Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Dans Azure Virtual Network Manager, le vérificateur de réseau est un outil qui vous permet de vérifier si vos stratégies réseau autorisent ou interdisent le trafic entre vos ressources réseau Azure. Il existe plusieurs parties mobiles entre la connectivité, la sécurité, le routage, et les configurations propres aux ressources. Alors comment savoir si ce que vous avez configuré dans votre environnement Azure atteint réellement l’accessibilité souhaitée parmi vos ressources réseau ? Que vous diagnostiquiez pourquoi l’accessibilité ne fonctionne pas comme prévu ou que vous prouviez la conformité de votre configuration Azure aux exigences de conformité de sécurité de votre organisation, le vérificateur de réseau peut fournir les réponses. Lorsque vous exécutez une analyse d’accessibilité dans le vérificateur de réseau, il peut répondre à des questions telles que la raison pour laquelle deux machines virtuelles ne peuvent pas communiquer entre elles en fournissant le chemin d’accessibilité complet et les points de blocage.
Important
Le vérificateur de réseau dans Azure Virtual Network Manager est en disponibilité générale dans les régions suivantes :
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Comment fonctionne le vérificateur de réseau ?
Le vérificateur de réseau est disponible dans chaque instance du gestionnaire de réseau par le biais d’une ressource appelée espace de travail de vérificateur, qui joue le rôle de conteneur pour les fonctionnalités et les ressources enfants du vérificateur de réseau. Un gestionnaire de réseau peut avoir un ou plusieurs espaces de travail de vérificateur, et ces espaces de travail de vérificateur peuvent être délégués à des utilisateurs non gestionnaires réseau. Un espace de travail de vérificateur utilise le flux de travail suivant pour collecter et analyser les données réseau.
Créer un espace de travail de vérificateur
Un espace de travail de vérificateur est une ressource enfant d’un gestionnaire de réseau. Ses autorisations peuvent être déléguées aux utilisateurs non administrateurs gestionnaires de réseau et il est détectable à partir du Portail Azure. L’espace de travail du vérificateur inclut ses propres ressources enfants d’intentions d’analyse d’accessibilité et les résultats de l’analyse d’accessibilité, et il utilise l’étendue de son gestionnaire de réseau parent comme limite pour exécuter l’analyse. Toute ressource, configuration, et règle Azure dans cette étendue peut être évaluée dans l’analyse d’accessibilité sans avoir à élever les autorisations utilisateur pour les abonnements et les groupes d’administration de l’étendue de son gestionnaire de réseau parent.
Déléguer une ressource d’espace de travail de vérificateur
Par défaut, les utilisateurs disposant d’autorisations pour un gestionnaire de réseau disposent des autorisations nécessaires pour créer, supprimer et étendre les autorisations d’un espace de travail de vérificateur. Un utilisateur qui n’a pas d’autorisation sur le gestionnaire de réseau parent d’un espace de travail de vérificateur peut recevoir des autorisations via le contrôle d’accès de l’espace de travail du vérificateur en lui attribuant le rôle « Contributeur ». L’octroi d’une autorisation utilisateur à un espace de travail de vérificateur de cette façon ne donne pas à cet utilisateur l’accès au reste de l’instance du gestionnaire de réseau.
Créer une intention d’analyse d’accessibilité
Dans un espace de travail de vérificateur, vous créez une intention d’analyse d’accessibilité pour définir le chemin du trafic entre une source et une destination que vous souhaitez vérifier. L’intention d’analyse d’accessibilité comprend les champs suivants :
| Champ | **Description ** |
|---|---|
| Source | Source du trafic qui peut être une machine virtuelle, une instance de groupes de machines virtuelles identiques, un sous-réseau, ou Internet. |
| Ports sources | Ports sources du trafic. |
| Adresses IP sources | Adresses IP sources du trafic. |
| Destination | Destination du trafic qui peut être une machine virtuelle, une instance de groupes de machines virtuelles identiques, un sous-réseau, Cosmos DB, un compte de stockage, un serveur SQL, ou Internet. |
| Ports de destination | Ports de destination du trafic. |
| Adresses IP de destination | Adresses IP de destination du trafic. |
| Protocole | Protocole du trafic. |
Vous pouvez créer plusieurs intentions d’analyse d’accessibilité au sein d’un espace de travail de vérificateur et les exécuter en parallèle. Tout utilisateur disposant d’autorisations pour un espace de travail de vérificateur donné peut créer, afficher et supprimer ses intentions d’analyse d’accessibilité.
Exécuter une analyse d’accessibilité
Après avoir défini une intention d’analyse d’accessibilité, vous devez exécuter une analyse pour recevoir le résultat de l’analyse d’accessibilité. Cette analyse statique vérifie si différentes ressources et configurations de stratégie dans l’étendue du gestionnaire de réseau conservent l’accessibilité entre la source et la destination données de l’intention d’analyse de l’accessibilité. Une fois l’analyse terminée, elle produit un résultat d’analyse d’accessibilité.
Le résultat de l’analyse d’accessibilité est un objet JSON qui indique de manière détaillée si les paquets peuvent atteindre la destination de l’intention d’analyse d’accessibilité à partir de sa source. Il fournit des détails sur le chemin de connectivité, montrant où le trafic a été bloqué si la source et la destination n’ont pas pu se connecter. Il inclut des informations sur les ressources sur le chemin et leurs métadonnées, quel que soit le résultat de l’analyse d’accessibilité.
Sur le Portail Azure, ce résultat d’analyse d’accessibilité est visualisé pour afficher le chemin d’accès avant de la connectivité définie par l’intention d’analyse d’accessibilité. Tout utilisateur ayant accès à l’espace de travail du vérificateur peut exécuter une analyse d’accessibilité sur n’importe quelle intention d’analyse d’accessibilité au sein de cet espace de travail du vérificateur.
Fonctionnalités prises en charge par l’analyse d’accessibilité
Lors de son exécution, une analyse d’accessibilité du vérificateur de réseau évalue les fonctionnalités suivantes :
- Règles du groupe de sécurité réseau (NSG)
- Règles du groupe de sécurité d’application (ASG)
- Règles d’administration de sécurité dans Azure Virtual Network Manager
- Topologie de maillage dans Azure Virtual Network Manager (groupe connecté)
- Appairage de réseaux virtuels
- Tables de routage
- Listes de contrôle d’accès et points de terminaison de service
- Points de terminaison privés
- Virtual WAN
- Pare-feu Azure (statique L4 uniquement)
Cette liste est susceptible de se développer.
Quand dois-je utiliser le vérificateur de réseau ?
Le vérificateur de réseau est conçu pour vous aider à valider vos configurations et ressources réseau Azure, en vous assurant qu’elles s’alignent sur votre accessibilité prévue et respectent les normes internes. Cet outil s’avère particulièrement utile pendant les phases de conception et post-déploiement de votre configuration réseau Azure. Lorsque vous rencontrez des allocations de trafic inattendues ou des interdictions, le vérificateur de réseau vous aide à identifier l’origine de ces écarts par rapport à votre accessibilité attendue dans votre environnement Azure. Avec ses résultats d’analyse d’accessibilité détaillés, le vérificateur de réseau peut reconstruire le chemin suivi entre la source et la destination dans le plan de contrôle Azure, ce qui vous permet d’identifier l’emplacement de la configuration incorrecte.
Le vérificateur de réseau peut vous aider à répondre à plusieurs questions concernant l’accessibilité de vos ressources réseau Azure, notamment :
- Adresse IP Internet publique vers/à partir d’une machine virtuelle, d’un sous-réseau, ou d’une autre ressource donnée
- Validation des règles de sécurité appliquant le déni de trafic et l’ordre d’évaluation, comme avec les règles de groupe de sécurité réseau et les règles d’administration de sécurité
- Confirmation de l’accessibilité aux ressources derrière un point de terminaison privé
- Remodeler le chemin du trafic théorique à travers un réseau virtuel étendu
Pour les scénarios de résolution des problèmes plus complexes, le vérificateur de réseau sert d’excellent point de départ. Ses résultats d’analyse d’accessibilité peuvent vous guider vers les étapes suivantes de votre parcours de diagnostic, en vous dirigeant vers des outils spécialisés dans la supervision opérationnelle, les performances réseau, et la résolution des problèmes réseau au niveau du chemin d’accès aux données.
Limites
Les limitations du vérificateur de réseau sont les suivantes :
- Une analyse d’accessibilité ne peut être exécutée que sur une seule intention d’analyse d’accessibilité.
- Les sous-réseaux sélectionnés comme source et/ou destination d’une intention d’analyse d’accessibilité doivent avoir au moins une machine virtuelle en cours d’exécution pour qu’un résultat d’analyse d’accessibilité soit fourni.
- Les résultats de l’analyse d’accessibilité sont basés sur l’évaluation des services, ressources et stratégies Azure pris en charge répertoriés ici comme fonctionnalités prises en charge. Le comportement réel du trafic résultant de services non explicitement répertoriés ci-dessus peut varier par rapport au résultat de l’analyse d’accessibilité.