Einführung in die IP-Datenflussüberprüfung in Azure Network Watcher

Die IP-Datenflussüberprüfung überprüft, ob ein Paket an einen oder von einem virtuellen Computer übermittelt werden darf. Diese Informationen enthalten die Richtung, das Protokoll, die lokale IP-Adresse, die IP-Remoteadresse, den lokalen Port und den Remoteport. Wenn das Paket von einer Sicherheitsgruppe abgelehnt wird, wird der Name der Regel, die das Paket verweigert hat, zurückgegeben. Es können beliebige Quell- oder Ziel-IP-Adressen ausgewählt werden. Damit unterstützt die IP-Datenflussüberprüfung Administratoren bei der schnellen Diagnose von Verbindungsproblemen mit dem Internet und in der lokalen Umgebung.

Die IP-Datenflussüberprüfung untersucht die Regeln für alle Netzwerksicherheitsgruppen (NSGs), die auf die Netzwerkschnittstelle angewendet wurden (z.B. Subnetz oder VM-Netzwerkschnittstelle). Der Datenfluss zu oder von dieser Netzwerkschnittstelle wird dann basierend auf den konfigurierten Einstellungen überprüft. Die IP-Datenflussüberprüfung ist nützlich, um zu bestätigen, ob eine Regel in einer Netzwerksicherheitsgruppe ein- oder ausgehenden Datenverkehr eines virtuellen Computers blockiert. Nun werden zusammen mit den NSG-Regeln auch die Azure Virtual Network Manager-Regeln ausgewertet.

Azure Virtual Network Manager (AVNM) ist ein Verwaltungsdienst, mit dem Benutzer virtuelle Netzwerke global und abonnementübergreifend gruppieren, konfigurieren, bereitstellen und verwalten können. Mit der AVNM-Sicherheitskonfiguration können Benutzer eine Sammlung von Regeln definieren, die auf eine oder mehrere Netzwerksicherheitsgruppen auf globaler Ebene angewendet werden können. Diese Sicherheitsregeln haben eine höhere Priorität als NSG-Regeln (Netzwerksicherheitsgruppen). Ein wichtiger Unterschied ist hierbei, dass es sich bei Administratorregeln um eine Ressource handelt, die von ANM an einem zentralen Ort bereitgestellt wird, der von Governance- und Sicherheitsteams gesteuert wird, und die sich zu jedem VNET hinab übertragen. NSGs sind eine Ressource, die von den VNET-Besitzern gesteuert wird und auf jeder Subnetz- oder NIC-Ebene angewendet wird.

Es muss in jeder Region, in der Sie die IP-Datenflussüberprüfung ausführen möchten, eine Instanz von Network Watcher erstellt werden. Network Watcher ist ein regionaler Dienst, der nur für Ressourcen in derselben Region ausgeführt werden kann. Die verwendete Instanz besitzt jedoch keine Auswirkungen auf die Ergebnisse der IP-Datenflussüberprüfung, da trotzdem die Routen zurückgegeben werden, die der Netzwerkschnittstelle oder dem Subnetz zugeordnet sind.

1

Nächste Schritte

Im folgenden Artikel erfahren Sie, wie Sie im Portal ermitteln, ob ein Paket für einen bestimmten virtuellen Computer zugelassen oder verweigert wird. Überprüfen mit der IP-Datenflussüberprüfung im Portal, ob Datenverkehr auf einem virtuellen Computer zugelassen wird