在 Azure 虚拟网络管理器中,网络验证程序是一种工具,可用于检查网络策略是否允许或禁止 Azure 网络资源之间的流量。 连接、安全、路由和资源特定的配置之间有多个相互关联的部分;因此,如何了解您在 Azure 环境中设置的内容是否实际上达到了您希望在网络资源中实现的连通性? 无论是诊断为什么可访问性无法按预期工作,还是证明 Azure 设置符合组织的安全符合性要求,网络验证程序都可以提供答案。 在网络验证程序中运行可访问性分析时,它可以通过提供完整的可访问性路径和阻止程序来回答问题,例如为什么两个虚拟机无法相互通信。
重要
Azure Virtual Network Manager 中的虚拟网络验证程序目前处于公共预览阶段:
- chinanorth3
此公共预览版在提供时没有附带服务级别协议,建议不要将其用于生产工作负载。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
网络验证程序的工作原理是什么?
网络验证程序通过名为验证程序工作区的资源在每个网络管理器实例中可用,该工作区充当网络验证程序的子资源和功能的容器。 网络管理器可以拥有一个或多个验证工具工作区,这些验证工具工作区可以委托给非网络管理器用户。 验证工具工作区使用以下工作流来收集和分析网络数据。
创建验证工具工作区
验证工具工作区是网络管理器的子资源。 它的权限可以委托给非网络管理器管理员用户,并且可以通过 Azure 门户发现它。 验证工具工作区包括其自身的可访问性分析意图和可访问性分析结果子资源,并使用其父级网络管理器的范围作为运行分析的边界。 此范围内的任何 Azure 资源、配置和规则都可以在可访问性分析中进行评估,而无需提升其父网络管理器范围的订阅和管理组的用户权限。
委托验证工具工作区资源
默认情况下,拥有网络管理器权限的用户有权创建、删除和扩展验证工具工作区的权限。 没有验证工具工作区父级网络管理器权限的用户可以通过验证工具工作区的访问控制获得权限,方法是向其分配“参与者”角色。以这种方式授予用户验证工具工作区的权限并不意味着该用户可以访问网络管理器实例的其他部分。
创建可访问性分析意向
在验证工具工作区内,可以创建可访问性分析意图,以定义要验证的源和目标之间的流量路径。 可访问性分析意图包括以下字段:
| 领域 | **说明 ** |
|---|---|
| 来源 | 流量源可以是虚拟机、虚拟机规模集的实例、子网或互联网。 |
| 源端口 | 流量的源端口。 |
| 源 IP 地址 | 流量的源 IP 地址。 |
| 目的地 | 流量的目标,可以是虚拟机、虚拟机规模集实例、子网、Cosmos DB、存储帐户、SQL Server 或 Internet。 |
| 目标端口 | 流量的目标端口。 |
| 目标 IP 地址 | 流量的目标 IP 地址。 |
| 协议 | 流量的协议。 |
可以在验证工具工作区中创建多个可访问性分析意图,并行运行它们。 任何拥有给定验证工具工作区权限的用户都可以创建、查看和删除其可访问性分析意图。
运行可访问性分析
定义可访问性分析的意图后,需要运行分析才能获得可访问性分析结果。 这种静态分析会检查网络管理器范围内的各种资源和策略配置是否保留了可访问性分析意图的给定源和目标之间的可访问性。 分析完成后,将会生成可访问性分析结果。
可访问性分析结果是一个 JSON 对象,详细说明了数据包是否能从源到达可访问性分析意图的目标。 它提供了连接路径的详细信息,显示了源和目标无法连接时流量受阻的位置。 它包括有关路径上资源及其元数据的信息,而不考虑可访问性分析结果如何。
在 Azure 门户中,这种可访问性分析结果经过可视化,以显示可访问性分析意图定义的连接的前向路径。 任何可以访问验证工具工作区的用户都可以对该验证工具工作区内的任何可访问性分析意图运行可访问性分析。
可访问性分析支持的功能
可访问性分析运行时,将会评估以下功能:
- 网络安全组 (NSG) 规则
- 应用程序安全组 (ASG) 规则
- Azure Virtual Network Manager 安全管理规则
- Azure Virtual Network Manager 网格拓扑(已连接的组)
- 虚拟网络对等互连
- 路由表
- 服务终结点和访问控制列表
- 专用终结点
- 虚拟 WAN
- Azure 防火墙(仅限静态 L4)
此列表可能会扩展。
何时应使用网络验证程序?
网络验证程序旨在帮助验证 Azure 网络配置和资源,确保它们符合预期可访问性并符合内部标准。 此工具在 Azure 网络设置的设计和部署后阶段证明特别有用。 当您遇到意外的流量允许或阻止时,网络验证工具可帮助您准确定位这些偏差在您的 Azure 环境中与预期可访问性之间的来源。 借助其详细的可访问性分析结果,网络验证程序可以重新构造 Azure 控制平面中采用的源到目标路径,使你能够跟踪错误配置所在位置。
网络验证程序可帮助你回答有关 Azure 网络资源可访问性的几个问题,包括:
- 给定虚拟机、子网或其他资源的公用 Internet IP 地址
- 验证实施流量拒绝和评估顺序的安全规则,例如使用 NSG 规则和安全管理员规则。
- 确认专用终结点后面的资源可访问性
- 通过虚拟 WAN 重新构建理论流量路径
对于更复杂的故障排除方案,网络验证程序作为一个很好的起点。 其可访问性分析结果可指导你完成诊断旅程中的后续步骤,指导你使用专用于作监视、网络性能和数据路径级网络故障排除的工具。
限制
网络验证程序的限制如下:
- 可访问性分析只能针对单个可访问性分析意向运行。
- 被选为可访问性分析意图的源和/或目标的子网必须至少有一台正在运行的虚拟机,才能提供可访问性分析结果。
- 可访问性分析结果基于对此处列为支持功能的受支持 Azure 服务、资源和策略的评估。 未在上面明确列出的服务所产生的实际流量行为可能与可访问性分析结果不同。