Présentation de la vérification des flux IP dans Azure Network Watcher

  • Article

La vérification des flux IP vérifie si un paquet est autorisé ou refusé en direction ou en provenance d’une machine virtuelle. Les informations se composent de la direction, du protocole, de l’adresse IP locale, de l’adresse IP distante, du port local et du port distant. Si le paquet est refusé par un groupe de sécurité, le nom de la règle qui a refusé le paquet est renvoyé. Même si toutes les adresses IP source et de destination peuvent être choisies, la vérification des flux IP permet aux administrateurs de diagnostiquer rapidement les problèmes de connectivité en provenance ou à destination d’Internet et en provenance ou à destination de l’environnement local.

La vérification des flux IP examine les règles pour tous les groupes de sécurité réseau (NSG) appliquées à l’interface réseau, par exemple un sous-réseau ou une carte réseau de machine virtuelle. Le flux de trafic est ensuite vérifié en fonction des paramètres configurés vers ou à partir de cette interface réseau. La vérification des flux IP est utile pour confirmer si une règle d’un groupe de sécurité réseau bloque le trafic entrant ou sortant d’une machine virtuelle. Désormais, avec l’évaluation des règles de groupe de sécurité réseau, les règles d’Azure Virtual Network Manager sont également évaluées.

Azure Virtual Network Manager (AVNM) est un service de gestion qui permet aux utilisateurs de regrouper, de configurer, de déployer et de gérer des réseaux virtuels à l’échelle mondiale dans l’ensemble des abonnements. La configuration de la sécurité AVNM permet aux utilisateurs de définir un ensemble de règles qui peuvent être appliquées à un ou plusieurs groupes réseau au niveau mondial. Ces règles de sécurité ont une priorité plus élevée que celles des groupes de sécurité réseau (NSG). Une différence importante à noter ici est que les règles d’administration sont une ressource fournie par AVNM dans un emplacement central contrôlé par les équipes de gouvernance et de sécurité, qui se propagent sur chaque réseau virtuel. Les groupes de sécurité réseau sont une ressource contrôlée par les propriétaires de réseaux virtuels, qui s’appliquent à chaque niveau de sous-réseau ou de carte d’interface réseau.

Une instance de Network Watcher doit être créée dans toutes les régions où vous prévoyez d’exécuter la vérification des flux IP. Network Watcher est un service régional qui peut uniquement être exécuté sur des ressources appartenant à une même région. L’instance utilisée n’affecte pas les résultats de la vérification des flux IP, puisque toute route associée à la carte réseau ou au sous-réseau est toujours retournée.

1

Étapes suivantes

Consultez l’article suivant pour savoir si un paquet est autorisé ou refusé pour une machine virtuelle spécifique via le portail. Vérifier si le trafic est autorisé ou refusé en direction ou en provenance d’une machine virtuelle avec le composant de vérification des flux IP d’Azure Network Watcher