Wie funktioniert der Virtual Network Verifier?
Im Azure Virtual Network Manager ermöglicht es Ihnen der Virtual Network Verifier, zu überprüfen, ob Ihre Netzwerkrichtlinien den Datenverkehr zwischen Ihren Azure-Netzwerkressourcen zulassen oder nicht zulassen. Das Tool kann Sie beim Beantworten einfacher Diagnosefragen unterstützen, um herauszufinden, warum die Erreichbarkeit nicht wie erwartet gegeben ist. Darüber hinaus können sie mit seiner Hilfe nachweisen, dass Ihre Azure-Einrichtung den Complianceanforderungen Ihrer Organisation im Hinblick auf die Sicherheit entspricht. Wenn Sie eine Erreichbarkeitsanalyse in Virtual Network Verifier ausführen, können Sie beispielsweise die Frage beantworten, warum zwei VMs nicht miteinander kommunizieren können.
Wichtig
Virtual Network Verifier ist derzeit als öffentliche Vorschauversion verfügbar.
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Diese öffentliche Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
Wie funktioniert der Verifier-Arbeitsbereich?
Virtual Network Verifier ist in jeder Netzwerkmanagerinstanz über eine Ressource namens Verifier-Arbeitsbereich verfügbar, die als Container für die untergeordneten Ressourcen und Funktionen von Virtual Network Verifier fungiert. Ein Netzwerkmanager kann über einen oder mehrere Verifier-Arbeitsbereiche verfügen. Sie können an Benutzer delegiert werden, die den Netzwerkmanager nicht verwenden. Ein Verifier-Arbeitsbereich verwendet den folgenden Workflow, um Netzwerkdaten zu sammeln und zu analysieren.
Erstellen eines Verifier-Arbeitsbereichs
Ein Verifier-Arbeitsbereich ist eine untergeordnete Ressource eines Netzwerkmanagers. Die Berechtigungen können an Administratorbenutzer delegiert werden, die den Netzwerkmanager nicht verwenden. Er kann über das Azure-Portal ermittelt werden. Der Verifier-Arbeitsbereich enthält eigene untergeordnete Ressourcen: Erreichbarkeitsanalyseabsichten und -ergebnisse. Er verwendet den Bereich des übergeordneten Netzwerkmanagers als Grenze zum Ausführen von Analysen.
Delegieren einer Verifier-Arbeitsbereichsressource
Standardmäßig verfügen Benutzer mit Berechtigungen für einen Netzwerkmanager über Berechtigungen zum Erstellen, Löschen und Erweitern von Berechtigungen für einen Verifier-Arbeitsbereich. Einem Benutzer, der nicht über die Berechtigung für den übergeordneten Netzwerkmanager eines Verifier-Arbeitsbereichs verfügt, können mithilfe der Zugriffssteuerung des Verifier-Arbeitsbereichs durch Zuweisen der Rolle „Mitwirkender“ Berechtigungen erteilt werden. Das Gewähren einer Benutzerberechtigung für einen Verifier-Arbeitsbereich auf diese Weise gewährt dem jeweiligen Benutzer keinen Zugriff auf die übrige Netzwerkmanagerinstanz.
Erstellen einer Erreichbarkeitsanalyseabsicht
Innerhalb eines Verifier-Arbeitsbereichs erstellen Sie eine Erreichbarkeitsanalyseabsicht, um den Datenverkehrspfad zwischen einer Quelle und einem Ziel zu definieren, die Sie überprüfen möchten. Die Erreichbarkeitsanalyseabsicht umfasst die folgenden Felder:
| Feld | **Beschreibung** |
|---|---|
| Quelle | Die Quelle des Datenverkehrs. Dies kann eine VM, ein Subnetz oder das Internet sein. |
| Quellports | Die Quellports des Datenverkehrs. |
| Quell-IP-Adressen | Die Quell-IP-Adressen des Datenverkehrs. |
| Ziel | Das Ziel des Datenverkehrs. Dies kann eine VM, ein Subnetz, Cosmos DB, ein Speicherkonto, SQL Server oder das Internet sein. |
| Zielports | Die Zielports des Datenverkehrs. |
| Ziel-IP-Adressen | Die Ziel-IP-Adressen des Datenverkehrs. |
| Protokoll | Das Protokoll für den Datenverkehr. |
Sie können mehrere Erreichbarkeitsanalyseabsichten innerhalb eines Verifier-Arbeitsbereich erstellen und parallel ausführen. Jeder Benutzer mit Berechtigungen für einen bestimmten Verifier-Arbeitsbereich kann Erreichbarkeitsanalyseabsichten erstellen, anzeigen und löschen.
Ausführen einer Erreichbarkeitsanalyseabsicht
Nachdem Sie eine Erreichbarkeitsanalyseabsicht definiert haben, müssen Sie eine Analyse durchführen, um Überprüfungsergebnisse zu erhalten. Diese statische Analyse überprüft, ob verschiedene Ressourcen und Richtlinienkonfigurationen im Bereich des Netzwerkmanagers die Erreichbarkeit zwischen der angegebenen Quelle und dem Ziel der Erreichbarkeitsanalyse beibehalten. Sobald die Analyse abgeschlossen ist, erzeugt sie ein Erreichbarkeitsanalyseergebnis.
Das Erreichbarkeitsanalyseergebnis ist ein JSON-Objekt, das angibt, ob Pakete das Ziel der Erreichbarkeitsanalyseabsicht von ihrer Quelle aus erreichen können. Es enthält Details zum Verbindungspfad, der zeigt, wo Datenverkehr blockiert wurde, sofern die Quelle und das Ziel keine Verbindung herstellen konnten. Es enthält Informationen zu den Ressourcen und ihren Metadaten auf dem Pfad, unabhängig vom Ergebnis der Erreichbarkeitsanalyse.
Im Azure-Portal wird dieses Analyseergebnis für die Erreichbarkeitsanalyseabsicht visualisiert, um den Vorwärtspfad der definierten Konnektivität der Erreichbarkeitsanalyseabsicht zu zeigen. Jeder Benutzer mit Zugriff auf den Verifier-Arbeitsbereich kann eine Erreichbarkeitsanalyse für alle Erreichbarkeitsanalyseabsichten innerhalb dieses Verifier-Arbeitsbereichs ausführen.
Unterstützte Funktionen der Erreichbarkeitsanalyse
Beim Ausführen wertet eine Erreichbarkeitsanalyse die folgenden Funktionen aus:
- NSG-Regel (Netzwerksicherheitsgruppe)
- Regeln der Anwendungssicherheitsgruppe (ASG)
- Sicherheitsverwaltungsregeln von Azure Virtual Network Manager
- Gittertopologie (verbundene Gruppe) von Azure Virtual Network Manager
- Peering in virtuellen Netzwerken
- Routentabellen
- Dienstendpunkte und Zugriffssteuerungslisten
- Private Endpunkte
- Virtual WAN
Diese Liste wird in Zukunft erweitert.
Grenzwerte
Folgende Einschränkungen in der öffentlichen Vorschau von Virtual Network Verifier bestehen:
- Eine Erreichbarkeitsanalyse kann nur für eine einzelne Erreichbarkeitsanalyseabsicht ausgeführt werden.
- Subnetze, die als Quelle und/oder Ziel einer Erreichbarkeitsanalyseabsicht ausgewählt werden, müssen mindestens eine ausgeführten VM aufweisen, damit ein Erreichbarkeitsanalyseergebnis bereitgestellt werden kann.
- Erreichbarkeitsanalyseergebnisse basieren auf der Auswertung unterstützter Azure-Dienste, -Ressourcen und -Richtlinien, die hier als unterstützte Funktionen aufgeführt sind. Das tatsächliche Datenverkehrsverhalten, das sich aus den oben nicht explizit aufgeführten Diensten ergibt, kann vom Erreichbarkeitsanalyseergebnis abweichen.