Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Virtual Network Managerben a hálózati ellenőrző egy eszköz, amellyel ellenőrizheti, hogy a hálózati házirendek engedélyezik-e vagy tiltják-e le a forgalmat az Azure-hálózati erőforrások között. A kapcsolat, a biztonság, az útválasztás és az erőforrás-specifikus konfigurációk között több mozgó rész is van – honnan tudja tehát, hogy az Azure-környezetben beállított elemek valóban elérik a hálózati erőforrások közötti elérhetőséget? Akár diagnosztizálja, hogy miért nem működik az elérhetőség a várt módon, vagy hogy az Azure-beállítás megfelel-e a szervezet biztonsági megfelelőségi követelményeinek, a hálózati ellenőrző választ adhat. Amikor egy elérhetőségi elemzést futtat a hálózati ellenőrzőben, az olyan kérdésekre is választ ad, mint például hogy miért nem tud két virtuális gép kommunikálni egymással a teljes elérhetőségi útvonal és a blokkolók biztosításával.
Fontos
Az Azure Virtual Network Manager hálózati hitelesítője általánosan elérhető a következő régiókban:
- australiaeast
- központi
- eastus
- eastus2
- eastus2euap
- northeurope
- USA déli középső régiója
- uksouth
- westeurope
- westus
- westus2
Hogyan működik a hálózati hitelesítő?
A hálózati hitelesítő minden network manager-példányban elérhető egy hitelesítő munkaterület nevű erőforráson keresztül, amely tárolóként szolgál a hálózati hitelesítő gyermekerőforrásaihoz és képességeihez. A hálózatkezelők egy vagy több hitelesítő munkaterületet is használhatnak, és ezek a hitelesítő munkaterületek delegálhatók nem hálózatkezelő felhasználók számára. A hitelesítő munkaterület a következő munkafolyamatot használja a hálózati adatok gyűjtésére és elemzésére.
Hitelesítő munkaterület létrehozása
A hitelesítő munkaterület egy hálózatkezelő gyermekerőforrása. Az engedélyek delegálhatók a nem hálózatkezelő rendszergazdai felhasználók számára, és az Azure Portalról is felderíthetők. A hitelesítő munkaterület saját gyermekerőforrásokat tartalmaz az elérhetőségi elemzési szándékokról és az elérhetőségi elemzési eredményekről, és a szülőhálózat-kezelő hatókörét használja az elemzés futtatásához. A hatókörön belüli Bármely Azure-erőforrás, konfiguráció és szabály kiértékelhető az elérhetőségi elemzésben anélkül, hogy a fölérendelt hálózatkezelő hatókörének előfizetéseihez és felügyeleti csoportjaihoz felhasználói engedélyeket kellene emelnie.
Hitelesítő munkaterület erőforrásának delegálása
Alapértelmezés szerint a hálózatkezelői engedélyekkel rendelkező felhasználók rendelkeznek engedéllyel a hitelesítő munkaterületek létrehozásához, törléséhez és kiterjesztéséhez. A hitelesítő munkaterület szülőhálózat-kezelőjének engedélyével nem rendelkező felhasználók a hitelesítő munkaterület hozzáférés-vezérlésén keresztül adhatnak engedélyeket a "Közreműködő" szerepkör hozzárendelésével. Ha így ad felhasználói engedélyt egy hitelesítő munkaterületnek, az nem ad hozzáférést a felhasználónak a hálózatkezelő többi példányához.
Elérhetőségi elemzési szándék létrehozása
A hitelesítő munkaterületen létre kell hoznia egy elérhetőségi elemzési szándékot, amely meghatározza az ellenőrizni kívánt forrás és cél közötti forgalmi útvonalat. Az elérhetőségi elemzési szándék a következő mezőket tartalmazza:
| Mező | **Leírás** |
|---|---|
| Forrás | A forgalom forrása, amely lehet virtuális gép, virtuálisgép-méretezési csoportpéldány, alhálózat vagy internet. |
| Forrásportok | A forgalom forrásportjai. |
| Forrás IP-címei | A forgalom forrás IP-címei. |
| Cél | A forgalom célja, amely lehet virtuális gép, virtuálisgép-méretezési csoportpéldány, alhálózat, Cosmos DB, tárfiók, SQL Server vagy internet. |
| Célportok | A forgalom célportjai. |
| Cél IP-címek | A forgalom cél IP-címei. |
| Protokoll | A forgalom protokollja. |
Több elérhetőségi elemzési szándékot is létrehozhat egy hitelesítő munkaterületen, és párhuzamosan futtathatja őket. Az adott hitelesítő munkaterülethez engedélyekkel rendelkező felhasználók létrehozhatják, megtekinthetik és törölhetik az elérhetőségi elemzési szándékokat.
Elérhetőségi elemzés futtatása
Az elérhetőségi elemzési szándék definiálása után elemzést kell futtatnia az elérhetőségi elemzés eredményének fogadásához. Ez a statikus elemzés ellenőrzi, hogy a hálózatkezelő hatókörében található különböző erőforrások és szabályzatkonfigurációk megőrzik-e az elérhetőségi elemzési szándék adott forrás és cél közötti elérhetőségét. Amint az elemzés befejeződött, elérhetőségi elemzési eredményt hoz létre.
Az elérhetőségi elemzés eredménye egy JSON-objektum, amely részletezi, hogy a csomagok el tudják-e érni az elérhetőségi elemzési szándék célhelyét a forrásból. A kapcsolat útvonalával kapcsolatos részleteket tartalmaz, amelyek azt mutatják, hogy hol blokkolták a forgalmat, ha a forrás és a cél nem tudott csatlakozni. Információkat tartalmaz az útvonal erőforrásairól és azok metaadatairól, függetlenül az elérhetőségi elemzés eredményétől.
Az Azure Portalon ez az elérhetőségi elemzési eredmény az elérhetőségi elemzési szándék definiált kapcsolatának előrehaladt útvonalát jeleníti meg. A hitelesítő munkaterülethez hozzáféréssel rendelkező felhasználók az adott hitelesítő munkaterületen belül bármilyen elérhetőségi elemzési szándékon futtathatnak elérhetőségi elemzést.
Az elérhetőségi elemzés támogatott funkciói
Futtatáskor a hálózati hitelesítő elérhetőségi elemzése a következő funkciókat értékeli ki:
- Hálózati biztonsági csoport- (NSG-) szabályok
- Alkalmazásbiztonsági csoport (ASG) szabályai
- Az Azure Virtual Network Manager biztonsági rendszergazdai szabályai
- Azure Virtual Network Manager mesh topológia (csatlakoztatott csoport)
- Virtuális hálózati kapcsolat
- Útválasztási táblázatok
- Szolgáltatásvégpontok & hozzáférés-vezérlési listák
- Privát végpontok
- Virtuális WAN
- Azure Firewall (csak statikus L4)
Ez a lista bővülhet.
Mikor érdemes hálózati hitelesítőt használni?
A hálózati hitelesítőt úgy tervezték, hogy segítsen ellenőrizni az Azure hálózati konfigurációit és erőforrásait, biztosítva, hogy azok megfeleljenek a kívánt elérhetőségnek, és megfeleljenek a belső szabványoknak. Ez az eszköz különösen hasznosnak bizonyul az Azure-hálózat telepítésének tervezési és üzembe helyezés utáni fázisai során. Ha váratlan forgalmi kedvezményeket vagy eltéréseket tapasztal, a hálózati ellenőrző segít megállapítani az eltérések eredetét az Azure-környezetben várható elérhetőségtől. A részletes elérhetőségi elemzési eredmények segítségével a hálózati ellenőrző rekonstruálhatja az Azure vezérlősíkon a forrás–cél útvonalát, így nyomon követheti a helytelen konfiguráció helyét.
A hálózat hitelesítője számos, az Azure-ra vonatkozó hálózati erőforrás-elérhetőséggel kapcsolatos kérdés megválaszolásában segíthet, többek között a következőkben:
- Nyilvános internetes IP-cím egy adott virtuális gépre, alhálózatra vagy más erőforrásra
- A forgalommegtagadást és a kiértékelési sorrendet érvényesítő biztonsági szabályok ellenőrzése, például NSG-szabályokkal és biztonsági rendszergazdai szabályokkal
- A privát végpont mögötti erőforrások elérésének megerősítése
- Az elméleti forgalom útvonalának átalakítása egy virtuális WAN-on keresztül
Az összetettebb hibaelhárítási forgatókönyvek esetében a hálózati hitelesítő kiváló kiindulópontként szolgál. Az elérhetőségi elemzés eredményei végigvezetik a diagnosztikai folyamat következő lépésein, és az operatív monitorozásra, a hálózati teljesítményre és az adatútvonalszintű hálózat hibaelhárítására specializálódott eszközökre irányítják.
Korlátok
A hálózati hitelesítő korlátozásai a következők:
- Az elérhetőségi elemzések csak egyetlen elérhetőségi elemzési szándékkal futtathatók.
- Az elérhetőségi elemzési szándék forrásaként és/vagy céljaként kiválasztott alhálózatoknak legalább egy futó virtuális géppel kell rendelkezniük ahhoz, hogy elérhetőségi elemzési eredményt lehessen adni.
- Az elérhetőségi elemzés eredményei a támogatott Azure-szolgáltatások, erőforrások és szabályzatok támogatott funkciókként felsorolt kiértékelésén alapulnak. A fent nem kifejezetten felsorolt szolgáltatásokból eredő tényleges forgalom viselkedése eltérhet az elérhetőségi elemzés eredményétől.