Controllare se il traffico da o verso una macchina virtuale è consentito o negato con la verifica del flusso IP, una funzionalità di Network Watcher di Azure

La verifica del flusso IP è una funzionalità di Network Watcher che consente di verificare se il traffico da o verso una macchina virtuale è consentito o negato. Questo scenario è utile per stabilire se una macchina virtuale può comunicare con una risorsa esterna o back-end. La funzionalità può essere usata per verificare se le regole del gruppo di sicurezza di rete sono configurate correttamente e per risolvere i problemi dei flussi bloccati da tali regole. La verifica del flusso IP consente inoltre di verificare che il traffico che si vuole bloccare sia correttamente bloccato dal gruppo di sicurezza di rete.

Questo articolo usa l'interfaccia della riga di comando di Azure 1.0 multipiattaforma, disponibile per Windows, Mac e Linux.

Prima di iniziare

Questo scenario presuppone il completamento dei passaggi descritti in Creare un servizio Network Watcher per creare un servizio Network Watcher o aprire un'istanza esistente di Network Watcher. Lo scenario presuppone inoltre che esista e possa essere usato un gruppo di risorse con una macchina virtuale valida.

Scenario

Questo scenario usa la verifica del flusso IP per verificare se una macchina virtuale può comunicare con un indirizzo IP Bing noto. Se il traffico viene negato, restituisce la regola di sicurezza che nega il traffico. Per altre informazioni sulla verifica del flusso IP, leggere la panoramica sulla verifica del flusso IP

Ottenere una macchina virtuale

La verifica del flusso IP esegue il test del traffico da o verso un indirizzo IP su una macchina virtuale da o verso una destinazione remota. Il cmdlet richiede un ID di macchina virtuale. Se l'ID della macchina virtuale da usare è già noto, è possibile ignorare questo passaggio.

azure vm show -g resourceGroupName -n virtualMachineName

Ottenere le schede NIC

È necessario l'indirizzo IP di una scheda di rete nella macchina virtuale. In questo esempio vengono recuperate le schede NIC in una macchina virtuale. Se l'indirizzo IP da testare nella macchina virtuale è già noto, è possibile ignorare questo passaggio.

azure network nic show -g resourceGroupName -n nicName

Eseguire la verifica del flusso IP

Dopo aver ottenuto le informazioni necessarie per eseguire il cmdlet, eseguire il cmdlet network watcher ip-flow-verify per testare il traffico. In questo esempio, viene usato il primo indirizzo IP nella prima scheda NIC.

azure network watcher ip-flow-verify -g resourceGroupName -n networkWatcherName -t targetResourceId -d directionInboundorOutbound -p protocolTCPorUDP -o localPort -m remotePort -l localIpAddr -r remoteIpAddr

Nota

Per eseguire la verifica del flusso IP è necessario che la risorsa della macchina virtuale sia allocata.

Esaminare i risultati

Dopo aver eseguito network watcher ip-flow-verify vengono restituiti i risultati. L'esempio seguente mostra i risultati restituiti nel passaggio precedente.

data:    Access                          : Deny
data:    Rule Name                       : defaultSecurityRules/DefaultInboundDenyAll
info:    network watcher ip-flow-verify command OK

Passaggi successivi

Se il traffico risulta bloccato e non dovrebbe esserlo, vedere Gestire i gruppi di sicurezza di rete per individuare il gruppo di sicurezza di rete e le relative regole di sicurezza definite.

Informazioni su come controllare le impostazioni del gruppo sicurezza di rete sono disponibili in Auditing Network Security Groups (NSG) with Network Watcher (Verifica dei gruppi di sicurezza di rete con Network Watcher).