Megosztás a következőn keresztül:

Rövid útmutató: Virtuális gép hálózati forgalmi szűrőhibájának diagnosztizálása az Azure Portal használatával

  • Cikk

Ebben a rövid útmutatóban üzembe helyez egy virtuális gépet, és a Network Watcher IP-forgalmának ellenőrzésével teszteli a különböző IP-címekhez való kapcsolódást. Az IP-forgalom ellenőrzésének eredményeivel meghatározhatja azt a biztonsági szabályt, amely blokkolja a forgalmat, és kommunikációs hibát okoz, és megtudhatja, hogyan oldhatja meg. Azt is megtudhatja, hogyan használhatja a hálózati adapterek hatályos biztonsági szabályait annak meghatározására, hogy egy biztonsági szabály miért engedélyezi vagy tiltja a forgalmat.

Az ábra a Network Watcher rövid útmutatójában létrehozott erőforrásokat mutatja be.

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Előfeltételek

  • Egy Azure-fiók, aktív előfizetéssel

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra az Azure-fiókjával.

Virtuális gép létrehozása

  1. A portál tetején található keresőmezőbe írja be a virtuális gépeket. Válassza ki a virtuális gépeket a keresési eredmények közül.

  2. Válassza a + Létrehozás lehetőséget, majd válassza az Azure-beli virtuális gépet.

  3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza az Új létrehozása lehetőséget.
    Írja be a myResourceGroup nevet.
    Válassza az OK gombot.
    Példány részletei
    Virtuális gép neve Adja meg a myVM-et.
    Régió Válassza az USA keleti régióját.
    Rendelkezésre állási beállítások Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
    Biztonsági típus Hagyja meg a Standard alapértelmezett értékét.
    Kép Válassza az Ubuntu Server 20.04 LTS – x64 Gen2 lehetőséget.
    Méret Válasszon egy méretet, vagy hagyja meg az alapértelmezett beállítást.
    Rendszergazdai fiók
    Hitelesítés típusa Válassza a Jelszó lehetőséget.
    Felhasználónév Adjon meg egy felhasználónevet.
    Jelszó Adjon meg egy jelszót.
    Jelszó megerősítése Jelszó újraküldése.

  4. Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek, majd a Tovább: Hálózatkezelés lehetőséget.

  5. A Hálózatkezelés lapon válassza az Új létrehozása lehetőséget új virtuális hálózat létrehozásához.

  6. A Virtuális hálózat létrehozása területen adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Név Adja meg a myVNet értéket.
    Címtér
    Címtartomány Adja meg a 10.0.0.0/16 értéket.
    Alhálózatok
    Alhálózat neve Írja be a mySubnetet.
    Címtartomány Adja meg a 10.0.0.0/24 értéket.

  7. Kattintson az OK gombra.

  8. Adja meg vagy válassza ki a következő értékeket a Hálózatkezelés lapon:

    Beállítás Érték
    Nyilvános IP-cím Válassza a Nincs lehetőséget.
    Hálózati hálózati biztonsági csoport Válassza az Alapszintű lehetőséget.
    Nyilvános bejövő portok Válassza a Nincs lehetőséget.

    Feljegyzés

    Az Azure létrehoz egy alapértelmezett hálózati biztonsági csoportot a myVM virtuális géphez (mivel az alapszintű hálózati hálózati biztonsági csoportot választotta). Ezzel az alapértelmezett hálózati biztonsági csoport használatával tesztelheti a virtuális gép felé és onnan érkező hálózati kommunikációt a következő szakaszban.

  9. Válassza az Áttekintés + létrehozás lehetőséget.

  10. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Hálózati kommunikáció tesztelése IP-forgalom ellenőrzése használatával

Ebben a szakaszban a Network Watcher IP-forgalom-ellenőrzési funkcióját használja a virtuális gép felé és a virtuális gépről való hálózati kommunikáció teszteléséhez.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények közül.

  2. A Hálózati diagnosztikai eszközök területen válassza az IP-forgalomellenőrző elemet.

  3. Az IP-folyamat ellenőrzésének lapján adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Célerőforrás
    Virtuális gép Válassza ki a myVM virtuális gépet.
    Hálózati adapter Válassza ki a myVM hálózati adapterét. Amikor az Azure Portal használatával hoz létre egy virtuális gépet, a portál a virtuális gép nevével és egy véletlenszerű számmal (például myvm36) nevezi el a hálózati adaptert.
    Csomag részletei
    Protokoll Válassza a TCP lehetőséget.
    Irány Válassza a Kimenő lehetőséget.
    Helyi port Adja meg a 60000-et. Válasszon egy portszámot az Internet Assigned Numbers Authority (IANA) tartományból dinamikus vagy privát portokhoz.
    Távoli IP-cím Adja meg a 13.107.21.200-at. Ez az IP-cím a webhely EGYIK IP-címe www.bing.com .
    Távoli IP-cím Adja meg a 80-at

    Feljegyzés

    Ha nem látja a virtuális gépet a kiválasztható virtuális gépek listájában, győződjön meg arról, hogy fut. A leállított virtuális gépek nem választhatók ki az IP-forgalom ellenőrzésének teszteléséhez.

    Képernyőkép az IP-forgalom ellenőrzéséhez beírt értékekről az első teszthez.

  4. Válassza az IP-forgalom ellenőrzése gombot.

    Néhány másodperc elteltével megjelenik a teszt eredménye, amely azt jelzi, hogy a hozzáférés engedélyezett a 13.107.21.200-ra az AllowInternetOutBound alapértelmezett biztonsági szabály miatt.

    Képernyőkép a 13.107.21.200 IP-címre történő IP-forgalom-ellenőrzés eredményéről.

  5. Módosítsa a távoli IP-címet 10.0.1.10-re, amely egy privát IP-cím a myVNet-címtérben. Ezután ismételje meg a tesztet az IP-forgalom ellenőrzése gomb ismételt kiválasztásával. A második teszt eredménye azt jelzi, hogy a hozzáférés engedélyezett a 10.0.1.10-hez az AllowVnetOutBound alapértelmezett biztonsági szabály miatt.

    Képernyőkép a 10.0.1.10 IP-címre történő IP-forgalom-ellenőrzés eredményéről.

  6. Módosítsa a távoli IP-címet 10.10.10.10-re, és ismételje meg a tesztet. A harmadik teszt eredménye azt jelzi, hogy a hozzáférés megtagadva a 10.10.10.10-hez az alapértelmezett DenyAllOutBound biztonsági szabály miatt.

    Képernyőkép a 10.10.10.10 IP-címre történő IP-forgalom-ellenőrzés eredményéről.

  7. Módosítsa az irányt bejövőre, a helyi portot 80-ra, a távoli portot pedig 60000-re, majd ismételje meg a tesztet. A negyedik teszt eredménye azt jelzi, hogy a hozzáférés megtagadva a 10.10.10.10-től az alapértelmezett DenyAllInBound biztonsági szabály miatt.

    Képernyőkép az IP-forgalom ellenőrzésének eredményéről a 10.10.10.10 IP-címről.

Biztonsági szabály részleteinek megtekintése

Annak megállapításához, hogy az előző szakaszban szereplő szabályok miért engedélyezik vagy tiltják le a kommunikációt, tekintse át a myVM virtuális gép hálózati adapterére vonatkozó hatályos biztonsági szabályokat.

  1. A Network Watcher Hálózati diagnosztikai eszközei területén válassza az Érvényes biztonsági szabályok lehetőséget.

  2. Válassza ki a következő információkat:

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza a myResourceGroup lehetőséget.
    Virtuális gép Válassza ki a myVM-et.

    Feljegyzés

    A myVM virtuális gépnek van egy hálózati adaptere, amelyet a myVM kiválasztása után választ ki. Ha a virtuális gép több hálózati adaptert is használ, válassza ki azt, amelyiket látni szeretné a hatályos biztonsági szabályokkal.

    Képernyőkép a Network Watcher hatályos biztonsági szabályairól.

  3. A Kimenő szabályok területen válassza az AllowInternetOutBound lehetőséget az engedélyezett cél IP-címelőtagok megtekintéséhez ebben a biztonsági szabályban.

    Az AllowInternetOutBound szabály előtagjainak képernyőképe.

    Láthatja, hogy a 13.104.0.0/13 címelőtag az AllowInternetOutBound szabály címelőtagjai közé tartozik. Ez az előtag magában foglalja a 13.107.21.200 IP-címet, amelyet az előző szakasz 4. lépésében tesztelt.

    Hasonlóképpen ellenőrizheti a többi szabályt is, hogy az egyes szabályok alatt megjelenjenek a forrás- és cél IP-címelőtagok.

Az IP-forgalom ellenőrzése ellenőrzi az Azure alapértelmezett és konfigurált biztonsági szabályait. Ha az ellenőrzések a várt eredményeket adják vissza, és továbbra is hálózati problémákat tapasztal, győződjön meg arról, hogy nincs tűzfal a virtuális gép és a végpont között, amellyel kommunikál, és hogy a virtuális gép operációs rendszere nem rendelkezik olyan tűzfallal, amely megtagadja a kommunikációt.

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölje az erőforráscsoportot és a benne lévő összes erőforrást:

  1. Írja be a myResourceGroup nevet a portál tetején lévő keresőmezőbe. Válassza ki a myResourceGroup elemet a keresési eredmények közül.

  2. Válassza az Erőforráscsoport törlése elemet.

  3. Az erőforráscsoport törlése mezőbe írja be a myResourceGroup nevet, majd válassza a Törlés lehetőséget.

  4. Válassza a Törlés lehetőséget az erőforráscsoport és az összes erőforrás törlésének megerősítéséhez.

Következő lépés

Virtuálisgép-hálózat útválasztási problémáinak diagnosztizálása