Como funciona o Verificador de Rede Virtual?
No Gerenciador de Rede Virtual do Azure, o Verificador de Rede Virtual permite verificar se as políticas de rede permitem ou não o tráfego entre os recursos de rede do Azure. Ele pode ajudar você a responder perguntas de diagnóstico simples para saber o porquê de a acessibilidade não estar funcionando conforme o esperado e provar a conformidade da configuração do Azure para os requisitos de conformidade de segurança da sua organização. Quando você executa uma análise de acessibilidade no Verificador de Rede Virtual, ele pode responder a perguntas como por que duas máquinas virtuais não podem se comunicar entre si.
Importante
O Verificador de Rede Virtual no Gerenciador de Rede Virtual do Azure está atualmente em versão prévia pública:
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
Essa versão de visualização pública é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
Como funciona o Workspace do Verificador?
O Verificador de Rede Virtual está disponível em todas as instâncias do gerenciador de rede por meio de um recurso chamado workspace verificador, que atua como um contêiner para recursos e recursos filho do Verificador de Rede Virtual. Um gerenciador de rede pode ter um ou mais workspaces de verificador e esses workspaces de verificador podem ser delegados a usuários que não são do gerenciador de rede. Um workspace do verificador usa o fluxo de trabalho a seguir para coletar e analisar dados de rede.
Criar um workspace do verificador
Um workspace do verificador é um recurso filho de um gerenciador de rede. Suas permissões podem ser delegadas a usuários administradores que não são do gerenciador de rede e podem ser descobertas no portal do Azure. O workspace do verificador inclui seus próprios recursos filho de intenções de análise de acessibilidade e resultados de análise de alcance e usa o escopo do gerenciador de rede pai como o limite para executar a análise.
Delegar um recurso do workspace do verificador
Por padrão, os usuários com permissões para um gerenciador de rede têm permissões para criar, excluir e estender permissões de um workspace do verificador. Um usuário que não tem permissão para o gerenciador de rede pai de um workspace verificador pode receber permissões por meio do controle de acesso do workspace verificador atribuindo-lhes a função de “Colaborador”. Conceder permissão de usuário a um workspace do verificador dessa forma não dá a esse usuário acesso ao restante da instância do gerenciador de rede.
Criar uma intenção de análise de acessibilidade
Em um workspace do verificador, você cria uma intenção de análise de acessibilidade para definir o caminho de tráfego entre uma origem e um destino que você deseja verificar. A intenção de análise de acessibilidade inclui os seguintes campos:
| Campo | **Descrição ** |
|---|---|
| Origem | A origem do tráfego que pode ser uma máquina virtual, uma sub-rede ou a Internet. |
| Portas de origem | As portas de origem do tráfego. |
| Endereços IP da fonte | Os endereços IP de origem do tráfego. |
| Destino | O destino do tráfego que pode ser uma máquina virtual, sub-rede, Cosmos DB, conta de armazenamento, SQL Server ou Internet. |
| Portas de destino | As portas de destino do tráfego. |
| Endereços IP de destino | Os endereços IP de destino do tráfego. |
| Protocolo | O protocolo do tráfego. |
Você pode criar várias intenções de análise de acessibilidade em um workspace do verificador e executá-las em paralelo. Qualquer usuário com permissões para um determinado workspace de verificador pode criar, exibir e excluir suas intenções de análise de acessibilidade.
Executar uma análise de acessibilidade
Depois de definir uma intenção de análise de acessibilidade, você precisa executar uma análise para obter resultados de verificação. Essa análise estática verifica se vários recursos e configurações de política no escopo do gerenciador de rede preservam a acessibilidade entre a origem e o destino determinados da intenção de análise de acessibilidade. Depois que a análise é feita, ela produz um resultado de análise de acessibilidade.
O resultado da análise de alcance é um objeto JSON que indica se os pacotes podem alcançar o destino da intenção de análise de alcance de sua origem. Ele fornece detalhes sobre o caminho da conectividade, mostrando onde o tráfego foi bloqueado se a origem e o destino não puderam se conectar. Ele inclui informações sobre os recursos no caminho e seus metadados, independentemente do resultado da análise de acessibilidade.
No portal do Azure, esse resultado de análise de acessibilidade é visualizado para mostrar o caminho de encaminhamento da conectividade definida da intenção de análise de alcance. Qualquer usuário com acesso ao workspace do verificador pode executar uma análise de acessibilidade em qualquer intenção de análise de acessibilidade dentro desse workspace do verificador.
Recursos com suporte da análise de acessibilidade
Quando executada, uma análise de acessibilidade avalia os seguintes recursos:
- Regras de NSG (Grupo de segurança de rede)
- Regras de grupo de segurança de aplicativo (ASG)
- Regras de administrador de segurança do Gerenciador de Rede Virtual do Azure
- Topologia de malha do Gerenciador de Rede Virtual do Azure (grupo conectado)
- Emparelhamento de rede virtual
- Tabelas de rotas
- Pontos de extremidade de serviço e listas de controle de acesso
- Pontos de extremidade privados
- WAN Virtual
Esta lista está sujeita à expansão.
Limites
As limitações na visualização pública do Verificador de Rede Virtual são as seguintes:
- Uma análise de acessibilidade só pode ser executada em uma única intenção de análise de alcance.
- As sub-redes selecionadas como origem e/ou destino de uma intenção de análise de acessibilidade devem ter pelo menos uma máquina virtual em execução para que um resultado de análise de acessibilidade seja fornecido.
- Os resultados da análise de alcance baseiam-se na avaliação de serviços, recursos e políticas do Azure com suporte listados aqui como recursos compatíveis. O comportamento real de tráfego resultante de serviços não explicitamente listados acima pode variar do resultado da análise de acessibilidade.