Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa guida introduttiva si distribuisce una macchina virtuale e si usa Network Watcher verifica del flusso IP per testare la connettività da e verso indirizzi IP diversi. Usando i risultati della verifica del flusso IP, si determina la regola di sicurezza che blocca il traffico e causa l'errore di comunicazione e si apprende come risolverlo. Si apprenderà anche come usare le regole di sicurezza efficaci per un'interfaccia di rete per determinare il motivo per cui una regola di sicurezza consente o nega il traffico.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Prerequisiti
- Un account Azure con una sottoscrizione attiva
Accedere ad Azure
Accedere al portale di Azure con il proprio account Azure.
Creare una macchina virtuale
Nella casella di ricerca nella parte superiore del portale immettere Macchine virtuali. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare + Crea, quindi scegliere Macchina virtuale di Azure.
In Crea macchina virtuale immettere o selezionare i valori seguenti nella scheda Informazioni di base:
Impostazione valore Dettagli del progetto Subscription Selezionare la sottoscrizione di Azure. Gruppo di risorse Selezionare Crea nuovo.
Immettere myResourceGroup in Nome.
Selezionare OK.Dettagli istanza Nome della macchina virtuale Immettere myVM. Region Selezionare (Stati Uniti) Stati Uniti orientali. Opzioni di disponibilità Selezionare Nessuna ridondanza dell'infrastruttura necessaria. Tipo di sicurezza Lasciare l'impostazione predefinita Standard. Immagine Selezionare Ubuntu Server 20.04 LTS - x64 Gen2. Dimensione Scegliere una dimensione o lasciare l'impostazione predefinita. Account amministratore Tipo di autenticazione selezionare Password. Nome utente Immettere un nome utente. Parola chiave Immettere una password. Conferma password Reimmettere la password. Selezionare la scheda Rete oppure selezionare Avanti: Dischi e quindi Avanti: Rete.
Nella scheda Rete, selezionare Crea nuovo per creare una nuova rete virtuale.
In Crea rete virtuale immettere o selezionare i valori seguenti:
Impostazione valore Nome Immettere myVNet. Spazio degli indirizzi Intervallo di indirizzi Immettere 10.0.0.0/16. Subnet Nome della subnet Immettere mySubnet. Intervallo di indirizzi Immettere 10.0.0.0/24. Selezionare OK.
Immettere o selezionare i valori seguenti nella scheda Rete:
Impostazione valore IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Basic. Porte in ingresso pubbliche Selezionare Nessuno. Note
Azure creerà un gruppo di sicurezza di rete predefinito per la macchina virtuale myVM (perché è stato selezionato il gruppo di sicurezza di rete NIC Basic). Questo gruppo di sicurezza di rete predefinito verrà usato per testare la comunicazione di rete da e verso la macchina virtuale nella sezione successiva.
Selezionare Rivedi e crea.
Rivedere le impostazioni e quindi selezionare Crea.
Testare la comunicazione di rete usando la verifica del flusso IP
In questa sezione si usa la funzionalità di verifica del flusso IP di Network Watcher per testare la comunicazione di rete da e verso la macchina virtuale.
Nella casella di ricerca nella parte superiore del portale immettere Network Watcher. Nei risultati della ricerca selezionare Network Watcher.
In Strumenti di diagnostica di rete, selezionare Verifica flusso IP.
Nella pagina di verifica del flusso IP, immettere o selezionare i valori seguenti:
Impostazione valore Risorsa di destinazione Macchina virtuale Selezionare la macchina virtuale myVM. interfaccia di rete Selezionare l'interfaccia di rete di myVM. Quando si usa il portale di Azure per creare una macchina virtuale, il portale assegna un nome all'interfaccia di rete usando il nome della macchina virtuale e un numero casuale, ad esempio myvm36. Dettagli pacchetto Protocollo selezionare TCP. Direction Selezionare In uscita. Porta locale Immettere 60000. Scegliere un numero di porta compreso nell'intervallo IANA (Internet Assigned Numbers Authority) per le porte dinamiche o private. Indirizzo IP remoto Immettere 13.107.21.200. Questo indirizzo IP è uno degli indirizzi IP del sito Web www.bing.com.Porta remota Immettere 80 Note
Se la macchina virtuale non è presente nell'elenco delle macchine virtuali disponibili per la selezione, assicurarsi che sia in esecuzione. Le macchine virtuali arrestate non sono disponibili per la selezione per il test di verifica flusso IP.
Selezionare il pulsante Verifica flusso IP.
Dopo alcuni secondi, è possibile visualizzare il risultato del test, che indica che l'accesso è consentito alla versione 13.107.21.200 a causa della regola di sicurezza predefinita AllowInternetOutBound.
Impostare l'indirizzo IP remoto su 10.0.1.10, ovvero un indirizzo IP privato nello spazio indirizzi myVNet. Ripetere quindi il test selezionando di nuovo il pulsante Verifica flusso IP. Il risultato del secondo test indica che l'accesso è consentito alla versione 10.0.1.10 a causa della regola di sicurezza predefinita AllowVnetOutBound.
Modificare l'indirizzo IP remoto in 10.10.10.10 e ripetere il test. Il risultato del terzo test indica che l'accesso è negato a 10.10.10.10 a causa della regola di sicurezza predefinita DenyAllOutBound.
Modificare direzione in ingresso, porta locale a 80e porta remota a 60000, quindi ripetere il test. Il risultato del quarto test indica che l'accesso è negato da 10.10.10.10 a causa della regola di sicurezza predefinita DenyAllInBound.
Visualizzare i dettagli di una regola di sicurezza
Per determinare il motivo per cui le regole nella sezione precedente consentono o negano la comunicazione, esaminare le regole di sicurezza valide per l'interfaccia di rete nella macchina virtuale myVM.
In Strumenti di diagnostica di rete in Network Watcher, selezionare Regole di sicurezza valide.
Selezionare le informazioni seguenti:
Impostazione valore Subscription Selezionare la sottoscrizione di Azure. Gruppo di risorse Selezionare myResourceGroup. Macchina virtuale Selezionare myVM. Note
La macchina virtuale myVM ha un'interfaccia di rete che verrà selezionata dopo aver selezionato myVM. Se la macchina virtuale ha più di un'interfaccia di rete, scegliere quella in cui visualizzare le regole di sicurezza valide.
In Regole in uscita, selezionare AllowInternetOutBound per visualizzare i prefissi degli indirizzi IP di destinazione consentiti in questa regola di sicurezza.
È possibile notare che il prefisso dell'indirizzo 13.104.0.0/13 è tra i prefissi degli indirizzi della regola AllowInternetOutBound. Questo prefisso comprende l'indirizzo IP 13.107.21.200 testato nel passaggio 4 della sezione precedente.
Analogamente, è possibile controllare le altre regole per visualizzare i prefissi degli indirizzi IP di origine e di destinazione in ogni regola.
La verifica del flusso IP controlla le regole di sicurezza predefinite e configurate di Azure. Se i controlli restituiscono i risultati previsti e si verificano ancora problemi di rete, assicurarsi di non disporre di un firewall tra la macchina virtuale e l'endpoint con cui si sta comunicando e che il sistema operativo nella macchina virtuale non disponga di un firewall che neghi la comunicazione.
Pulire le risorse
Quando non sono più necessari, eliminare il gruppo di risorse e tutte le risorse in esso contenute:
Nella casella di ricerca nella parte superiore del portale, immettere myResourceGroup. Selezionare myResourceGroup nei risultati della ricerca.
Selezionare Elimina gruppo di risorse.
In Elimina un gruppo di risorse immettere myResourceGroup e quindi selezionare Elimina.
Selezionare Elimina per confermare l'eliminazione del gruppo di risorse e di tutte le relative risorse.