приводит к доступу к остальной части родительского менеджера сети.

  1. В рабочей области проверяющего средства выберите элемент управления доступом (IAM).
  2. Выберите + Добавить и Добавить назначение роли.
  3. В области "Добавить назначение ролей" и вкладку "Роль" выберите вкладку "Роли привилегированного администратора" и выберите роль участника.
  4. Перейдите на вкладку "Участники" и добавьте пользователей, которым требуется получить доступ к рабочей области проверяющего средства, нажав кнопку +Выбрать участников.
  5. Выберите Проверить + назначить.

Следующие шаги

Что такое средство проверки сети?