Úvod do ověřování toků IP adres v Azure Network Watcher

  • Článek
  • 2 min ke čtení

Ověření toku protokolu IP kontroluje, jestli je paket povolený nebo zakázaný z virtuálního počítače. Informace se skládají ze směru, protokolu, místní IP adresy, vzdáleného protokolu IP, místního portu a vzdáleného portu. Pokud je paket zakázán skupinou zabezpečení, je vrácen název pravidla, které paket zamítlo. I když se dá zvolit kterákoli zdrojová nebo cílová IP adresa, ověřování toku IP pomáhá správcům rychle diagnostikovat problémy s připojením z Internetu a z místního prostředí nebo do něj.

Ověření toku protokolu IP prohlíží pravidla pro všechny skupiny zabezpečení sítě (skupin zabezpečení sítě) použité pro síťové rozhraní, jako je například podsíť nebo síťová karta virtuálního počítače. Tok přenosů se pak ověří na základě nakonfigurovaného nastavení do nebo z tohoto síťového rozhraní. Ověření toku protokolu IP je užitečné při potvrzení, jestli pravidlo ve skupině zabezpečení sítě blokuje příchozí nebo odchozí provoz do nebo z virtuálního počítače. Teď spolu s hodnocením pravidel NSG se vyhodnotí i pravidla nástroje Azure Virtual Network Manager.

Azure Virtual Network Manager (AVNM) je služba pro správu, která umožňuje uživatelům seskupit, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Konfigurace zabezpečení AVNM umožňuje uživatelům definovat kolekci pravidel, která se dají použít pro jednu nebo více skupin zabezpečení sítě na globální úrovni. Tato pravidla zabezpečení mají vyšší prioritu než pravidla skupiny zabezpečení sítě (NSG). Důležitým rozdílem je, že pravidla správce představují prostředek dodaný společností ANM v centrálním umístění, které řídí týmy pro správu a zabezpečení, které jsou uvedené na každé virtuální síti. Skupin zabezpečení sítě jsou prostředky, které řídí vlastníci virtuální sítě, které platí pro jednotlivé podsítě nebo na úrovni síťové karty.

Instance Network Watcher musí být vytvořená ve všech oblastech, ve kterých plánujete spustit ověřování toku IP adres. Network Watcher je místní služba a může být spuštěná jenom pro prostředky ve stejné oblasti. Použitá instance nemá vliv na výsledky ověřování toků IP, protože se pořád vrací jakákoli trasa přidružená k síťovému rozhraní nebo podsíti.

1

Další kroky

Další informace o tom, jestli je paket povolený nebo zakázaný pro konkrétní virtuální počítač prostřednictvím portálu, najdete v následujícím článku. zkontrolujte, jestli je na virtuálním počítači povolený provoz s IP Flow ověřit pomocí portálu.