Sanal Ağ Doğrulayıcı nasıl çalışır?
Azure Sanal Ağ Yöneticisi'nde Sanal Ağ Doğrulayıcı, ağ ilkelerinizin Azure ağ kaynaklarınız arasında trafiğe izin verilip verilmediğini denetlemenize olanak tanır. Erişilebilirliğin neden beklendiği gibi çalışmadığını belirlemeye yönelik basit tanılama sorularını yanıtlamanıza ve Azure kurulumunuzun kuruluşunuzun güvenlik uyumluluk gereksinimlerine uygun olduğunu kanıtlamanıza yardımcı olabilir. Sanal Ağ Doğrulayıcı'da bir ulaşılabilirlik analizi çalıştırdığınızda, iki sanal makinenin birbiriyle neden iletişim kuramaması gibi soruları yanıtlayabilir.
Önemli
Azure Sanal Ağ Manager'da Sanal Ağ Doğrulayıcı şu anda genel önizleme aşamasındadır:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- Orta Güney ABD
- uksouth
- westeurope
- westus
- westus2
Bu genel önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.
Doğrulayıcı Çalışma Alanı nasıl çalışır?
Sanal Ağ Doğrulayıcı, Sanal Ağ Doğrulayıcı'nın alt kaynakları ve özellikleri için kapsayıcı görevi gören doğrulayıcı çalışma alanı olarak adlandırılan bir kaynak aracılığıyla her ağ yöneticisi örneğinde kullanılabilir. Bir ağ yöneticisinin bir veya daha fazla doğrulayıcı çalışma alanı olabilir ve bu doğrulayıcı çalışma alanları ağ yöneticisi olmayan kullanıcılara devredilebilir. Doğrulayıcı çalışma alanı, ağ verilerini toplamak ve analiz etmek için aşağıdaki iş akışını kullanır.
Doğrulayıcı çalışma alanı oluşturma
Doğrulayıcı çalışma alanı, ağ yöneticisinin alt kaynağıdır. İzinleri, ağ yöneticisi olmayan yönetici kullanıcılara devredilebilir ve Azure portalından bulunabilir. Doğrulayıcı çalışma alanı, ulaşılabilirlik analizi amaçlarına ve ulaşılabilirlik analizi sonuçlarına sahip kendi alt kaynaklarını içerir ve çözümlemeyi çalıştırmak için üst ağ yöneticisinin kapsamını kullanır.
Doğrulayıcı çalışma alanı kaynağına temsilci seçme
Varsayılan olarak, ağ yöneticisi izinleri olan kullanıcılar bir doğrulayıcı çalışma alanının izinlerini oluşturma, silme ve genişletme izinlerine sahiptir. Doğrulayıcı çalışma alanının üst ağ yöneticisine izni olmayan bir kullanıcıya, "Katkıda Bulunan" rolü atanarak doğrulayıcı çalışma alanının erişim denetimi aracılığıyla izinler verilebilir. Bir doğrulayıcı çalışma alanına bu şekilde kullanıcı izni vermek, söz konusu kullanıcıya ağ yöneticisi örneğinin geri kalanına erişim vermez.
Ulaşılabilirlik analizi amacı oluşturma
Doğrulayıcı çalışma alanında, doğrulamak istediğiniz kaynak ve hedef arasındaki trafik yolunu tanımlamak için bir ulaşılabilirlik analizi amacı oluşturursunuz. Ulaşılabilirlik analizi amacı aşağıdaki alanları içerir:
| Alan | **Açıklama** |
|---|---|
| Kaynak | Sanal makine, alt ağ veya İnternet olabilecek trafiğin kaynağı. |
| Kaynak bağlantı noktaları | Trafiğin kaynak bağlantı noktaları. |
| Kaynak IP adresleri | Trafiğin kaynak IP adresleri. |
| Hedef | Sanal makine, alt ağ, Cosmos DB, depolama hesabı, SQL sunucusu veya İnternet olabilecek trafiğin hedefi. |
| Hedef bağlantı noktaları | Trafiğin hedef bağlantı noktaları. |
| Hedef IP adresleri | Trafiğin hedef IP adresleri. |
| Protokol | Trafiğin protokolü. |
Bir doğrulayıcı çalışma alanında birden çok ulaşılabilirlik analizi amacı oluşturabilir ve bunları paralel olarak çalıştırabilirsiniz. Belirli bir doğrulayıcı çalışma alanı için izinleri olan tüm kullanıcılar, ulaşılabilirlik analizi amaçlarını oluşturabilir, görüntüleyebilir ve silebilir.
Ulaşılabilirlik analizi çalıştırma
Ulaşılabilirlik analizi amacını tanımladıktan sonra doğrulama sonuçlarını almak için bir analiz gerçekleştirmeniz gerekir. Bu statik analiz, ağ yöneticisinin kapsamındaki çeşitli kaynakların ve ilke yapılandırmalarının, ulaşılabilirlik analizi amacının verilen kaynağı ve hedefi arasındaki erişilebilirliği koruyup korumadiğini denetler. Analiz tamamlandıktan sonra bir ulaşılabilirlik analizi sonucu üretir.
Ulaşılabilirlik analizi sonucu, paketlerin kaynağından ulaşılabilirlik analizi amacının hedefine ulaşıp ulaşamayacağını gösteren bir JSON nesnesidir. Kaynak ve hedef bağlanamadığında trafiğin nerede engellendiğini gösteren bağlantı yolu hakkında ayrıntılar sağlar. Ulaşılabilirlik analizi sonucunun sonucu ne olursa olsun yoldaki kaynaklar ve meta verileri hakkında bilgiler içerir.
Azure portalında bu ulaşılabilirlik analizi sonucu, ulaşılabilirlik analizi amacının tanımlı bağlantısının ileri yolunu gösterecek şekilde görselleştirilir. Doğrulayıcı çalışma alanına erişimi olan tüm kullanıcılar, bu doğrulayıcı çalışma alanı içindeki herhangi bir ulaşılabilirlik analizi amacı üzerinde bir ulaşılabilirlik analizi çalıştırabilir.
Ulaşılabilirlik analizinin desteklenen özellikleri
Çalıştırıldığında, ulaşılabilirlik analizi aşağıdaki özellikleri değerlendirir:
- Ağ güvenlik grubu (NSG) kuralları
- Uygulama güvenlik grubu (ASG) kuralları
- Azure Sanal Ağ Manager güvenlik yöneticisi kuralları
- Azure Sanal Ağ Manager mesh topolojisi (bağlı grup)
- Sanal ağ eşleme
- Yol tabloları
- Hizmet uç noktaları ve erişim denetimi listeleri
- Özel uç noktalar
- Sanal WAN
Bu liste genişletilir.
Sınırlar
Sanal Ağ Doğrulayıcı'nın genel önizlemesindeki sınırlamalar şunlardır:
- Ulaşılabilirlik analizi yalnızca tek bir ulaşılabilirlik analizi amacı üzerinde çalıştırılabilir.
- Ulaşılabilirlik analizi amacının kaynağı ve/veya hedefi olarak seçilen alt ağların, ulaşılabilirlik analizi sonucunun sağlanması için en az bir çalışan sanal makineye sahip olması gerekir.
- Ulaşılabilirlik analizi sonuçları, burada desteklenen özellikler olarak listelenen desteklenen Azure hizmetlerinin, kaynaklarının ve ilkelerinin değerlendirilmesini temel alır. Yukarıda açıkça listelenmeyen hizmetlerden kaynaklanan gerçek trafik davranışı, ulaşılabilirlik analizi sonucundan farklı olabilir.