Übersicht über die IP-Datenflussüberprüfung

Bei der IP-Datenflussüberprüfung handelt es sich um ein Feature von Azure Network Watcher, mit dem Sie überprüfen können, ob ein Paket an oder von einem virtuellen Azure-Computer basierend auf den konfigurierten Sicherheits- und Administratorregeln zugelassen oder verweigert wird. Dies hilft Ihnen, Probleme mit der Konnektivität virtueller Computer zu beheben, indem Sie Regeln für die Netzwerksicherheitsgruppe (Network Security Group, NSG) und Azure Virtual Network Manager-Administratorregeln überprüfen. Es ist ein schnelles und einfaches Tool zum Diagnostizieren von Konnektivitätsproblemen mit oder von anderen Azure-Ressourcen, dem Internet und der lokalen Umgebung.

Die IP-Datenflussüberprüfung überprüft die Regeln aller Netzwerksicherheitsgruppen, die auf die Netzwerkschnittstelle eines virtuellen Computers angewendet werden, und bestimmt, ob die Netzwerksicherheitsgruppe dem Subnetz oder der Netzwerkschnittstelle des virtuellen Computers zugeordnet ist. Darüber hinaus werden die Regeln des Azure Virtual Network Manager untersucht, die auf das virtuelle Netzwerk des virtuellen Computers angewendet werden.

Bei der IP-Datenflussüberprüfung werden Datenverkehrsrichtung, Protokoll, lokale IP, Remote-IP, lokaler Port und Remoteport verwendet, um Sicherheits- und Administratorregeln zu testen, die für die Netzwerkschnittstelle des virtuellen Computers gelten.

Die Überprüfung des IP-Flusses gibt Zugriff verweigert oder Zugriff gewährt, den Namen der Sicherheitsregel, die den Datenverkehr verweigert oder zulässt, und die Netzwerksicherheitsgruppe mit einem Link zurück, damit Sie diese ggf. bearbeiten können. Es wird kein Link bereitgestellt, wenn eine Standardsicherheitsregel den Datenverkehr verweigert oder zulässt. Weitere Informationen finden Sie unter Standardsicherheitsregeln.

Überlegungen

• Sie müssen über eine Network Watcher-Instanz im Azure-Abonnement und in der Region des virtuellen Computers verfügen. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von Azure Network Watcher.
• Sie müssen über die erforderlichen Berechtigungen für den Zugriff auf das Feature verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen der rollenbasierten Zugriffssteuerung von Azure zum Verwenden von Network Watcher-Funktionen.
• IP-Datenflussüberprüfung testet nur TCP- und UDP-Regeln. Verwenden Sie NSG-Diagnose, um ICMP-Datenverkehrsregeln zu testen.
• IP-Datenflussüberprüfung testet nur Sicherheits- und Administratorregeln, die auf die Netzwerkschnittstelle eines virtuellen Computers angewendet werden. Verwenden Sie NSG-Diagnose, um Regeln zu testen, die auf Skalierungssätze virtueller Computer angewendet werden.

Nächster Schritt

Wenn Sie erfahren möchten, wie Sie die IP-Datenflussüberprüfung verwenden, fahren Sie wie folgt fort:

Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers