Controllare se il traffico da o verso una macchina virtuale è consentito o negato con la verifica del flusso IP, una funzionalità di Network Watcher di AzureCheck if traffic is allowed or denied to or from a VM with IP Flow Verify a component of Azure Network Watcher

La verifica del flusso IP è una funzionalità di Network Watcher che consente di verificare se il traffico da o verso una macchina virtuale è consentito o negato.IP Flow verify is a feature of Network Watcher that allows you to verify if traffic is allowed to or from a virtual machine. Questo scenario è utile per stabilire se una macchina virtuale può comunicare con una risorsa esterna o back-end.This scenario is useful to get a current state of whether a virtual machine can talk to an external resource or backend. La funzionalità può essere usata per verificare se le regole del gruppo di sicurezza di rete sono configurate correttamente e per risolvere i problemi dei flussi bloccati da tali regole.IP flow verify can be used to verify if your Network Security Group (NSG) rules are properly configured and troubleshoot flows that are being blocked by NSG rules. La verifica del flusso IP consente inoltre di verificare che il traffico che si vuole bloccare sia correttamente bloccato dal gruppo di sicurezza di rete.Another reason for using IP flow verify is to ensure traffic that you want blocked is being blocked properly by the NSG.

Questo articolo usa l'interfaccia della riga di comando di Azure 1.0 multipiattaforma, disponibile per Windows, Mac e Linux.This article uses cross-platform Azure CLI 1.0, which is available for Windows, Mac and Linux.

Prima di iniziareBefore you begin

Questo scenario presuppone il completamento dei passaggi descritti in Creare un servizio Network Watcher per creare un servizio Network Watcher o aprire un'istanza esistente di Network Watcher.This scenario assumes you have already followed the steps in Create a Network Watcher to create a Network Watcher or have an existing instance of Network Watcher. Lo scenario presuppone inoltre che esista e possa essere usato un gruppo di risorse con una macchina virtuale valida.The scenario also assumes that a Resource Group with a valid virtual machine exists to be used.

ScenarioScenario

Questo scenario usa la verifica del flusso IP per verificare se una macchina virtuale può comunicare con un indirizzo IP Bing noto.This scenario uses IP Flow Verify to verify if a virtual machine can talk to a known Bing IP address. Se il traffico viene negato, restituisce la regola di sicurezza che nega il traffico.If the traffic is denied, it returns the security rule that is denying that traffic. Per altre informazioni sulla verifica del flusso IP, leggere la panoramica sulla verifica del flusso IPTo learn more about IP Flow Verify, visit IP Flow Verify Overview

Ottenere una macchina virtualeGet a VM

La verifica del flusso IP esegue il test del traffico da o verso un indirizzo IP su una macchina virtuale da o verso una destinazione remota.IP flow verify tests traffic to or from an IP address on a virtual machine to or from a remote destination. Il cmdlet richiede un ID di macchina virtuale.An Id of a virtual machine is required for the cmdlet. Se l'ID della macchina virtuale da usare è già noto, è possibile ignorare questo passaggio.If you already know the ID of the virtual machine to use, you can skip this step.

azure vm show -g resourceGroupName -n virtualMachineName

Ottenere le schede NICGet the NICS

È necessario l'indirizzo IP di una scheda di rete nella macchina virtuale. In questo esempio vengono recuperate le schede NIC in una macchina virtuale.The IP address of a NIC on the virtual machine is needed, in this example we retrieve the NICs on a virtual machine. Se l'indirizzo IP da testare nella macchina virtuale è già noto, è possibile ignorare questo passaggio.If you already know the IP address that you want to test on the virtual machine, you can skip this step.

azure network nic show -g resourceGroupName -n nicName

Eseguire la verifica del flusso IPRun IP flow verify

Dopo aver ottenuto le informazioni necessarie per eseguire il cmdlet, eseguire il cmdlet network watcher ip-flow-verify per testare il traffico.Now that we have the information needed to run the cmdlet, we run the network watcher ip-flow-verify cmdlet to test the traffic. In questo esempio, viene usato il primo indirizzo IP nella prima scheda NIC.In this example, we are using the first IP address on the first NIC.

azure network watcher ip-flow-verify -g resourceGroupName -n networkWatcherName -t targetResourceId -d directionInboundorOutbound -p protocolTCPorUDP -o localPort -m remotePort -l localIpAddr -r remoteIpAddr

Nota

Per eseguire la verifica del flusso IP è necessario che la risorsa della macchina virtuale sia allocata.IP Flow verify requires that the VM resource is allocated to run.

Esaminare i risultatiReview Results

Dopo aver eseguito network watcher ip-flow-verify vengono restituiti i risultati. L'esempio seguente mostra i risultati restituiti nel passaggio precedente.After running network watcher ip-flow-verify the results are returned, the following example is the results returned from the preceding step.

data:    Access                          : Deny
data:    Rule Name                       : defaultSecurityRules/DefaultInboundDenyAll
info:    network watcher ip-flow-verify command OK

Passaggi successiviNext steps

Se il traffico risulta bloccato e non dovrebbe esserlo, vedere Gestire i gruppi di sicurezza di rete per individuare il gruppo di sicurezza di rete e le relative regole di sicurezza definite.If traffic is being blocked and it should not be, see Manage Network Security Groups to track down the network security group and security rules that are defined.

Informazioni su come controllare le impostazioni del gruppo sicurezza di rete sono disponibili in Auditing Network Security Groups (NSG) with Network Watcher (Verifica dei gruppi di sicurezza di rete con Network Watcher).Learn to audit your NSG settings by visiting Auditing Network Security Groups (NSG) with Network Watcher.