Rychlý start: Diagnostika problému s filtrováním síťového provozu virtuálního počítače pomocí webu Azure PortalQuickstart: Diagnose a virtual machine network traffic filter problem using the Azure portal

V tomto rychlém startu nasadíte virtuální počítač a potom zkontrolujete obousměrnou komunikaci mezi IP adresou a adresou URL.In this quickstart, you deploy a virtual machine (VM), and then check communications to an IP address and URL and from an IP address. Určíte příčinu selhání komunikace a najdete jeho řešení.You determine the cause of a communication failure and how you can resolve it.

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.If you don't have an Azure subscription, create a free account before you begin.

Přihlaste se k Azure.Log in to Azure

Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.Log in to the Azure portal at https://portal.azure.com.

Vytvoření virtuálního počítačeCreate a VM

  1. V levém horním rohu webu Azure Portal vyberte + Vytvořit prostředek.Select + Create a resource found on the upper, left corner of the Azure portal.

  2. Vyberte COMPUTEa potom vyberte Windows Server 2016 Datacenter nebo verzi Ubuntu serveru.Select Compute, and then select Windows Server 2016 Datacenter or a version of Ubuntu Server.

  3. Zadejte nebo vyberte následující informace, u zbývajících nastavení přijměte výchozí hodnoty a pak vyberte OK:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    NastaveníSetting HodnotaValue
    NázevName myVmmyVm
    Uživatelské jménoUser name Zadejte libovolné uživatelské jméno.Enter a user name of your choosing.
    HesloPassword Zadejte libovolné heslo.Enter a password of your choosing. Heslo musí obsahovat nejméně 12 znaků a musí splňovat zadané požadavky na složitost.The password must be at least 12 characters long and meet the defined complexity requirements.
    PředplatnéSubscription Vyberte své předplatné.Select your subscription.
    Skupina prostředkůResource group Vyberte Vytvořit novou a zadejte myResourceGroup.Select Create new and enter myResourceGroup.
    UmístěníLocation Vyberte východní USASelect East US
  4. Vyberte velikost virtuálního počítače a pak vyberte Vybrat.Select a size for the VM and then select Select.

  5. V části Nastavení přijměte všechny výchozí hodnoty a vyberte OK.Under Settings, accept all the defaults, and select OK.

  6. V části Vytvořit na kartě Souhrn vyberte Vytvořit a spusťte nasazování virtuálního počítače.Under Create of the Summary, select Create to start VM deployment. Nasazení virtuálního počítače trvá několik minut.The VM takes a few minutes to deploy. Než budete pokračovat ve zbývajících krocích, počkejte, až virtuální počítač dokončí nasazování.Wait for the VM to finish deploying before continuing with the remaining steps.

Test síťové komunikaceTest network communication

Pokud chcete otestovat síťovou komunikaci pomocí sledovacího procesu sítě, nejprve ho povolte v alespoň jedné oblasti Azure a teprve potom použijte funkci ověření toků protokolu IP služby Network Watcher.To test network communication with Network Watcher, first enable a network watcher in at least one Azure region, and then use Network Watcher's IP flow verify capability.

Povolení Network WatcheruEnable network watcher

Pokud už sledovací proces sítě máte alespoň v jedné oblasti povolený, přeskočte vpřed na část Použití ověření toku protokolu IP.If you already have a network watcher enabled in at least one region, skip to Use IP flow verify.

  1. Na webu Azure Portal vyberte Všechny služby.In the portal, select All services. Do pole filtru zadejte Network Watcher.In the Filter box, enter Network Watcher. Jakmile se služba Network Watcher zobrazí ve výsledcích, vyberte ji.When Network Watcher appears in the results, select it.

  2. Povolte sledovací proces sítě v oblasti USA – východ, protože tam jste v předchozím kroku nasadili virtuální počítač.Enable a network watcher in the East US region, because that's the region the VM was deployed to in a previous step. Rozbalte Oblasti a potom vedle USA – východ vyberte ... (stejně jako v následujícím obrázku):Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Povolení Network Watcheru

  3. Vyberte Povolit Network Watcher.Select Enable Network Watcher.

Použití ověření toku protokolu IPUse IP flow verify

Když vytvoříte virtuální počítač, Azure u něj ve výchozím nastavení blokuje příchozí i odchozí síťový provoz.When you create a VM, Azure allows and denies network traffic to and from the VM, by default. Později můžete výchozí nastavení Azure přepsat a povolit nebo odepřít další typy provozu.You might later override Azure's defaults, allowing or denying additional types of traffic.

  1. Na webu Azure Portal vyberte Všechny služby.In the portal, select All services. Do pole filtru všech služeb zadejte Network Watcher.In the All services Filter box, enter Network Watcher. Jakmile se služba Network Watcher zobrazí ve výsledcích, vyberte ji.When Network Watcher appears in the results, select it.

  2. V části NÁSTROJE PRO DIAGNOSTIKU SÍTĚ vyberte Ověření toku protokolu IP.Select IP flow verify, under NETWORK DIAGNOSTIC TOOLS.

  3. Stejně jako na obrázku vyberte své předplatné, zadejte následující hodnoty, a potom vyberte Zkontrolovat:Select your subscription, enter or select the following values, and then select Check, as shown in the picture that follows:

    NastaveníSetting HodnotaValue
    Skupina prostředkůResource group Vyberte myResourceGroup.Select myResourceGroup
    Virtuální počítačVirtual machine Vyberte myVm.Select myVm
    Síťové rozhraníNetwork interface myVm – název síťového rozhraní, které web Azure Portal vytvořil, když jste vytvořili virtuální počítač, je jiný.myvm - The name of the network interface the portal created when you created the VM is different.
    Protocol (Protokol)Protocol TCPTCP
    SměrDirection OdchozíOutbound
    Místní IP adresaLocal IP address 10.0.0.410.0.0.4
    Místní portLocal port 6000060000
    Vzdálená IP adresaRemote IP address 13.107.21.200 – jedna z adres pro> <www.bing.com.13.107.21.200 - One of the addresses for <www.bing.com>.
    Vzdálený portRemote port 8080

    Ověření toku protokolu IP

    Po několika sekundách vás vrácený výsledek informuje, že přístup je povolený pravidlem zabezpečení s názvem AllowInternetOutbound.After a few seconds, the result returned informs you that access is allowed because of a security rule named AllowInternetOutbound. Pokud už jste sledovací proces sítě měli před spuštěním kontroly vytvořený v nějaké jiné oblasti, než je USA – východ, služba Network Watcher sledovací proces sítě v oblasti USA – východ vytvořila automaticky, když jste spustili kontrolu.When you ran the check, Network Watcher automatically created a network watcher in the East US region, if you had an existing network watcher in a region other than the East US region before you ran the check.

  4. Dokončete znovu krok tři, ale změňte možnost Vzdálená IP adresa na 172.31.0.100.Complete step 3 again, but change the Remote IP address to 172.31.0.100. Vrácený výsledek vás informuje o tom, že přístup byl odepřen kvůli pravidlu zabezpečení s názvem DefaultOutboundDenyAll.The result returned informs you that access is denied because of a security rule named DefaultOutboundDenyAll.

  5. Dokončete znovu krok tři, ale změňte Směr na Příchozí, Místní port na 80 a Vzdálený port na 60000.Complete step 3 again, but change the Direction to Inbound, the Local port to 80 and the Remote port to 60000. Vrácený výsledek vás informuje o tom, že přístup byl odepřen kvůli pravidlu zabezpečení s názvem DefaultInboundDenyAll.The result returned informs you that access is denied because of a security rule named DefaultInboundDenyAll.

Nyní, když už víte, která pravidla zabezpečení umožňují nebo odepírají příchozí a odchozí provoz virtuálního počítače, můžete určit, jak tyto problémy vyřešit.Now that you know which security rules are allowing or denying traffic to or from a VM, you can determine how to resolve the problems.

Zobrazení podrobností pravidla zabezpečeníView details of a security rule

  1. Pokud chcete určit, proč pravidla v krocích 3 až 5 v části Použití ověření toku protokolu IP povolují nebo odepírají komunikaci, prohlédněte si platná pravidla zabezpečení pro síťové rozhraní virtuálního počítače.To determine why the rules in steps 3-5 of Use IP flow verify allow or deny communication, review the effective security rules for the network interface in the VM. Do vyhledávacího pole v horní části webu Azure Portal zadejte myvm.In the search box at the top of the portal, enter myvm. Když se síťové rozhraní myvm (nebo libovolný jiný název síťového rozhraní) zobrazí ve výsledcích hledání, vyberte ho.When the myvm (or whatever the name of your network interface is) network interface appears in the search results, select it.

  2. Podle následujícího obrázku v části PODPORA A ŘEŠENÍ POTÍŽÍ vyberte Platná pravidla zabezpečení:Select Effective security rules under SUPPORT + TROUBLESHOOTING, as shown in the following picture:

    Platná pravidla zabezpečení

    Ve třetím kroku v části Použití ověření toku protokolu IP jste zjistili, že komunikace byla povolená díky pravidlu AllowInternetOutbound.In step 3 of Use IP flow verify, you learned that the reason the communication was allowed is because of the AllowInternetOutbound rule. Na předchozím obrázku si můžete všimnout, že CÍL (DESTINATION) tohoto pravidla je Internet.You can see in the previous picture that the DESTINATION for the rule is Internet. Není však jasné, jak adresa 13.107.21.200, kterou jste ve třetím kroku v části Použití ověření toku protokolu IP testovali, souvisí s Internetem.It's not clear how 13.107.21.200, the address you tested in step 3 of Use IP flow verify, relates to Internet though.

  3. Vyberte pravidlo AllowInternetOutBound a podle následujícího obrázku vyberte Cíl:Select the AllowInternetOutBound rule, and then select Destination, as shown in the following picture:

    Předpony pravidla zabezpečení

    a jednou z nich je 12.0.0.0/6, která zahrnuje rozsah IP adres od 12.0.0.1 do 15.255.255.254.One of the prefixes in the list is 12.0.0.0/6, which encompasses the 12.0.0.1-15.255.255.254 range of IP addresses. Vzhledem k tomu, že adresa 13.107.21.200 do tohoto rozsahu adres patří, pravidlo AllowInternetOutBound jí odchozí provoz umožní.Since 13.107.21.200 is within that address range, the AllowInternetOutBound rule allows the outbound traffic. Kromě toho na obrázku ve druhém kroku nejsou zobrazená žádná jiná pravidla s vyšší prioritou (nižším číslem), která by toto pravidlo přepisovala.Additionally, there are no higher priority (lower number) rules shown in the picture in step 2 that override this rule. Okno Předpony adres zavřete.Close the Address prefixes box. Pokud byste chtěli odepřít odchozí komunikaci na IP adresu 13.107.21.200, mohli byste přidat pravidlo zabezpečení s vyšší prioritou, které portu 80 odchozí komunikaci na tuto IP adresu zakáže.To deny outbound communication to 13.107.21.200, you could add a security rule with a higher priority, that denies port 80 outbound to the IP address.

  4. Když jste ve čtvrtém kroku v části Použití ověření toku protokolu IP spustili kontrolu odchozího provozu na IP adresu 172.131.0.100, zjistili jste, že pravidlo DefaultOutboundDenyAll tuto komunikaci odepřelo.When you ran the outbound check to 172.131.0.100 in step 4 of Use IP flow verify, you learned that the DefaultOutboundDenyAll rule denied communication. Toto pravidlo plní stejnou funkci jako pravidlo DenyAllOutBound zobrazené na obrázku ve druhém kroku, které jako CÍL (DESTINATION) používá adresu 0.0.0.0/0.That rule equates to the DenyAllOutBound rule shown in the picture in step 2 that specifies 0.0.0.0/0 as the DESTINATION. Toto pravidlo zakazuje odchozí komunikaci na IP adresu 172.131.0.100, protože tato adresa se nenachází v CÍLI žádného jiného odchozího pravidla zobrazeného na obrázku.This rule denies the outbound communication to 172.131.0.100, because the address is not within the DESTINATION of any of the other Outbound rules shown in the picture. Pokud chcete odchozí komunikaci povolit, můžete přidat pravidlo zabezpečení s vyšší prioritou, které IP adrese 172.131.0.100 na portu 80 umožní odchozí komunikaci.To allow the outbound communication, you could add a security rule with a higher priority, that allows outbound traffic to port 80 for the 172.131.0.100 address.

  5. Když jste v pátém kroku v části Použití ověření toku protokolu IP spustili kontrolu příchozího provozu z IP adresy 172.131.0.100, zjistili jste, že pravidlo DefaultInboundDenyAll tuto komunikaci odepřelo.When you ran the inbound check from 172.131.0.100 in step 5 of Use IP flow verify, you learned that the DefaultInboundDenyAll rule denied communication. Toto pravidlo plní stejnou funkci jako pravidlo DenyAllInBound zobrazené na obrázku ve druhém kroku.That rule equates to the DenyAllInBound rule shown in the picture in step 2. Pravidlo DenyAllInBound se vynucuje, protože žádné pravidlo s vyšší prioritou, které by umožňovalo portu 80 příchozí provoz na virtuální počítač z IP adresy 172.31.0.100, neexistuje.The DenyAllInBound rule is enforced because no other higher priority rule exists that allows port 80 inbound to the VM from 172.31.0.100. Pokud chcete příchozí komunikaci povolit, mohli byste přidat pravidlo zabezpečení s vyšší prioritou, které by portu 80 příchozí komunikaci z IP adresy 172.31.0.100 umožnilo.To allow the inbound communication, you could add a security rule with a higher priority, that allows port 80 inbound from 172.31.0.100.

Kontroly v tomto rychlém startu testovaly konfiguraci Azure.The checks in this quickstart tested Azure configuration. Pokud kontroly vrátily očekávané výsledky a problémy se sítí přetrvávají, přesvědčte se, že mezi virtuálním počítačem a koncovým bodem, se kterým komunikujete, se nenachází brána firewall a že operační systém ve virtuálním počítači nemá bránu firewall, která by komunikaci povolovala nebo odepírala.If the checks return expected results and you still have network problems, ensure that you don't have a firewall between your VM and the endpoint you're communicating with and that the operating system in your VM doesn't have a firewall that is allowing or denying communication.

Vyčištění prostředkůClean up resources

Pokud už je nepotřebujete, odstraňte skupinu prostředků a všechny prostředky, které obsahuje:When no longer needed, delete the resource group and all of the resources it contains:

  1. Do pole Hledat v horní části portálu zadejte myResourceGroup.Enter myResourceGroup in the Search box at the top of the portal. Jakmile se ve výsledcích hledání zobrazí skupina prostředků myResourceGroup, vyberte ji.When you see myResourceGroup in the search results, select it.
  2. Vyberte Odstranit skupinu prostředků.Select Delete resource group.
  3. V části ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte myResourceGroup a vyberte Odstranit.Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

Další krokyNext steps

V tomto rychlém startu jste vytvořili virtuální počítač a diagnostikovali jste příchozí a odchozí filtry síťového provozu.In this quickstart, you created a VM and diagnosed inbound and outbound network traffic filters. Zjistili jste, že pravidla skupiny zabezpečení sítě umožňují nebo odepírají příchozí i odchozí provoz virtuálního počítače.You learned that network security group rules allow or deny traffic to and from a VM. Zjistěte více o pravidlech zabezpečení a způsobu jejich vytvoření.Learn more about security rules and how to create security rules.

Přestože budete používat správné filtry síťového provozu, komunikace s virtuálním počítačem může kvůli konfigurací směrování stejně selhat.Even with the proper network traffic filters in place, communication to a VM can still fail, due to routing configuration. Získejte více informací o diagnostice potíží se směrováním sítě virtuálních počítačů nebo si přečtěte článek o řešení potíží s připojením, abyste mohli diagnostikovat potíže s odchozím směrováním, latencí a filtrováním provozu.To learn how to diagnose VM network routing problems, see Diagnose VM routing problems or, to diagnose outbound routing, latency, and traffic filtering problems, with one tool, see Connection troubleshoot.