Guida introduttiva: Diagnosticare un problema di filtro del traffico di rete di una macchina virtuale con il Portale di Azure
In questa guida introduttiva si distribuisce una macchina virtuale e si usa la verifica del flusso IP di Network Watcher per testare la connettività da e verso indirizzi IP diversi. Usando i risultati della verifica del flusso IP, si determina la regola di sicurezza che blocca il traffico e causa l'errore di comunicazione e si apprenderà come risolverlo. Si apprenderà anche come usare le regole di sicurezza valide per un'interfaccia di rete per determinare il motivo per cui una regola di sicurezza consente o nega il traffico.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Prerequisiti
- Un account Azure con una sottoscrizione attiva
Accedere ad Azure
Accedere al portale di Azure con il proprio account Azure.
Creare una macchina virtuale
Nella casella di ricerca nella parte superiore del portale immettere macchine virtuali. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea e quindi selezionare Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare i valori seguenti nella scheda Informazioni di base:
Impostazione Valore Dettagli del progetto Subscription Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Crea nuovo.
Immettere myResourceGroup in Nome.
Selezionare OK.Dettagli istanza Virtual machine name Immettere myVM. Area Selezionare (Stati Uniti) Stati Uniti orientali. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Lasciare l'impostazione predefinita Standard. Immagine Selezionare Ubuntu Server 20.04 LTS - x64 Gen2. Dimensione Scegliere una dimensione o lasciare l'impostazione predefinita. Account amministratore Tipo di autenticazione selezionare Password. Nome utente Immettere un nome utente. Password Immettere una password. Conferma password Reimmettere la password. Selezionare la scheda Rete oppure selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete selezionare Crea nuovo per creare una nuova rete virtuale.
In Crea rete virtuale immettere o selezionare i valori seguenti:
Impostazione valore Nome Immetti myVNet. Spazio indirizzi Intervallo di indirizzi Immettere 10.0.0.0/16. Subnet Nome subnet Immettere mySubnet. Intervallo di indirizzi Immettere 10.0.0.0/24. Seleziona OK.
Immettere o selezionare i valori seguenti nella scheda Rete :
Impostazione Valore IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Basic. Porte in ingresso pubbliche Selezionare Nessuno. Nota
Azure creerà un gruppo di sicurezza di rete predefinito per la macchina virtuale myVM ( perché è stato selezionato il gruppo di sicurezza di rete NIC di base ). Questo gruppo di sicurezza di rete predefinito verrà usato per testare la comunicazione di rete da e verso la macchina virtuale nella sezione successiva.
Selezionare Rivedi e crea.
Rivedere le impostazioni e quindi selezionare Crea.
Testare la comunicazione di rete usando la verifica del flusso IP
In questa sezione si usa la funzionalità di verifica del flusso IP di Network Watcher per testare la comunicazione di rete da e verso la macchina virtuale.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Strumenti di diagnostica di rete selezionare Verifica flusso IP.
Nella pagina Verifica flusso IP immettere o selezionare i valori seguenti:
Impostazione Valore Risorsa di destinazione Macchina virtuale Selezionare la macchina virtuale myVM . Interfaccia di rete Selezionare l'interfaccia di rete di myVM. Quando si usa il portale di Azure per creare una macchina virtuale, il portale assegna un nome all'interfaccia di rete usando il nome della macchina virtuale e un numero casuale, ad esempio myvm36. Dettagli pacchetto Protocollo Selezionare TCP. Orientamento Seleziona In uscita. Porta locale Immettere 60000. Scegliere qualsiasi numero di porta dall'intervallo IANA (Internet Assigned Numbers Authority) per le porte dinamiche o private. Indirizzo IP remoto Immettere 13.107.21.200. Questo indirizzo IP è uno degli indirizzi IP del www.bing.comsito Web.Porta remota Immettere 80 Nota
Se la macchina virtuale non viene visualizzata nell'elenco delle macchine virtuali disponibili per la selezione, assicurarsi che sia in esecuzione. Le macchine virtuali arrestate non sono disponibili per la selezione per il test di verifica del flusso IP.
Selezionare il pulsante Verifica flusso IP.
Dopo alcuni secondi, è possibile visualizzare il risultato del test, che indica che l'accesso è consentito a 13.107.21.200 a causa della regola di sicurezza predefinita AllowInternetOutBound.
Impostare Indirizzo IP remoto su 10.0.1.10, ovvero un indirizzo IP privato nello spazio indirizzi myVNet . Ripetere quindi il test selezionando di nuovo il pulsante Verifica flusso IP. Il risultato del secondo test indica che l'accesso è consentito a 10.0.1.10 a causa della regola di sicurezza predefinita AllowVnetOutBound.
Impostare Indirizzo IP remoto su 10.10.10.10 e ripetere il test. Il risultato del terzo test indica che l'accesso viene negato a 10.10.10.10 a causa della regola di sicurezza predefinita DenyAllOutBound.
Impostare Direzionein ingresso, porta locale su 80 e porta remota su 60000 e quindi ripetere il test. Il risultato del quarto test indica che l'accesso viene negato dalla versione 10.10.10.10 a causa della regola di sicurezza predefinita DenyAllInBound.
Visualizzare i dettagli di una regola di sicurezza
Per determinare il motivo per cui le regole della sezione precedente consentono o negano la comunicazione, esaminare le regole di sicurezza valide per l'interfaccia di rete nella macchina virtuale myVM .
In Strumenti di diagnostica di rete in Network Watcher selezionare Regole di sicurezza valide.
Selezionare le informazioni seguenti:
Impostazione Valore Subscription Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare myResourceGroup. Macchina virtuale Selezionare myVM. Nota
la macchina virtuale myVM ha un'interfaccia di rete che verrà selezionata dopo aver selezionato myVM. Se la macchina virtuale ha più di un'interfaccia di rete, scegliere quella che si vuole visualizzare le regole di sicurezza valide.
In Regole in uscita selezionare AllowInternetOutBound per visualizzare i prefissi degli indirizzi IP di destinazione consentiti in questa regola di sicurezza.
È possibile notare che il prefisso dell'indirizzo 13.104.0.0/13 è tra i prefissi di indirizzo della regola AllowInternetOutBound. Questo prefisso include l'indirizzo IP 13.107.21.200 testato nel passaggio 4 della sezione precedente.
Analogamente, è possibile controllare le altre regole per visualizzare i prefissi degli indirizzi IP di origine e di destinazione in ogni regola.
La verifica del flusso IP controlla le regole di sicurezza predefinite e configurate di Azure. Se i controlli restituiscono i risultati previsti e si verificano ancora problemi di rete, assicurarsi di non avere un firewall tra la macchina virtuale e l'endpoint con cui si sta comunicando e che il sistema operativo nella macchina virtuale non abbia un firewall che nega la comunicazione.
Pulire le risorse
Quando non sono più necessari, eliminare il gruppo di risorse e tutte le risorse in esso contenute:
Nella casella di ricerca nella parte superiore del portale immettere myResourceGroup. Selezionare myResourceGroup nei risultati della ricerca.
Selezionare Elimina gruppo di risorse.
In Elimina un gruppo di risorse immettere myResourceGroup e quindi selezionare Elimina.
Selezionare Elimina per confermare l'eliminazione del gruppo di risorse e di tutte le relative risorse.