Share via

Mulai Cepat: Mendiagnosis masalah filter lalu lintas jaringan komputer virtual menggunakan portal Azure

  • Artikel

Dalam mulai cepat ini, Anda menyebarkan komputer virtual dan menggunakan verifikasi alur IP Network Watcher untuk menguji konektivitas ke dan dari alamat IP yang berbeda. Dengan menggunakan hasil verifikasi alur IP, Anda menentukan aturan keamanan yang memblokir lalu lintas dan menyebabkan kegagalan komunikasi dan mempelajari bagaimana Anda dapat mengatasinya. Anda juga mempelajari cara menggunakan aturan keamanan yang efektif untuk antarmuka jaringan untuk menentukan mengapa aturan keamanan mengizinkan atau menolak lalu lintas.

Diagram shows the resources created in Network Watcher quickstart.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Prasyarat

  • Akun Azure dengan langganan aktif

Masuk ke Azure

Masuk ke portal Azure dengan akun Azure Anda.

Membuat mesin virtual

  1. Di kotak pencarian di bagian atas portal, masukkan komputer virtual. Pilih Jaringan Virtual dalam hasil pencarian.

  2. Pilih + Buat lalu pilih komputer virtual Azure.

  3. Di Buat komputer virtual, ketik atau pilih nilai berikut di tab Dasar:

    Pengaturan Nilai
    Detail Proyek
    Langganan Pilih langganan Azure Anda.
    Grup Sumber Daya Pilih Buat baru.
    Masukkan myResourceGroup di Nama.
    Pilih OK.
    Detail instans
    Nama komputer virtual Masukkan myVM.
    Wilayah Pilih (AS) AS Timur.
    Opsi Ketersediaan Pilih Tidak diperlukan redundansi infrastruktur.
    Jenis keamanan Biarkan default Standar.
    Gambar Pilih Ubuntu Server 20.04 LTS - x64 Gen2.
    Ukuran Pilih ukuran atau biarkan pengaturan default.
    Akun administrator
    Jenis autentikasi Pilih Kata sandi.
    Nama Pengguna Masukkan nama pengguna.
    Kata sandi Masukkan kata sandi.
    Mengonfirmasikan kata sandi Masukkan ulang kata sandi.

  4. Pilih tab Jaringan atau pilih Berikutnya: Disk, lalu Berikutnya: Jaringan.

  5. Di tab Jaringan , pilih Buat baru untuk membuat jaringan virtual baru.

  6. Di Buat jaringan virtual, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Nama Masukkan myVNet.
    Ruang alamat
    Rentang alamat Ketik 10.0.0.0/16.
    Subnet
    Nama subnet Masukkan mySubnet.
    Rentang alamat Masukkan 10.0.0.0/24.

  7. Pilih OK.

  8. Masukkan atau pilih nilai berikut di tab Jaringan :

    Pengaturan Nilai
    IP Publik Pilih Tidak ada.
    kelompok keamanan jaringan NIC Pilih Dasar.
    Port masuk publik Pilih Tidak ada.

    Catatan

    Azure akan membuat grup keamanan jaringan default untuk komputer virtual myVM (karena Anda memilih grup keamanan jaringan NIC Dasar ). Anda akan menggunakan grup keamanan jaringan default ini untuk menguji komunikasi jaringan ke dan dari komputer virtual di bagian berikutnya.

  9. Pilih Tinjau + buat.

  10. Tinjau pengaturan, lalu pilih Buat.

Menguji komunikasi jaringan menggunakan verifikasi alur IP

Di bagian ini, Anda menggunakan kemampuan verifikasi alur IP Network Watcher untuk menguji komunikasi jaringan ke dan dari komputer virtual.

  1. Di kotak pencarian di bagian atas portal, masukkan pengamat jaringan. Pilih Network Watcher di hasil pencarian.

  2. Di bawah Alat diagnostik jaringan, pilih Verifikasi alur IP.

  3. Di halaman verifikasi alur IP, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Sumber daya target
    Komputer virtual Pilih komputer virtual myVM .
    Antarmuka jaringan Pilih antarmuka jaringan myVM. Saat Anda menggunakan portal Azure untuk membuat komputer virtual, portal memberi nama antarmuka jaringan menggunakan nama komputer virtual dan nomor acak (misalnya myvm36).
    Detail paket
    Protokol Pilih TCP.
    Arah Pilih Keluar.
    Port lokal Masukkan 60000. Pilih nomor port apa pun dari rentang Internet Assigned Numbers Authority (IANA) untuk port dinamis atau privat.
    Alamat IP jarak jauh Masukkan 13.107.21.200. Alamat IP ini adalah salah satu alamat www.bing.com IP situs web.
    Port jarak jauh Masukkan 80

    Catatan

    Jika Anda tidak melihat komputer virtual dalam daftar komputer virtual yang tersedia untuk dipilih, pastikan komputer virtual berjalan. Komputer virtual yang dihentikan tidak tersedia untuk dipilih untuk pengujian verifikasi alur IP.

    Screenshot shows the values to input in IP flow verify for first test.

  4. Pilih tombol Verifikasi alur IP.

    Setelah beberapa detik, Anda dapat melihat hasil pengujian, yang menunjukkan bahwa akses diizinkan ke 13.107.21.200 karena aturan keamanan default AllowInternetOutBound.

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. Ubah alamat IP Jarak Jauh menjadi 10.0.1.10, yang merupakan alamat IP privat di ruang alamat myVNet . Kemudian, ulangi pengujian dengan memilih tombol Verifikasi alur IP lagi. Hasil pengujian kedua menunjukkan bahwa akses diizinkan ke 10.0.1.10 karena aturan keamanan default AllowVnetOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. Ubah alamat IP Jarak Jauh menjadi 10.10.10.10 dan ulangi pengujian. Hasil pengujian ketiga menunjukkan bahwa akses ditolak menjadi 10.10.10.10 karena aturan keamanan default DenyAllOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. Ubah Arah ke Masuk, Port lokal menjadi 80, dan Port jarak jauh menjadi 60000, lalu ulangi pengujian. Hasil pengujian keempat menunjukkan bahwa akses ditolak dari 10.10.10.10 karena aturan keamanan default DenyAllInBound.

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

Lihat detail aturan keamanan

Untuk menentukan mengapa aturan di bagian sebelumnya mengizinkan atau menolak komunikasi, tinjau aturan keamanan yang efektif untuk antarmuka jaringan di komputer virtual myVM .

  1. Di bawah Alat diagnostik jaringan di Network Watcher, pilih Aturan keamanan yang efektif.

  2. Pilih informasi berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup Sumber Daya Pilih myResourceGroup.
    Komputer virtual Pilih myVM.

    Catatan

    komputer virtual myVM memiliki satu antarmuka jaringan yang akan dipilih setelah Anda memilih myVM. Jika komputer virtual Anda memiliki lebih dari satu antarmuka jaringan, pilih antarmuka yang ingin Anda lihat aturan keamanannya yang efektif.

    Screenshot of Effective security rules in Network Watcher.

  3. Di bawah Aturan keluar, pilih AllowInternetOutBound untuk melihat awalan alamat IP tujuan yang diizinkan di bawah aturan keamanan ini.

    Screenshot of the prefixes of AllowInternetOutBound rule.

    Anda dapat melihat bahwa awalan alamat 13.104.0.0/13 adalah salah satu awalan alamat aturan AllowInternetOutBound . Awalan ini mencakup alamat IP 13.107.21.200 yang Anda uji di langkah 4 dari bagian sebelumnya.

    Demikian pula, Anda dapat memeriksa aturan lain untuk melihat awalan alamat IP sumber dan tujuan di bawah setiap aturan.

Verifikasi alur IP memeriksa aturan keamanan default dan dikonfigurasi Azure. Jika pemeriksaan mengembalikan hasil yang diharapkan dan Anda masih memiliki masalah jaringan, pastikan Anda tidak memiliki firewall antara komputer virtual Anda dan titik akhir yang berkomunikasi dengan Anda dan bahwa sistem operasi di komputer virtual Anda tidak memiliki firewall yang menolak komunikasi.

Membersihkan sumber daya

Bila tidak lagi diperlukan, hapus grup sumber daya dan semua sumber daya yang ada di dalamnya:

  1. Masukkan myResourceGroup di kotak pencarian di bagian atas portal. Pilih myResourceGroup dari hasil pencarian.

  2. Pilih Hapus grup sumber daya.

  3. Di Hapus grup sumber daya, masukkan myResourceGroup, lalu pilih Hapus.

  4. Pilih Hapus untuk mengonfirmasi penghapusan grup sumber daya dan semua sumber dayanya.

Langkah selanjutnya

Mendiagnosis masalah perutean jaringan komputer virtual