Início Rápido: Diagnosticar um problema de filtro do tráfego de rede da máquina virtual usando o portal do Azure

  • Artigo

Neste início rápido, você implanta uma máquina virtual e usa a verificação de fluxo de IP do Observador de Rede para testar a conectividade de e para endereços IP diferentes. Usando os resultados da verificação de fluxo de IP, você determina a regra de segurança que está bloqueando o tráfego e causando a falha de comunicação e aprende como pode resolvê-la. Você também aprenderá a usar as regras de segurança em vigor para um adaptador de rede para determinar por que uma regra de segurança está permitindo ou negando o tráfego.

Diagram shows the resources created in Network Watcher quickstart.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa

Entrar no Azure

Entre no portal do Azure com sua conta do Azure.

Criar uma máquina virtual

  1. Na caixa de pesquisa na parte superior do portal, insira máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e, em seguida, selecione a máquina virtual do Azure.

  3. Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Informações Básicas:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione Criar novo.
    Insira myResourceGroup em Nome.
    Selecione OK.
    Detalhes da instância
    Nome da máquina virtual Insira a opção myVM.
    Região Selecione (EUA) Leste dos EUA.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Deixe o padrão de Standard.
    Image Selecione Ubuntu Server 20.04 LTS - x64 Gen2.
    Tamanho Escolha um tamanho ou deixe a configuração padrão.
    Conta de administrador
    Tipo de autenticação Selecione Senha.
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha.
    Confirmar senha Reinsira a senha.

  4. Selecione a guia Rede ou selecione Avançar: Discos, em seguida, Avançar: Rede.

  5. Na guia Rede, selecione Criar novo para criar uma nova rede virtual.

  6. Em Criar rede virtual, insira ou selecione os valores a seguir:

    Configuração Valor
    Nome Insira myVNet.
    Espaço de endereço
    Intervalo de endereços Insira 10.0.0.0/16.
    Sub-redes
    Nome da sub-rede Insira mySubnet.
    Intervalo de endereços Insira 10.0.0.0/24.

  7. Selecione OK.

  8. Insira ou selecione os seguintes valores na guia Rede:

    Configuração Valor
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Básico.
    Porta de entrada públicas Selecione Nenhum.

    Observação

    O Azure criará um grupo de segurança de rede padrão para a máquina virtual myVM (porque você selecionou o grupo de segurança de rede NIC Básico). Você usará esse grupo de segurança de rede padrão para testar a comunicação de rede de e para a máquina virtual na próxima seção.

  9. Selecione Examinar + criar.

  10. Examine as configurações e selecione Criar.

Testar a comunicação de rede usando a verificação de fluxo de IP

Nesta seção, você usará a funcionalidade de verificação de fluxo de IP de Observador de Rede para testar a comunicação de rede de e para a máquina virtual.

  1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

  2. Em Ferramentas de diagnóstico de rede, selecione Verificação de fluxo de IP.

  3. Na página verificação de fluxo de IP, insira ou selecione os seguintes valores:

    Configuração Valor
    Recurso de destino
    Máquina virtual Selecione a máquina virtual myVM.
    interface de rede Selecione o adaptador de rede de myVM. Quando você usa o portal do Azure para criar uma máquina virtual, o portal nomeia o adaptador de rede usando o nome da máquina virtual e um número aleatório (por exemplo, myvm36).
    Detalhes do pacote
    Protocolo selecione TCP.
    Direção Selecione Saída.
    Porta local Insira 60000. Escolha qualquer número de porta no intervalo IANA (Autoridade de Números Atribuídos à Internet) para portas dinâmicas ou privadas.
    Endereço IP remoto Insira 13.107.21.200. Esse endereço IP é um dos endereços IP do site www.bing.com.
    Porta remota Insira 80

    Observação

    Se você não vir a máquina virtual na lista de máquinas virtuais disponíveis para seleção, verifique se ela está em execução. As máquinas virtuais interrompidas não estão disponíveis para seleção para o teste de verificação de fluxo de IP.

    Screenshot shows the values to input in IP flow verify for first test.

  4. Selecione o botão Verificar fluxo de IP.

    Após alguns segundos, você poderá ver o resultado do teste, o que indica que o acesso tem permissão para 13.107.21.200 devido à regra de segurança padrão AllowInternetOutBound.

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. Altere o endereço IP remoto para 10.0.1.10, que é um endereço IP privado no espaço de endereço do myVNet. Em seguida, repita o teste selecionando novamente o botão Verificar fluxo de IP. O resultado do segundo teste indica que o acesso é permitido a 10.0.1.10 devido à regra de segurança padrão AllowVnetOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. Altere o endereço IP remoto para 10.10.10.10 e repita o teste. O resultado do terceiro teste indica que o acesso foi negado a 10.10.10.10 devido à regra de segurança padrão DenyAllOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. Altere Direção para Entrada, a porta Local para 80 e a porta Remota para 60000 e repita o teste. O resultado do quarto teste indica que o acesso foi negado de 10.10.10.10 devido à regra de segurança padrão DenyAllInBound.

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

Exibir os detalhes de uma regra de segurança

Para determinar por que as regras da seção anterior permitem ou negam a comunicação, examine as regras de segurança em vigor para a interface de rede na máquina virtual myVM.

  1. Em Ferramentas de diagnóstico de rede no Observador de Rede, selecione Regras de segurança eficazes.

  2. Selecione as seguintes informações:

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione myResourceGroup.
    Máquina virtual Selecione myVM.

    Observação

    A máquina virtual myVM tem um adaptador de rede que será selecionado quando você selecionar myVM. Se sua máquina virtual tiver mais de um adaptador de rede, escolha aquele que você deseja ver suas regras de segurança eficazes.

    Screenshot of Effective security rules in Network Watcher.

  3. Em Regras de saída, selecione AllowInternetOutBound para ver os prefixos de endereço IP de destino permitidos sob essa regra de segurança.

    Screenshot of the prefixes of AllowInternetOutBound rule.

    Você pode ver que o prefixo de endereço 13.104.0.0/13 está entre os prefixos de endereço da regra AllowInternetOutBound. Esse prefixo abrange o endereço IP 13.107.21.200 que você testou na etapa 4 da seção anterior.

    Da mesma forma, você pode marcar as outras regras para ver os prefixos de endereço IP de origem e de destino em cada regra.

A verificação de fluxo de IP verifica as regras de segurança padrão e configuradas do Azure. Se as verificações retornarem resultados esperados e você ainda tiver problemas de rede, verifique se você não tem um firewall entre a máquina virtual e o ponto de extremidade com o qual está se comunicando e se o sistema operacional na máquina virtual não tem um firewall que nega a comunicação.

Limpar os recursos

Quando não for mais necessário, exclua o grupo de recursos e todos os recursos que ele contém:

  1. Na caixa Pesquisar na parte superior do portal, insira myResourceGroup. Selecione myResourceGroup nos resultados da pesquisa.

  2. Selecione Excluir grupo de recursos.

  3. Em Nome do grupo de recursos, digite myResourceGroup e selecione Excluir.

  4. Selecione Excluir para confirmar a exclusão do grupo de recursos e todos os seus recursos.

Próxima etapa

Diagnosticar um problema de roteamento de rede de máquina virtual