Comment fonctionne le Vérificateur de réseau virtuel ?
Dans Azure Virtual Network Manager, le Vérificateur de réseau virtuel vous permet de vérifier si vos stratégies réseau autorisent ou interdisent le trafic entre vos ressources réseau Azure. Il peut vous aider à répondre à des questions de diagnostic simples pour catégoriser les raisons pour lesquelles l’accessibilité ne fonctionne pas comme prévu et prouver la conformité de votre configuration Azure aux exigences de conformité de sécurité de votre organisation. Lorsque vous exécutez une analyse d’accessibilité dans le Vérificateur de réseau virtuel, il peut répondre à des questions telles que la raison pour laquelle deux machines virtuelles ne peuvent pas communiquer entre elles.
Important
Le Vérificateur de réseau virtuel dans Azure Virtual Network Manager est actuellement en préversion publique :
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Cette préversion publique est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Comment fonctionne l’espace de travail du Vérificateur ?
Le Vérificateur de réseau virtuel est disponible dans chaque instance du gestionnaire de réseau par le biais d’une ressource appelée espace de travail de vérificateur, qui joue le rôle de conteneur pour les fonctionnalités et les ressources enfants du Vérificateur de réseau virtuel. Un gestionnaire de réseau peut avoir un ou plusieurs espaces de travail de vérificateur et ces espaces de travail de vérificateur peuvent être délégués à des utilisateurs non gestionnaires réseau. Un espace de travail de vérificateur utilise le flux de travail suivant pour collecter et analyser les données réseau.
Créer un espace de travail de vérificateur
Un espace de travail de vérificateur est une ressource enfant d’un gestionnaire de réseau. Ses autorisations peuvent être déléguées aux utilisateurs non administrateurs gestionnaires de réseau et il est détectable à partir du Portail Azure. L’espace de travail du vérificateur inclut ses propres ressources enfants d’intentions d’analyse d’accessibilité et les résultats de l’analyse d’accessibilité, et il utilise l’étendue de son gestionnaire de réseau parent comme limite pour exécuter l’analyse.
Déléguer une ressource d’espace de travail de vérificateur
Par défaut, les utilisateurs disposant d’autorisations pour un gestionnaire de réseau disposent des autorisations nécessaires pour créer, supprimer et étendre les autorisations d’un espace de travail de vérificateur. Un utilisateur qui n’a pas d’autorisation sur le gestionnaire de réseau parent d’un espace de travail de vérificateur peut recevoir des autorisations via le contrôle d’accès de l’espace de travail du vérificateur en lui attribuant le rôle « Contributeur ». L’octroi d’une autorisation utilisateur à un espace de travail de vérificateur de cette façon ne donne pas à cet utilisateur l’accès au reste de l’instance du gestionnaire de réseau.
Créer une intention d’analyse d’accessibilité
Dans un espace de travail de vérificateur, vous créez une intention d’analyse d’accessibilité pour définir le chemin du trafic entre une source et une destination que vous souhaitez vérifier. L’intention d’analyse d’accessibilité comprend les champs suivants :
| Champ | **Description ** |
|---|---|
| Source | La source du trafic qui peut être une machine virtuelle, un sous-réseau ou Internet. |
| Ports source | Les ports sources du trafic. |
| Adresses IP sources | Les adresses IP sources du trafic. |
| Destination | La destination du trafic qui peut être une machine virtuelle, un sous-réseau, Cosmos DB, un compte de stockage, un serveur SQL ou Internet. |
| Ports de destination | Les ports de destination du trafic. |
| Adresses IP de destination | Les adresses IP de destination du trafic. |
| Protocole | Le protocole du trafic. |
Vous pouvez créer plusieurs intentions d’analyse d’accessibilité au sein d’un espace de travail de vérificateur et les exécuter en parallèle. Tout utilisateur disposant d’autorisations pour un espace de travail de vérificateur donné peut créer, afficher et supprimer ses intentions d’analyse d’accessibilité.
Exécuter une analyse d’accessibilité
Après avoir défini une intention d’analyse d’accessibilité, vous devez effectuer une analyse pour obtenir les résultats de la vérification. Cette analyse statique vérifie si différentes ressources et configurations de stratégie dans l’étendue du gestionnaire de réseau conservent l’accessibilité entre la source et la destination données de l’intention d’analyse de l’accessibilité. Une fois l’analyse effectuée, elle produit un résultat d’analyse d’accessibilité.
Le résultat de l’analyse d’accessibilité est un objet JSON qui indique si les paquets peuvent atteindre la destination de l’intention d’analyse d’accessibilité à partir de sa source. Il fournit des détails sur le chemin de connectivité, montrant où le trafic a été bloqué si la source et la destination n’ont pas pu se connecter. Il inclut des informations sur les ressources sur le chemin et leurs métadonnées, quel que soit le résultat de l’analyse d’accessibilité.
Sur le Portail Azure, ce résultat d’analyse d’accessibilité est visualisé pour afficher le chemin d’accès avant de la connectivité définie par l’intention d’analyse d’accessibilité. Tout utilisateur ayant accès à l’espace de travail du vérificateur peut exécuter une analyse d’accessibilité sur n’importe quelle intention d’analyse d’accessibilité au sein de cet espace de travail du vérificateur.
Fonctionnalités prises en charge de l’analyse d’accessibilité
Lors de son exécution, une analyse d’accessibilité évalue les fonctionnalités suivantes :
- Règles du groupe de sécurité réseau (NSG)
- Règles du groupe de sécurité d’application (ASG)
- Règles d’administration de sécurité dans Azure Virtual Network Manager
- Topologie de maillage dans Azure Virtual Network Manager (groupe connecté)
- Appairage de réseaux virtuels
- Tables de routage
- Listes de contrôle d’accès et points de terminaison de service
- Instances Private Endpoint
- WAN virtuel
Cette liste est susceptible de se développer.
Limites
Les limitations de la préversion publique du vérificateur de réseau virtuel sont les suivantes :
- Une analyse d’accessibilité ne peut être exécutée que sur une seule intention d’analyse d’accessibilité.
- Les sous-réseaux sélectionnés comme source et/ou destination d’une intention d’analyse d’accessibilité doivent avoir au moins une machine virtuelle en cours d’exécution pour qu’un résultat d’analyse d’accessibilité soit fourni.
- Les résultats de l’analyse d’accessibilité sont basés sur l’évaluation des services, ressources et stratégies Azure pris en charge répertoriés ici comme fonctionnalités prises en charge. Le comportement réel du trafic résultant de services non explicitement répertoriés ci-dessus peut varier du résultat de l’analyse d’accessibilité.