Inicio rápido: Diagnóstico de problemas al filtrar el tráfico de red de las máquinas virtuales con Azure Portal
En este inicio rápido, implementará una máquina virtual y usará la comprobación del flujo de IP de Network Watcher para probar la conectividad hacia y desde diferentes direcciones IP. Con los resultados de la comprobación del flujo de IP, se determina la regla de seguridad que bloquea el tráfico y produce el error de comunicación y se aprende cómo resolverlo. También aprenderá a usar reglas de seguridad eficaces para una interfaz de red a fin de determinar por qué una regla de seguridad permite o deniega el tráfico.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Requisitos previos
- Una cuenta de Azure con una suscripción activa
Inicio de sesión en Azure
Inicie sesión en Azure Portal con su cuenta de Azure.
Creación de una máquina virtual
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione + Crear y, a continuación, Máquina virtual de Azure.
En Crear una máquina virtual, escriba o seleccione los valores siguientes en la pestaña Básico:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción a Azure. Grupo de recursos Seleccione Crear nuevo. Escriba myResourceGroup en Nombre. Seleccione . Detalles de instancia Nombre de la máquina virtual Escriba myVM. Region Seleccione (EE. UU.) Este de EE. UU. . Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Deje el valor predeterminado Estándar. Imagen Seleccione Ubuntu Server 20.04 LTS: x64 Gen2. Size Elija un tamaño o deje la configuración predeterminada. Cuenta de administrador Tipo de autenticación Seleccione Contraseña. Nombre de usuario Especifique un nombre de usuario. Contraseña Escriba una contraseña. Confirmación de la contraseña Vuelva a escribir la contraseña. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.
Elija la pestaña Redes y seleccione Crear nueva para crear una nueva red virtual.
En Crear red virtual, escriba o seleccione los siguientes valores:
Configuración Value Nombre Escriba myVNet. Espacio de direcciones Intervalo de direcciones Escriba 10.0.0.0/16. Subredes Nombre de subred Escriba mySubnet. Intervalo de direcciones Escriba 10.0.0.0/24. Seleccione Aceptar.
Introduzca o seleccione los siguientes valores en la pestaña Redes:
Configuración Valor Dirección IP pública Seleccione Ninguno. Grupo de seguridad de red de NIC Seleccione Básica. Puertos de entrada públicos Seleccione Ninguno. Nota
Azure creará un grupo de seguridad de red predeterminado para la máquina virtual myVM (porque seleccionó el grupo de seguridad de red NIC básico). Usará este grupo de seguridad de red predeterminado para probar la comunicación de red hacia y desde la máquina virtual en la siguiente sección.
Seleccione Revisar + crear.
Revise la configuración y, a continuación, seleccione Crear.
Prueba de la comunicación de red mediante la comprobación del flujo de IP
En esta sección, se usará la capacidad de verificación del flujo IP de Network Watcher para probar la comunicación de red hacia y desde la máquina virtual.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Herramientas de diagnóstico de red, seleccione Comprobación del flujo de red.
En la página Comprobación del flujo de IP , escriba o seleccione los valores siguientes:
Configuración Value Recurso de destino Máquina virtual Seleccione la máquina virtual myVM . interfaz de red Seleccione la interfaz de red de myVM. Cuando se usa Azure Portal para crear una máquina virtual, el portal asigna un nombre a la interfaz de red mediante el nombre de la máquina virtual y un número aleatorio (por ejemplo, myvm36). Detalles del paquete Protocolo seleccione TCP. Dirección Seleccione Salida Puerto local Escriba 60000. Elija cualquier número de puerto del rango de la Autoridad de Números Asignados de Internet (IANA) para puertos dinámicos o privados. Dirección IP remota Escriba 13.107.21.200. Esta dirección IP es una de las direcciones IP del www.bing.comsitio web.Puerto remoto Escriba 80 Nota
Si no ve la máquina virtual en la lista de máquinas virtuales disponibles para seleccionar, asegúrese de que se está ejecutando. Las máquinas virtuales detenidas no están disponibles para seleccionarlas para la prueba de la comprobación del flujo de IP.
Seleccione el botón Comprobar flujo de IP.
Después de unos segundos, puede ver el resultado de la prueba, que indica que se permite el acceso a 13.107.21.200 debido a la regla de seguridad predeterminada AllowInternetOutBound.
Cambie la dirección IP remota a 10.0.1.10, que es una dirección IP privada en el espacio de direcciones de myVNet. Luego, seleccione nuevamente el botón Comprobación de flujo de IP para repetir la prueba. El resultado de la segunda prueba indica que se permite el acceso a 10.0.1.10 debido a la regla de seguridad predeterminada AllowVnetOutBound.
Cambie la dirección IP remota a 10.10.10.10 y repita la prueba. El resultado de la tercera prueba indica que se deniega el acceso a 10.10.10.10debido a la regla de seguridad predeterminada DenyAllOutBound.
Cambie la Dirección a Entrante, el Puerto local a 80 y el Puerto remoto a 60000 y luego repita la prueba. El resultado de la cuarta prueba indica que se deniega el acceso a 10.10.10.10 debido a la regla de seguridad predeterminada DenyAllOutBound.
Ver detalles de una regla de seguridad
Para determinar por qué las reglas de la sección anterior permiten o rechazan la comunicación, revise las reglas de seguridad eficaces para la interfaz de red de la máquina virtual myVM.
En Herramientas de diagnóstico de red en Network Watcher, seleccione Reglas de seguridad eficaces.
Seleccione la siguiente información:
Configuración Value Subscription Seleccione su suscripción a Azure. Grupo de recursos Seleccione myResourceGroup. Máquina virtual Seleccione myVM. Nota
La máquina virtual myVM tiene una interfaz de red que se seleccionará una vez que seleccione myVM. Si su máquina virtual tiene más de una interfaz de red, elija la que desea que muestre sus reglas de seguridad efectivas.
En Reglas de salida, seleccione AllowInternetOutBound para ver los destinos permitidos de los prefijos de direcciones IP bajo esta regla de seguridad.
Puede ver que el prefijo de dirección 13.104.0.0/13 está entre los prefijos de dirección de la regla AllowInternetOutBound. Este prefijo abarca la dirección IP 13.107.21.200 que probó en el paso 4 de la sección anterior.
Del mismo modo, puede consultar las demás reglas para ver los prefijos de direcciones IP de origen y destino de cada regla.
La comprobación del flujo de IP comprueba las reglas de seguridad predeterminadas y configuradas de Azure. Si las comprobaciones devuelven los resultados esperados y sigue teniendo problemas de red, asegúrese de que no tiene un firewall entre su máquina virtual y el punto de conexión con el que se está comunicando y de que el sistema operativo de su máquina virtual no tiene un firewall que esté denegando la comunicación.
Limpieza de recursos
Cuando ya no sea necesario, elimine el grupo de recursos y todos los recursos que contiene:
Escriba myResourceGroup en el cuadro de búsqueda que se encuentra en la parte superior del portal. Seleccione myResourceGroup en los resultados de la búsqueda.
Seleccione Eliminar grupo de recursos.
En Eliminar un grupo de recursos, escriba myResourceGroup y, después, seleccione Eliminar.
Seleccione Eliminar para confirmar la eliminación del grupo de recursos y todos sus recursos.