Controllare se il traffico da o verso una macchina virtuale è consentito o negato con la verifica del flusso IP, una funzionalità di Azure Network WatcherCheck if traffic is allowed or denied to or from a VM with IP flow verify a component of Azure Network Watcher

La verifica del flusso IP è una funzionalità di Network Watcher che consente di verificare se il traffico da o verso una macchina virtuale è consentito o negato.IP flow verify is a feature of Network Watcher that allows you to verify if traffic is allowed to or from a virtual machine. Questo scenario è utile per stabilire se una macchina virtuale può comunicare con una risorsa esterna o back-end.This scenario is useful to get a current state of whether a virtual machine can talk to an external resource or backend. La funzionalità può essere usata per verificare se le regole del gruppo di sicurezza di rete sono configurate correttamente e per risolvere i problemi dei flussi bloccati da tali regole.IP flow verify can be used to verify if your Network Security Group (NSG) rules are properly configured and troubleshoot flows that are being blocked by NSG rules. La verifica del flusso IP consente inoltre di verificare che il traffico che si vuole bloccare sia correttamente bloccato dal gruppo di sicurezza di rete.Another reason for using IP flow verify is to ensure traffic that you want blocked is being blocked properly by the NSG.

Prima di iniziareBefore you begin

Questo scenario presuppone il completamento dei passaggi descritti in Creare un servizio Network Watcher per creare un servizio Network Watcher o aprire un'istanza esistente di Network Watcher.This scenario assumes you have already followed the steps in Create a Network Watcher to create a Network Watcher or have an existing instance of Network Watcher. Lo scenario presuppone inoltre che esista e possa essere usato un gruppo di risorse con una macchina virtuale valida.The scenario also assumes that a Resource Group with a valid virtual machine exists to be used.

ScenarioScenario

Questo scenario usa la verifica del flusso IP per verificare se una macchina virtuale può comunicare con un indirizzo IP Bing noto.This scenario uses IP flow verify to verify if a virtual machine can talk to a known Bing IP address. Se il traffico viene negato, restituisce la regola di sicurezza che nega il traffico.If the traffic is denied, it returns the security rule that is denying that traffic. Per altre informazioni sulla verifica del flusso IP, leggere la panoramica sulla verifica del flusso IPTo learn more about IP flow verify, visit IP flow verify Overview

Recuperare Network WatcherRetrieve Network Watcher

Il primo passaggio consente di recuperare l'istanza di Network Watcher.The first step is to retrieve the Network Watcher instance. La variabile $networkWatcher viene passata al cmdlet di verifica del flusso IP.The $networkWatcher variable is passed to the IP flow verify cmdlet.

$nw = Get-AzurermResource | Where {$_.ResourceType -eq "Microsoft.Network/networkWatchers" -and $_.Location -eq "WestCentralUS" } 
$networkWatcher = Get-AzureRmNetworkWatcher -Name $nw.Name -ResourceGroupName $nw.ResourceGroupName 

Ottenere una macchina virtualeGet a VM

La verifica del flusso IP esegue il test del traffico da o verso un indirizzo IP su una macchina virtuale da o verso una destinazione remota.IP flow verify tests traffic to or from an IP address on a virtual machine to or from a remote destination. Il cmdlet richiede un ID di macchina virtuale.An Id of a virtual machine is required for the cmdlet. Se l'ID della macchina virtuale da usare è già noto, è possibile ignorare questo passaggio.If you already know the ID of the virtual machine to use, you can skip this step.

$VM = Get-AzurermVM -ResourceGroupName "testrg" -Name "testvm1"

Ottenere le schede NICGet the NICS

È necessario l'indirizzo IP di una scheda di rete nella macchina virtuale. In questo esempio vengono recuperate le schede NIC in una macchina virtuale.The IP address of a NIC on the virtual machine is needed, in this example we retrieve the NICs on a virtual machine. Se l'indirizzo IP da testare nella macchina virtuale è già noto, è possibile ignorare questo passaggio.If you already know the IP address that you want to test on the virtual machine, you can skip this step.

$Nics = Get-AzureRmNetworkInterface | Where {$_.Id -eq $vm.NetworkProfile.NetworkInterfaces.Id.ForEach({$_})}

Eseguire la verifica del flusso IPRun IP flow verify

Dopo aver ottenuto le informazioni necessarie per eseguire il cmdlet, eseguire il cmdlet Test-AzureRmNetworkWatcherIPFlow per testare il traffico.Now that we have the information needed to run the cmdlet, we run the Test-AzureRmNetworkWatcherIPFlow cmdlet to test the traffic. In questo esempio, viene usato il primo indirizzo IP nella prima scheda NIC.In this example, we are using the first IP address on the first NIC.

Test-AzureRmNetworkWatcherIPFlow -NetworkWatcher $networkWatcher -TargetVirtualMachineId $VM.Id `
-Direction Outbound -Protocol TCP `
-LocalIPAddress $nics[0].IpConfigurations[0].PrivateIpAddress -LocalPort 6895 -RemoteIPAddress 204.79.197.200 -RemotePort 80

Nota

Per eseguire la verifica del flusso IP è necessario che la risorsa della macchina virtuale sia allocata.

Esaminare i risultatiReview Results

Dopo aver eseguito Test-AzureRmNetworkWatcherIPFlow vengono restituiti i risultati. L'esempio seguente mostra i risultati restituiti nel passaggio precedente.After running Test-AzureRmNetworkWatcherIPFlow the results are returned, the following example is the results returned from the preceding step.

Access RuleName                                  
------ --------                                  
Allow  defaultSecurityRules/AllowInternetOutBound

Passaggi successiviNext steps

Se il traffico risulta bloccato e non dovrebbe esserlo, vedere Gestire i gruppi di sicurezza di rete per individuare il gruppo di sicurezza di rete e le relative regole di sicurezza definite.If traffic is being blocked and it should not be, see Manage Network Security Groups to track down the network security group and security rules that are defined.