Rychlý start: Diagnostika problému s filtrováním síťového provozu virtuálního počítače pomocí webu Azure Portal

  • Článek

V tomto rychlém startu nasadíte virtuální počítač a pomocí ověření toku PROTOKOLU IP služby Network Watcher otestujete připojení k různým IP adresům a z různých IP adres. Pomocí výsledků ověření toku protokolu IP určíte pravidlo zabezpečení, které blokuje provoz a způsobuje selhání komunikace, a dozvíte se, jak ho můžete vyřešit. Dozvíte se také, jak pomocí efektivních pravidel zabezpečení pro síťové rozhraní určit, proč pravidlo zabezpečení povoluje nebo zamítá provoz.

Diagram shows the resources created in Network Watcher quickstart.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Předpoklady

  • Účet Azure s aktivním předplatným

Přihlášení k Azure

Přihlaste se k webu Azure Portal pomocí svého účtu Azure.

Vytvoření virtuálního počítače

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítače. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte + Vytvořit a pak vyberte virtuální počítač Azure.

  3. V části Vytvořit virtuální počítač zadejte nebo vyberte na kartě Základy následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Do názvu zadejte myResourceGroup.
    Vyberte OK.
    Podrobnosti o instanci
    Virtual machine name Zadejte myVM.
    Oblast Vyberte USA – východ.
    Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury.
    Typ zabezpečení Ponechte výchozí hodnotu Standard.
    Image Vyberte Ubuntu Server 20.04 LTS - x64 Gen2.
    Velikost Zvolte velikost nebo ponechte výchozí nastavení.
    účet Správa istrator
    Authentication type Vyberte heslo.
    Uživatelské jméno Zadejte uživatelské jméno.
    Password Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.

  4. Vyberte kartu Sítě nebo vyberte Další: Disky a další: Sítě.

  5. Na kartě Sítě vyberte Vytvořit nový a vytvořte novou virtuální síť.

  6. V části Vytvořit virtuální síť zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Name Zadejte myVNet.
    Adresní prostor
    Rozsah adres Zadejte 10.0.0.0/16.
    Podsítě
    Název podsítě Zadejte mySubnet.
    Rozsah adres Zadejte 10.0.0.0/24.

  7. Vyberte OK.

  8. Na kartě Sítě zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Basic.
    Veřejné příchozí porty Vyberte Žádná.

    Poznámka:

    Azure vytvoří výchozí skupinu zabezpečení sítě pro virtuální počítač myVM (protože jste vybrali skupinu zabezpečení sítě základní síťové karty). Tuto výchozí skupinu zabezpečení sítě použijete k otestování síťové komunikace s virtuálním počítačem a z virtuálního počítače v další části.

  9. Vyberte Zkontrolovat a vytvořit.

  10. Zkontrolujte nastavení a pak vyberte Vytvořit.

Testování síťové komunikace pomocí ověření toku protokolu IP

V této části použijete funkci ověření toku protokolu IP služby Network Watcher k otestování síťové komunikace s virtuálním počítačem a z virtuálního počítače.

  1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

  2. V části Nástroje pro diagnostiku sítě vyberte Ověření toku protokolu IP.

  3. Na stránce ověření toku PROTOKOLU IP zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Cílový prostředek
    Virtuální počítač Vyberte virtuální počítač myVM .
    Síťové rozhraní Vyberte síťové rozhraní virtuálního počítače myVM. Když k vytvoření virtuálního počítače použijete Azure Portal, portál pojmenuje síťové rozhraní pomocí názvu virtuálního počítače a náhodného čísla (například myvm36).
    Podrobnosti o paketech
    Protokol Vyberte TCP.
    Směr Vyberte Odchozí.
    Místní port Zadejte hodnotu 60000. Pro dynamické nebo privátní porty zvolte libovolné číslo portu z rozsahu IANA (Internet Assigned Numbers Authority).
    Vzdálená IP adresa Zadejte 13.107.21.200. Tato IP adresa je jednou z IP adres www.bing.com webu.
    Vzdálený port Zadejte 80

    Poznámka:

    Pokud se virtuální počítač v seznamu dostupných virtuálních počítačů nezobrazuje, ujistěte se, že je spuštěný. Zastavené virtuální počítače nejsou k dispozici pro výběr testu ověření toku protokolu IP.

    Screenshot shows the values to input in IP flow verify for first test.

  4. Vyberte tlačítko Ověřit tok PROTOKOLU IP.

    Po několika sekundách se zobrazí výsledek testu, který označuje, že přístup je povolený na 13.107.21.200 kvůli výchozímu pravidlu zabezpečení AllowInternetOutBound.

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. Změňte vzdálenou IP adresu na 10.0.1.10, což je privátní IP adresa v adresní prostoru myVNet . Pak test opakujte tak , že znovu vyberete tlačítko Ověřit tok PROTOKOLU IP. Výsledek druhého testu označuje, že přístup je povolený na 10.0.1.10 kvůli výchozímu pravidlu zabezpečení AllowVnetOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. Změňte vzdálenou IP adresu na 10.10.10.10 a opakujte test. Výsledek třetího testu označuje, že přístup byl odepřen na hodnotu 10.10.10.10 kvůli výchozímu pravidlu zabezpečení DenyAllOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. Změňte směr na Příchozí, místní port na 80 a vzdálený port na 6 0000 a pak test opakujte. Výsledek čtvrtého testu označuje, že přístup byl odepřen z hodnoty 10.10.10.10 kvůli výchozímu pravidlu zabezpečení DenyAllInBound.

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

Zobrazení podrobností pravidla zabezpečení

Pokud chcete zjistit, proč pravidla v předchozí části povolují nebo zakazují komunikaci, projděte si platná pravidla zabezpečení pro síťové rozhraní virtuálního počítače myVM .

  1. V části Diagnostické nástroje sítě ve službě Network Watcher vyberte Platná pravidla zabezpečení.

  2. Vyberte následující informace:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte myResourceGroup.
    Virtuální počítač Vyberte myVM.

    Poznámka:

    Virtuální počítač myVM má jedno síťové rozhraní, které bude vybráno po výběru virtuálního počítače myVM. Pokud má váš virtuální počítač více než jedno síťové rozhraní, vyberte síťové rozhraní, které chcete zobrazit, aby se zobrazila platná pravidla zabezpečení.

    Screenshot of Effective security rules in Network Watcher.

  3. V části Pravidla odchozích přenosů vyberte AllowInternetOutBound , aby se v rámci tohoto pravidla zabezpečení zobrazily povolené předpony cílových IP adres.

    Screenshot of the prefixes of AllowInternetOutBound rule.

    Vidíte, že předpona adresy 13.104.0.0/13 patří mezi předpony adres pravidla AllowInternetOutBound . Tato předpona zahrnuje IP adresu 13.107.21.200 , kterou jste otestovali v kroku 4 předchozí části.

    Podobně můžete v ostatních pravidlech zkontrolovat předpony zdrojových a cílových IP adres.

Ověření toku protokolu IP kontroluje výchozí a nakonfigurovaná pravidla zabezpečení Azure. Pokud kontroly vrátí očekávané výsledky a stále máte problémy se sítí, ujistěte se, že nemáte bránu firewall mezi vaším virtuálním počítačem a koncovým bodem, se kterým komunikujete, a že operační systém ve vašem virtuálním počítači nemá bránu firewall, která odepírá komunikaci.

Vyčištění prostředků

Pokud už je nepotřebujete, odstraňte skupinu prostředků a všechny prostředky, které obsahuje:

  1. Do pole Hledat v horní části portálu zadejte myResourceGroup. Ve výsledcích hledání vyberte myResourceGroup .

  2. Vyberte Odstranit skupinu prostředků.

  3. V části Odstranit skupinu prostředků zadejte myResourceGroup a pak vyberte Odstranit.

  4. Výběrem možnosti Odstranit potvrďte odstranění skupiny prostředků a všech jejích prostředků.

Další krok

Diagnostika potíží se síťovým směrováním virtuálního počítače