Краткое руководство. Диагностика проблемы с фильтром трафика на виртуальной машине с помощью портала Azure

  • Статья

В этом кратком руководстве вы развертываете виртуальную машину и используете Наблюдатель за сетями IP-поток проверки подключения к разным IP-адресам и из разных IP-адресов. Используя результаты проверки IP-потока, вы определяете правило безопасности, блокирующее трафик и вызывающее сбой связи, и узнайте, как его можно устранить. Вы также узнаете, как использовать действующие правила безопасности для сетевого интерфейса, чтобы определить, почему правило безопасности разрешает или запрещает трафик.

Diagram shows the resources created in Network Watcher quickstart.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Необходимые компоненты

  • Учетная запись Azure с активной подпиской

Вход в Azure

Войдите на портал Azure с помощью своей учетной записи Azure.

Создание виртуальной машины

  1. В поле поиска в верхней части портала введите виртуальные машины. В результатах поиска выберите Виртуальные машины.

  2. Нажмите кнопку "+ Создать ", а затем выберите виртуальную машину Azure.

  3. В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Создать.
    Введите myResourceGroup в поле Имя.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Virtual machine name Введите myVM.
    Регион Выберите регион (США) Восточная часть США.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Оставьте значение по умолчанию Стандартный.
    Image Выберите Ubuntu Server 20.04 LTS — x64-го поколения 2-го поколения.
    Size Выберите размер или оставьте параметр по умолчанию.
    Учетная запись администратора
    Тип аутентификации выберите Пароль.
    Имя пользователя Введите имя пользователя.
    Password Введите пароль.
    Подтверждение пароля Введите пароль еще раз.

  4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

  5. На вкладке "Сеть" выберите "Создать" , чтобы создать виртуальную сеть.

  6. В разделе "Создание виртуальной сети" введите или выберите следующие значения:

    Параметр Значение
    Имя Введите myVNet.
    Адресное пространство
    Диапазон адресов Введите 10.0.0.0/16.
    Подсети
    Имя подсети Введите mySubnet.
    Диапазон адресов Введите 10.0.0.0/24.

  7. Нажмите ОК.

  8. Введите или выберите следующие значения на вкладке "Сеть".

    Параметр Значение
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сети сетевого адаптера Выберите Базовый.
    Общедоступные входящие порты Выберите Отсутствует.

    Примечание.

    Azure создаст группу безопасности сети по умолчанию для виртуальной машины myVM (так как выбрана группа безопасности сети "Базовый сетевой адаптер"). Эта группа безопасности сети по умолчанию будет использоваться для тестирования сетевого взаимодействия с виртуальной машиной и из нее в следующем разделе.

  9. Выберите Review + create (Просмотреть и создать).

  10. Проверьте параметры, а затем нажмите кнопку Создать.

Проверка сетевого взаимодействия с помощью проверки IP-потока

В этом разделе описано, как проверить возможность Наблюдатель за сетями ip-потока для проверки сетевого взаимодействия с виртуальной машиной и из нее.

  1. В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.

  2. В разделе Средства диагностики сети выберите Проверка IP-потока.

  3. На странице проверки потока IP-адресов введите или выберите следующие значения:

    Параметр Значение
    Целевой ресурс
    Виртуальная машина Выберите виртуальную машину myVM .
    Сетевой интерфейс Выберите сетевой интерфейс myVM. При использовании портал Azure для создания виртуальной машины портал присваивает имя сетевого интерфейса с помощью имени виртуальной машины и случайного числа (например, myvm36).
    Сведения о пакете
    Протокол Выберите TCP.
    Направление Выберите Исходящие.
    Локальный порт Введите 60000. Выберите любой номер порта в диапазоне Центра назначения номеров Интернета (IANA) для динамических или частных портов.
    Удаленный IP-адрес Введите 13.107.21.200. Этот IP-адрес является одним из IP-адресов www.bing.com веб-сайта.
    Удаленный порт Введите 80

    Примечание.

    Если виртуальная машина не отображается в списке доступных для выбора виртуальных машин, убедитесь, что она запущена. Остановленные виртуальные машины недоступны для проверки IP-потока.

    Screenshot shows the values to input in IP flow verify for first test.

  4. Нажмите кнопку "Проверить ПОТОК IP ".

    Через несколько секунд вы увидите результат теста, указывающий, что доступ разрешен к 13.107.21.200 из-за правила безопасности AllowInternetOutBound по умолчанию.

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. Измените удаленный IP-адрес на 10.0.1.10, который является частным IP-адресом в адресном пространстве myVNet . Затем повторите тест, нажав кнопку "Проверить ip-поток " еще раз. Результат второго теста указывает, что доступ разрешен к 10.0.1.10 из-за правила безопасности AllowVnetOutBound по умолчанию.

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. Измените удаленный IP-адрес на 10.10.10 и повторите тест. Результат третьего теста указывает, что доступ запрещен в 10.10.10.10 из-за правила безопасности DenyAllOutBound по умолчанию.

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. Измените направление на входящий трафик, локальный порт на 80 и удаленный порт на 60000, а затем повторите тест. Результат четвертого теста указывает, что доступ запрещен в версии 10.10.10.10 из-за правила безопасности DenyAllInBound по умолчанию.

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

Просмотр сведений о правиле безопасности

Чтобы определить, почему правила в предыдущем разделе разрешают или запрещают обмен данными, просмотрите действующие правила безопасности сетевого интерфейса в виртуальной машине myVM .

  1. В разделе "Средства диагностики сети" в Наблюдатель за сетями выберите "Действующие правила безопасности".

  2. Выберите следующие сведения:

    Параметр Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите myResourceGroup.
    Виртуальная машина Выберите myVM.

    Примечание.

    Виртуальная машина myVM имеет один сетевой интерфейс, который будет выбран после выбора myVM. Если виртуальная машина имеет несколько сетевых интерфейсов, выберите его действующие правила безопасности.

    Screenshot of Effective security rules in Network Watcher.

  3. В разделе "Правила исходящего трафика" выберите AllowInternetOutBound , чтобы просмотреть префиксы разрешенных IP-адресов назначения в этом правиле безопасности.

    Screenshot of the prefixes of AllowInternetOutBound rule.

    Этот префикс адреса 13.104.0.0/13 является одним из префиксов адреса правила AllowInternetOutBound . Этот префикс охватывает IP-адрес 13.107.21.200 , который вы проверили на шаге 4 предыдущего раздела.

    Аналогичным образом можно проверка другие правила, чтобы просмотреть префиксы исходного и целевого IP-адресов в каждом правиле.

IP-поток проверяет, проверка azure по умолчанию и настроены правила безопасности. Если проверка возвращают ожидаемые результаты и у вас по-прежнему возникают проблемы с сетью, убедитесь, что у вас нет брандмауэра между виртуальной машиной и конечной точкой, с которыми вы взаимодействуете, и что операционная система на виртуальной машине не имеет брандмауэра, который запрещает обмен данными.

Очистка ресурсов

Удалите группу ресурсов и все содержащиеся в ней ресурсы, когда она станет не нужна.

  1. В поле поиска в верхней части портала введите myResourceGroup. Выберите myResourceGroup из результатов поиска.

  2. Выберите команду Удалить группу ресурсов.

  3. В разделе "Удалить группу ресурсов" введите myResourceGroup и нажмите кнопку "Удалить".

  4. Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.

Следующий шаг

Диагностика проблем с маршрутизацией сети виртуальной машины