Risolvere i problemi relativi ai gruppi di sicurezza di rete tramite il portale di AzureTroubleshoot Network Security Groups using the Azure Portal

Se sono stati configurati gruppi di sicurezza di rete nella macchina virtuale (VM) e si verificano problemi di connettività alla VM, questo articolo offre una panoramica delle funzionalità di diagnostica per i gruppi di sicurezza di rete per risolvere il problema.If you configured Network Security Groups (NSGs) on your virtual machine (VM) and are experiencing VM connectivity issues, this article provides an overview of diagnostics capabilities for NSGs to help troubleshoot further.

I gruppi di sicurezza di rete consentono di controllare i tipi di traffico che scorrono dentro e fuori le macchine virtuali (VM).NSGs enable you to control the types of traffic that flow in and out of your virtual machines (VMs). I gruppi di sicurezza di rete possono essere applicati alle subnet in una rete virtuale di Azure, nelle interfacce di rete o in entrambe.NSGs can be applied to subnets in an Azure Virtual Network (VNet), network interfaces (NIC), or both. Le regole effettive applicate a un'interfaccia di rete (NIC) sono un'aggregazione delle regole esistenti nei gruppi di sicurezza di rete applicati a un'interfaccia di rete e alla subnet a cui è connessa.The effective rules applied to a NIC are an aggregation of the rules that exist in the NSGs applied to a NIC and the subnet it is connected to. Talvolta le regole nei gruppi di sicurezza di rete possono essere in conflitto tra loro e influire sulla connettività di rete della VM.Rules across these NSGs can sometimes conflict with each other and impact a VM's network connectivity.

È possibile visualizzare tutte le regole di sicurezza effettive dai gruppi di sicurezza di rete, così come vengono applicate nelle interfacce di rete della VM.You can view all the effective security rules from your NSGs, as applied on your VM's NICs. Questo articolo illustra come risolvere i problemi di connettività delle VM usando queste regole nel modello di distribuzione Azure Resource Manager.This article shows how to troubleshoot VM connectivity issues using these rules in the Azure Resource Manager deployment model. Se si ha scarsa dimestichezza con i concetti di rete virtuale e gruppo di sicurezza di rete, vedere gli articoli generali sulle reti virtuali e sui gruppi di sicurezza di rete.If you're not familiar with VNet and NSG concepts, read the Virtual network and Network security groups overview articles.

Uso di regole di sicurezza effettive per risolvere i problemi di flusso del traffico delle VMUsing Effective Security Rules to troubleshoot VM traffic flow

Lo scenario seguente è un esempio di un problema di connessione comune:The scenario that follows is an example of a common connection problem:

Una macchina virtuale denominata VM1 fa parte di una subnet denominata Subnet1 in una rete virtuale denominata WestUS-VNet1.A VM named VM1 is part of a subnet named Subnet1 within a VNet named WestUS-VNet1. Un tentativo di connettersi alla VM con RDP su porta TCP 3389 ha esito negativo.An attempt to connect to the VM using RDP over TCP port 3389 fails. I gruppi di sicurezza di rete vengono applicati sia all'interfaccia di rete VM1-NIC1 che alla subnet Subnet1.NSGs are applied at both the NIC VM1-NIC1 and the subnet Subnet1. Il traffico verso la porta TCP 3389 è consentito nel gruppo di sicurezza di rete associato all'interfaccia di rete VM1 NIC1, tuttavia il comando ping TCP per VM1 della porta 3389 ha esito negativo.Traffic to TCP port 3389 is allowed in the NSG associated with the network interface VM1-NIC1, however TCP ping to VM1's port 3389 fails.

Sebbene in questo esempio si usi la porta TCP 3389, è possibile attenersi alla procedura seguente per determinare gli errori di connessione in ingresso e in uscita su qualsiasi porta.While this example uses TCP port 3389, the following steps can be used to determine inbound and outbound connection failures over any port.

Visualizzare le regole di sicurezza effettive per una macchina virtualeView effective security rules for a virtual machine

Completare i passaggi seguenti per risolvere i problemi dei gruppi di sicurezza di rete per una VM:Complete the following steps to troubleshoot NSGs for a VM:

È possibile visualizzare l'elenco completo delle regole di sicurezza effettive in un'interfaccia di rete dalla VM stessa.You can view full list of the effective security rules on a NIC, from the VM itself. È anche possibile aggiungere, modificare ed eliminare le regole dei gruppi di sicurezza di rete per subnet e interfacce di rete usando il pannello delle regole effettive, se si hanno le autorizzazioni per eseguire queste operazioni.You can also add, modify, and delete both NIC and subnet NSG rules from the effective rules blade, if you have permissions to perform these operations.

  1. Accedere al portale di Azure all'indirizzo https://portal.azure.com.Login to the Azure portal at https://portal.azure.com.
  2. Fare clic su Altri servizi e quindi su Macchine virtuali nell'elenco visualizzato.Click More services, then click Virtual machines in the list that appears.
  3. Selezionare una VM in cui risolvere i problemi nell'elenco visualizzato. Verrà visualizzato un pannello della VM contenente opzioni.Select a VM to troubleshoot from the list that appears and a VM blade with options appears.
  4. Fare clic su Diagnostica e risoluzione dei problemi e quindi selezionare un problema comune.Click Diagnose & solve problems and then select a common problem. Per questo esempio si seleziona Non è possibile connettersi alla macchina virtuale Windows .For this example, I can’t connect to my Windows VM is selected.

  5. Sotto il problema vengono visualizzati i passaggi, come illustrato nell'immagine seguente:Steps appear under the problem, as shown in the following picture:

    Fare clic su effective security group rules (regole effettive del gruppo di sicurezza) nell'elenco dei passaggi consigliati.Click effective security group rules in the list of recommended steps.

  6. Verrà visualizzato il pannello Ottieni regole di sicurezza valide , come illustrato nell'immagine seguente:The Get effective security rules blade appears, as shown in the following picture:

    Si notino le sezioni seguenti dell'immagine:Notice the following sections of the picture:

    • Ambito: impostato su VM1, ovvero la VM selezionata nel passaggio 3.Scope: Set to VM1, the VM selected in step 3.
    • Interfaccia di rete:VM1-NIC1 .Network interface: VM1-NIC1 is selected. Una VM può avere più interfacce di rete (NIC).A VM can have multiple network interfaces (NIC). Ogni interfaccia di rete può avere regole di sicurezza effettive univoche.Each NIC can have unique effective security rules. Per risolvere il problema può essere necessario visualizzare le regole di sicurezza effettive per ogni interfaccia di rete.When troubleshooting, you may need to view the effective security rules for each NIC.
    • Gruppi di sicurezza di rete associati: i gruppi di sicurezza di rete possono essere applicati sia all'interfaccia di rete che alla subnet cui è connessa l'interfaccia di rete.Associated NSGs: NSGs can be applied to both the NIC and the subnet the NIC is connected to. Nell'immagine, il gruppo di sicurezza di rete è stato applicato sia all'interfaccia di rete che alla subnet cui è connessa.In the picture, an NSG has been applied to both the NIC and the subnet it's connected to. È possibile fare clic sui nomi dei gruppi di sicurezza di rete per modificare le regole direttamente nei gruppi stessi.You can click on the NSG names to directly modify rules in the NSGs.
    • Scheda VM1-nsg: l'elenco delle regole visualizzate nell'immagine si riferisce al gruppo di sicurezza di rete applicato all'interfaccia di rete.VM1-nsg tab: The list of rules displayed in the picture is for the NSG applied to the NIC. Azure crea diverse regole predefinite quando viene creato un gruppo di sicurezza di rete.Several default rules are created by Azure whenever an NSG is created. Non è possibile rimuovere le regole predefinite, ma è possibile eseguirne l'override con regole di priorità più alta.You can't remove the default rules, but you can override them with rules of higher priority. Per altre informazioni sulle regole predefinite, vedere l'articolo generale sui gruppi di sicurezza di rete .To learn more about default rules, read the NSG overview article.
    • Colonna DESTINAZIONE: alcune regole hanno testo nella colonna, mentre altre hanno prefissi di indirizzo.DESTINATION column: Some of the rules have text in the column, while others have address prefixes. Il testo è il nome dei tag predefiniti applicati alla regola di sicurezza al momento della creazione.The text is the name of default tags applied to the security rule when it was created. I tag sono identificatori forniti dal sistema che rappresentano più prefissi.The tags are system-provided identifiers that represent multiple prefixes. Selezionando una regola con un tag, ad esempio AllowInternetOutBound, sarà possibile visualizzare i prefissi nel pannello Prefissi degli indirizzi .Selecting a rule with a tag, such as AllowInternetOutBound, lists the prefixes in the Address prefixes blade.
    • Scarica: l'elenco di regole può essere lungo.Download: The list of rules can be long. È possibile fare clic su Scarica e salvare un file CSV delle regole per eseguire l'analisi offline.You can download a .csv file of the rules for offline analysis by clicking Download and saving the file.
    • AllowRDP : questa regola consente le connessioni RDP alla VM.AllowRDP Inbound rule: This rule allows RDP connections to the VM.
  7. Fare clic sulla scheda Subnet1-NSG per visualizzare le regole effettive del gruppo di sicurezza di rete applicato alla subnet, come illustrato nell'immagine seguente:Click the Subnet1-NSG tab to view the effective rules from the NSG applied to the subnet, as shown in the following picture:

    Si noti la regola in ingresso denyRDP .Notice the denyRDP Inbound rule. Le regole in ingresso applicate alla subnet vengono valutate prima delle regole applicate all'interfaccia di rete.Inbound rules applied at the subnet are evaluated before rules applied at the network interface. La regola di accesso negato viene applicata alla subnet, quindi la richiesta di connessione alla porta TCP 3389 ha esito negativo perché la regola di accesso consentito applicata all'interfaccia di rete non viene mai valutata.Since the deny rule is applied at the subnet, the request to connect to TCP 3389 fails, because the allow rule at the NIC is never evaluated.

    La regola denyRDP è il motivo per cui la connessione RDP ha esito negativo.The denyRDP rule is the reason why the RDP connection is failing. Rimuovere la regola per risolvere il problema.Removing it should resolve the problem.

    Nota

    Se la VM associata all'interfaccia di rete non è in esecuzione oppure non sono stati applicati gruppi di sicurezza di rete all'interfaccia di rete o alla subnet, non verranno visualizzate regole.If the VM associated with the NIC is not in a running state, or NSGs haven't been applied to the NIC or subnet, no rules are shown.

  8. Per modificare le regole del gruppo di sicurezza di rete, fare clic su Subnet1-NSG nella sezione Gruppi di sicurezza di rete associati .To edit NSG rules, click Subnet1-NSG in the Associated NSGs section. Verrà visualizzato il pannello Subnet1-NSG .This opens the Subnet1-NSG blade. È possibile modificare le regole direttamente facendo clic su Regole di sicurezza in ingresso.You can directly edit the rules by clicking on Inbound security rules.

  9. Dopo aver rimosso la regola in ingresso denyRDP dal gruppo di sicurezza di rete Subnet1-NSG e aver aggiunto una regola allowRDP, l'elenco delle regole effettive sarà simile all'immagine seguente:After removing the denyRDP inbound rule in the Subnet1-NSG and adding an allowRDP rule, the effective rules list looks like the following picture:

    Verificare che la porta TCP 3389 sia aperta aprendo una connessione RDP alla VM o usando lo strumento PsPing.Confirm that TCP port 3389 is open by opening an RDP connection to the VM or using the PsPing tool. Per altre informazioni su PsPing, vedere la pagina di download di PsPing.You can learn more about PsPing by reading the PsPing download page.

Visualizzare le regole di sicurezza effettive per un'interfaccia di reteView effective security rules for a network interface

In caso di problemi con il flusso del traffico della VM in un'interfaccia di rete specifica, è possibile visualizzare un elenco completo delle regole effettive nel contesto dell'interfaccia di rete seguendo questa procedura:If your VM traffic flow is impacted for a specific NIC, you can view a full list of the effective rules for the NIC from the network interfaces context by completing the following steps:

  1. Accedere al portale di Azure all'indirizzo https://portal.azure.com.Login to the Azure portal at https://portal.azure.com.
  2. Fare clic su Altri servizi e quindi su Interfacce di rete nell'elenco visualizzato.Click More services, then click Network interfaces in the list that appears.
  3. Selezionare un'interfaccia di rete.Select a network interface. Nell'immagine seguente è stata selezionata un'interfaccia di rete denominata VM1-NIC1 .In the following picture, a NIC named VM1-NIC1 is selected.

    Si noti che il valore di Ambito corrisponde all'interfaccia di rete selezionata.Notice that the Scope is set to the network interface selected. Per informazioni sugli altri dati visualizzati, vedere il passaggio 6 della sezione relativa alla risoluzione dei problemi dei gruppi di sicurezza di rete per una VM di questo articolo.To learn more about the additional information shown, read step 6 of the Troubleshoot NSGs for a VM section of this article.

    Nota

    Se un gruppo di sicurezza di rete viene rimosso da un'interfaccia di rete, il gruppo di sicurezza di rete della subnet è ancora valido per l'interfaccia di rete specificata.If an NSG is removed from a network interface, the subnet NSG is still effective on the given NIC. In questo caso, l'output visualizzerà solo le regole del gruppo di sicurezza di rete della subnet.In this case, the output would only show rules from the subnet NSG. Le regole vengono visualizzate solo se l'interfaccia di rete è collegata a una VM.Rules only appear if the NIC is attached to a VM.

  4. È possibile modificare direttamente le regole per i gruppi di sicurezza di rete associati a un'interfaccia di rete e a una subnet.You can directly edit rules for NSGs associated with a NIC and a subnet. Per informazioni su questa procedura, vedere il passaggio 8 della sezione Visualizzare le regole di sicurezza effettive per una macchina virtuale di questo articolo.To learn how, read step 8 of the View effective security rules for a virtual machine section of this article.

Visualizzare le regole di sicurezza effettive per un gruppo di sicurezza di reteView effective security rules for a network security group (NSG)

Quando si modificano le regole del gruppo di sicurezza di rete, può essere opportuno esaminare l'impatto delle regole aggiunte in una determinata VM.When modifying NSG rules, you may want to review the impact of the rules being added on a particular VM. È possibile visualizzare l'elenco completo delle regole di sicurezza effettive per tutte le interfacce di rete a cui è applicato un determinato gruppo di sicurezza di rete, restando nel contesto del pannello dello specifico gruppo di sicurezza di rete.You can view a full list of the effective security rules for all the NICs that a given NSG is applied to, without having to switch context from the given NSG blade. Per risolvere i problemi delle regole effettive in un gruppo di sicurezza di rete, seguire questa procedura:To troubleshoot effective rules within an NSG, complete the following steps:

  1. Accedere al portale di Azure all'indirizzo https://portal.azure.com.Login to the Azure portal at https://portal.azure.com.
  2. Fare clic su Altri servizi e quindi su Gruppi di sicurezza di rete nell'elenco visualizzato.Click More services, then click Network security groups in the list that appears.
  3. Selezionare un gruppo di sicurezza di rete.Select an NSG. Nell'immagine seguente è stato selezionato un gruppo di sicurezza di rete denominato VM1-nsg.In the following picture, an NSG named VM1-nsg was selected.

    Si notino le sezioni seguenti dell'immagine precedente:Notice the following sections of the previous picture:

    • Ambito: impostato sul gruppo di sicurezza di rete selezionato.Scope: Set to the NSG selected.
    • Macchina virtuale: quando un gruppo di sicurezza di rete è applicato a una subnet, viene applicato a tutte le interfacce di rete collegate a tutte le VM connesse alla subnet.Virtual machine: When an NSG is applied to a subnet, it's applied to all network interfaces attached to all VMs connected to the subnet. Questo elenco indica tutte le VM alle quali è applicato questo gruppo di sicurezza di rete.This list shows all VMs this NSG is applied to. È possibile selezionare una VM qualsiasi dall'elenco.You can select any VM from the list.

      Nota

      Se un gruppo di sicurezza di rete viene applicato solo a una subnet vuota, le VM non verranno elencate.If an NSG is applied to only an empty subnet, VMs will not be listed. Se un gruppo di sicurezza di rete viene applicato a un'interfaccia di rete che non è associata a una VM, non verrà elencata neanche quella interfaccia di rete.If an NSG is applied to a NIC which is not associated with a VM, those NICs will also not be listed.

    • Interfaccia di rete: una macchina virtuale può avere più interfacce di rete.Network Interface: A VM can have multiple network interfaces. È possibile selezionare un'interfaccia di rete collegata alla VM selezionata.You can select a network interface attached to the selected VM.
    • Gruppi di sicurezza di rete associati: un'interfaccia di rete può avere sempre fino a due gruppi di sicurezza di rete effettivi, uno applicato all'interfaccia di rete e l'altro alla subnet.AssociatedNSGs: At any time, a NIC can have up to two effective NSGs, one applied to the NIC and the other to the subnet. Anche se per l'ambito viene selezionato VM1-nsg, l'output visualizzerà entrambi i gruppi di sicurezza di rete se l'interfaccia di rete ha un gruppo di sicurezza di rete effettivo per la subnet.Although the scope is selected as VM1-nsg, if the NIC has an effective subnet NSG, the output will show both NSGs.
  4. È possibile modificare direttamente le regole per i gruppi di sicurezza di rete associati a un'interfaccia di rete o a una subnet.You can directly edit rules for NSGs associated with a NIC or subnet. Per informazioni su questa procedura, vedere il passaggio 8 della sezione Visualizzare le regole di sicurezza effettive per una macchina virtuale di questo articolo.To learn how, read step 8 of the View effective security rules for a virtual machine section of this article.

Per informazioni sugli altri dati visualizzati, vedere il passaggio 6 della sezione Visualizzare le regole di sicurezza effettive per una macchina virtuale di questo articolo.To learn more about the additional information shown, read step 6 of the View effective security rules for a virtual machine section of this article.

Nota

Anche se è possibile applicare un solo gruppo di sicurezza di rete a una singola subnet o interfaccia di rete, un gruppo di sicurezza di rete può essere associato a più interfacce di rete e più subnet.Though a subnet and NIC can each have only one NSG applied to them, an NSG can be associated to multiple NICs and multiple subnets.

ConsiderazioniConsiderations

Durante la risoluzione dei problemi di connettività, tenere presente quanto segue:Consider the following points when troubleshooting connectivity problems:

  • Le regole predefinite dei gruppi di sicurezza di rete bloccano l'accesso in ingresso da Internet e consentono solo il traffico di rete in ingresso nella rete virtuale.Default NSG rules will block inbound access from the internet and only permit VNet inbound traffic. È necessario aggiungere regole in modo esplicito per consentire l'accesso in ingresso da Internet, come richiesto.Rules should be explicitly added to allow inbound access from Internet, as required.
  • Se non sono presenti regole dei gruppi di sicurezza di rete che causano un errore di connettività della VM, il problema potrebbe essere dovuto a:If there are no NSG security rules causing a VM’s network connectivity to fail, the problem may be due to:
    • Software del firewall in esecuzione all'interno del sistema operativo della VMFirewall software running within the VM's operating system
    • Route configurate per appliance virtuali o traffico locale.Routes configured for virtual appliances or on-premises traffic. Il traffico Internet può essere reindirizzato al traffico locale tramite tunneling forzato.Internet traffic can be redirected to on-premises via forced-tunneling. Una connessione RDP o SSH da Internet alla VM potrebbe non funzionare con questa impostazione, a seconda di come l'hardware di rete locale gestisce questo traffico.An RDP/SSH connection from the Internet to your VM may not work with this setting, depending on how the on-premises network hardware handles this traffic. Per informazioni su come diagnosticare problemi di route che potrebbero impedire il flusso del traffico in ingresso e in uscita dalla VM, vedere l'articolo Troubleshooting Routes (Risoluzione dei problemi di route).Read the Troubleshooting Routes article to learn how to diagnose route problems that may be impeding the flow of traffic in and out of the VM.
  • Se si hanno reti virtuali con peering, il tag VIRTUAL_NETWORK si espanderà automaticamente per impostazione predefinita in modo da includere i prefissi delle reti virtuali con peering.If you have peered VNets, by default, the VIRTUAL_NETWORK tag will automatically expand to include prefixes for peered VNets. È possibile vedere questi prefissi nell'elenco ExpandedAddressPrefix per risolvere eventuali problemi legati alla connettività di peering della rete virtuale.You can view these prefixes in the ExpandedAddressPrefix list, to troubleshoot any issues related to VNet peering connectivity.
  • Le regole di sicurezza effettive vengono visualizzate solo se c'è un gruppo di sicurezza di rete associato all'interfaccia di rete o alla subnet della VM.Effective security rules are only shown if there is an NSG associated with the VM’s NIC and or subnet.
  • Se non esistono gruppi di sicurezza di rete associati all'interfaccia di rete o alla subnet e si dispone di un indirizzo IP pubblico assegnato alla VM, tutte le porte saranno aperte per l'accesso in ingresso e in uscita.If there are no NSGs associated with the NIC or subnet and you have a public IP address assigned to your VM, all ports will be open for inbound and outbound access. Se la VM ha un indirizzo IP pubblico, è consigliabile applicare gruppi di sicurezza di rete all'interfaccia di rete o alla subnet.If the VM has a public IP address, applying NSGs to the NIC or subnet is strongly recommended.