Mulai Cepat: Mendiagnosis masalah filter lalu lintas jaringan komputer virtual menggunakan portal Azure

  • Artikel
  • 5 menit untuk membaca

Dalam mulai cepat ini, Anda menyebarkan komputer virtual (VM), dan kemudian memeriksa komunikasi ke alamat IP dan URL dan dari alamat IP. Anda menentukan penyebab kegagalan komunikasi dan cara menyelesaikannya.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Masuk ke Azure

Masuk ke portal Microsoft Azure di https://portal.azure.com.

Membuat komputer virtual

  1. Pilih + Buat sumber daya di sudut kiri atas portal Microsoft Azure.

  2. Pilih Komputasi, lalu pilih Pusat Data Windows Server 2019 atau versi Ubuntu Server.

  3. Masukkan, atau pilih, informasi berikut, pakai default untuk pengaturan yang lain, lalu pilih OK:

    Pengaturan Nilai
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih Buat baru dan masukkan myResourceGroup.
    Nama komputer virtual myVM
    Wilayah Pilih US Timur
    Nama pengguna Masukkan nama pengguna yang Anda pilih.
    Kata sandi Masukkan kata sandi yang Anda pilih. Kata sandi harus setidaknya 12 karakter dan memenuhi persyaratan kompleksitas yang ditentukan.

  4. Pilih Tinjau + buat untuk memulai penyebaran VM. Komputer virtual membutuhkan waktu beberapa menit untuk menyebarkan. Tunggu hingga komputer virtual selesai disebarkan sebelum melanjutkan langkah-langkah selanjutnya.

Menguji komunikasi jaringan

Untuk menguji komunikasi jaringan dengan Network Watcher, aktifkan pengamat jaringan terlebih dahulu di setidaknya satu wilayah Azure, lalu gunakan kemampuan verifikasi alur IP Network Watcher.

Mengaktifkan pengamat jaringan

Jika Anda telah mengaktifkan pengamat jaringan di setidaknya satu wilayah, lewati ke Gunakan verifikasi aliran IP.

  1. Di portal Beranda, pilih Layanan lainnya. Dalam Kotak filter, masukkan Network Watcher. Saat Network Watcher muncul di hasil, pilih itu.
  2. Aktifkan pengamat jaringan di wilayah US Timur, karena itulah wilayah tempat komputer virtual disebarka pada langkah sebelumnya. Pilih Tambahkan, untuk meluaskannya, lalu pilih Wilayah di bagian Langganan, seperti ditunjukkan pada gambar berikut: Screenshot of how to Enable Network Watcher.
  3. Pilih wilayah Anda, lalu pilih Tambahkan.

Menggunakan verifikasi alur IP

Saat Anda membuat komputer virtual, Azure mengizinkan dan menolak lalu lintas jaringan ke dan dari komputer virtual, secara default. Anda mungkin nantinya akan mengambil alih default Azure, yang mengizinkan atau menolak jenis lalu lintas tambahan.

  1. Di portal Beranda, pilih Layanan lainnya. Dalam kotak Semua layananFilter, masukkan Network Watcher. Saat Network Watcher muncul di hasil, pilih itu.

  2. Pilih verifikasi alur IP, di bagian Alat diagnostik jaringan.

  3. Pilih langganan Anda, masukkan atau pilih nilai berikut, lalu pilih Periksa, seperti yang diperlihatkan dalam gambar yang berikut ini:

    Pengaturan Nilai
    Langganan Pilih langganan Anda
    Grup sumber daya Pilih myResourceGroup
    Mesin virtual Pilih myVm
    Antarmuka jaringan myvm - Nama antarmuka jaringan portal yang dibuat ketika Anda membuat komputer virtual berbeda.
    Protokol TCP
    Petunjuk Keluar
    Alamat IP lokal 10.0.0.4
    Port lokal 60000
    Alamat IP jarak jauh 13.107.21.200 - Salah satu alamat untuk <www.bing.com>.
    Port jarak jauh 80

    Screenshot of values to input in IP flow verify.

    Setelah beberapa detik, hasil yang ditampilkan memberi tahu Anda bahwa akses diperbolehkan karena aturan keamanan bernama AllowInternetOutbound. Saat Anda menjalankan pemeriksaan, Network Watcher secara otomatis membuat pengamat jaringan di wilayah US Timur, jika Anda memiliki pengamat jaringan yang ada di wilayah selain wilayah US Timur sebelum Anda menjalankan pemeriksaan.

  4. Selesaikan langkah 3 lagi, tetapi ubah alamat IP Jarak Jauh menjadi 172.31.0.100. Hasil yang ditampilkan memberi tahu Anda bahwa akses ditolak karena aturan keamanan bernama DenyAllOutBound.

  5. Selesaikan langkah 3 lagi, tetapi ubah Petunjuk menjadi Masuk, Port lokal menjadi 80 dan Port jarak jauh menjadi 60000. Alamat IP jarak jauh tetap 172.31.0.100. Hasil yang ditampilkan memberi tahu Anda bahwa akses ditolak karena aturan keamanan bernama DenyAllInBound.

Sekarang setelah mengetahui aturan keamanan mana yang mengizinkan atau menolak lalu lintas ke atau dari komputer virtual, Anda dapat menentukan cara menyelesaikan masalah.

Melihat detail aturan keamanan

Untuk menentukan mengapa aturan dalam langkah 3-5 dari Gunakan verifikasi alur IP mengizinkan atau menolak komunikasi, tinjau aturan keamanan yang efektif untuk antarmuka jaringan di komputer virtual.

  1. Di kotak pencarian di bagian atas portal, masukkan myvm. Jika Antarmuka Jaringan Reguler myvm muncul di hasil pencarian, pilih.

  2. Pilih Aturan keamanan yang efektif di bagian Dukungan + pemecahan masalah, seperti ditunjukkan pada gambar berikut:

    Screenshot of Effective security rules.

    Pada langkah 3 dari Gunakan verifikasi alur IP, Anda mengetahui bahwa alasan komunikasi diizinkan adalah karena aturan AllowInternetOutbound. Pada gambar sebelumnya, Anda dapat melihat bahwa Tujuan untuk aturan tersebut adalah Internet. Tidak jelas bagaimana 13.107.21.200, alamat yang Anda uji pada langkah 3 dari Gunakan verifikasi alur IP, terkait dengan Internet.

  3. Pilih aturan AllowInternetOutBound, lalu gulir ke bawah ke Tujuan, seperti ditunjukkan pada gambar berikut:

    Screenshot of Security rule prefixes.

    Salah satu awalan dalam daftar adalah 12.0.0.0/8, yang mencakup rentang alamat IP 12.0.0.1-15.255.255.254. Karena 13.107.21.200 berada dalam rentang alamat tersebut, aturan AllowInternetOutBound memungkinkan lalu lintas keluar. Selain itu, tidak ada aturan prioritas (angka bawah) yang lebih tinggi yang diperlihatkan dalam gambar di langkah 2 yang mengambil alih aturan ini. Tutup kotak Alamat awalan. Untuk menolak komunikasi keluar ke 13.107.21.200, Anda dapat menambahkan aturan keamanan dengan prioritas lebih tinggi, yang menolak port 80 keluar ke alamat IP.

  4. Saat Anda menjalankan pemeriksaan keluar ke 172.131.0.100 pada langkah 4 Menggunakan verifikasi alur IP, Anda telah mengetahui bahwa aturan DenyAllOutBound menolak komunikasi. Aturan itu sama dengan aturan DenyAllOutBound yang ditunjukkan pada gambar di langkah 2 yang menentukan 0.0.0.0/0 sebagai Tujuan. Aturan ini menolak komunikasi keluar ke 172.131.0.100, karena alamat ini tidak berada dalam Tujuan semua Aturan keluar lainnya yang ditunjukkan pada gambar. Untuk memungkinkan komunikasi keluar, Anda dapat menambahkan aturan keamanan dengan prioritas yang lebih tinggi, yang memungkinkan lalu lintas keluar ke port 80 untuk alamat 172.131.0.100.

  5. Saat Anda menjalankan pemeriksaan masuk dari 172.131.0.100 pada langkah 5 Menggunakan verifikasi alur IP, Anda mengetahui bahwa aturan DenyAllInBound menolak komunikasi. Aturan itu sama dengan aturan DenyAllInBound yang diperlihatkan dalam gambar di langkah 2. Aturan DenyAllInBound diberlakukan karena tidak ada aturan prioritas lain yang lebih tinggi yang memungkinkan port 80 masuk ke komputer virtual dari 172.31.0.100. Untuk memungkinkan komunikasi masuk, Anda dapat menambahkan aturan keamanan dengan prioritas yang lebih tinggi, yang memungkinkan port 80 masuk dari 172.31.0.100.

Pemeriksaan dalam panduan mulai cepat ini menguji konfigurasi Azure. Jika pemeriksaan menampilkan hasil yang diharapkan dan masalah jaringan masih terjadi, pastikan Anda tidak memiliki firewall antara komputer virtual Anda dengan titik akhir yang Anda komunikasikan dan sistem operasi di komputer virtual Anda tidak memiliki firewall yang mengizinkan atau menolak komunikasi.

Membersihkan sumber daya

Bila tidak lagi diperlukan, hapus grup sumber daya dan semua sumber daya yang di dalamnya:

  1. Masukkan myResourceGroup di kotak Pencarian di bagian atas portal. Ketika Anda melihat myResourceGroup di hasil pencarian, pilih opsi tersebut.
  2. Pilih Hapus grup sumber daya.
  3. Masukkan myResourceGroup untuk KETIK NAMA GRUP SUMBER DAYA: lalu pilih Hapus.

Langkah berikutnya

Dalam mulai cepat ini, Anda membuat komputer virtual dan mendiagnosis filter lalu lintas jaringan masuk dan keluar. Anda mengetahui bahwa aturan grup keamanan jaringan mengizinkan atau menolak lalu lintas ke dan dari komputer virtual. Pelajari selengkapnya tentang aturan keamanan dan cara membuat aturan keamanan.

Bahkan dengan filter lalu lintas jaringan yang tepat, komunikasi ke komputer virtual tetap berpotensi gagal, karena konfigurasi perutean. Untuk mempelajari cara mendiagnosis masalah perutean jaringan komputer virtual, lihat Mendiagnosis masalah perutean komputer virtual atau, untuk mendiagnosis perutean keluar, latensi, dan masalah pemfilteran lalu lintas, dengan satu alat, lihat Pemecahan masalah koneksi.