Guia de Início Rápido: Diagnosticar um problema de filtro de tráfego de rede na máquina virtual com o portal do Azure

Neste início rápido, você implanta uma máquina virtual e usa a verificação de fluxo IP do Inspetor de Rede para testar a conectividade de e para endereços IP diferentes. Usando os resultados da verificação do fluxo de IP, você determina a regra de segurança que está bloqueando o tráfego e causando a falha de comunicação e aprende como resolvê-la. Você também aprende a usar as regras de segurança eficazes para uma interface de rede para determinar por que uma regra de segurança está permitindo ou negando tráfego.

Diagram shows the resources created in Network Watcher quickstart.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa

Iniciar sessão no Azure

Inicie sessão no portal do Azure com a sua conta do Azure.

Criar uma máquina virtual

  1. Na caixa de pesquisa na parte superior do portal, insira máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e, em seguida, selecione Máquina virtual do Azure.

  3. Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Noções básicas :

    Definição Valor
    Detalhes do Projeto
    Subscrição Selecione a subscrição do Azure.
    Grupo de Recursos Selecione Criar novo.
    Digite myResourceGroup em Name.
    Selecione OK.
    Detalhes da instância
    Virtual machine name Digite myVM.
    Região Selecione (EUA) Leste dos EUA.
    Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura.
    Tipo de segurança Deixe o padrão de Padrão.
    Image Selecione Ubuntu Server 20.04 LTS - x64 Gen2.
    Tamanho Escolha um tamanho ou deixe a configuração padrão.
    Conta de administrador
    Authentication type Selecione Senha.
    Nome de Utilizador Introduza um nome de utilizador.
    Password Introduza uma palavra-passe.
    Confirme a palavra-passe Reintroduza a palavra-passe.
  4. Selecione a guia Rede ou selecione Avançar: Discos e, em seguida, Avançar: Rede.

  5. Na guia Rede, selecione Criar novo para criar nova rede virtual.

  6. Em Criar rede virtual, insira ou selecione os seguintes valores:

    Definição Valor
    Name Introduza myVNet.
    Espaço de endereços
    Intervalo de endereços Digite 10.0.0.0/16.
    Sub-redes
    Nome da sub-rede Digite mySubnet.
    Intervalo de endereços Digite 10.0.0.0/24.
  7. Selecione OK.

  8. Insira ou selecione os seguintes valores na guia Rede :

    Definição Valor
    IP público Selecione Nenhuma.
    Grupo de segurança de rede NIC Selecione Básico.
    Portas de entrada públicas Selecione Nenhuma.

    Nota

    O Azure criará um grupo de segurança de rede padrão para a máquina virtual myVM (porque você selecionou o grupo de segurança de rede NIC Básica ). Você usará esse grupo de segurança de rede padrão para testar a comunicação de rede de e para a máquina virtual na próxima seção.

  9. Selecione Rever + criar.

  10. Reveja as definições e, em seguida, selecione Criar.

Testar a comunicação de rede usando a verificação de fluxo IP

Nesta seção, você usa o recurso de verificação de fluxo IP do Inspetor de Rede para testar a comunicação de rede de e para a máquina virtual.

  1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

  2. Em Ferramentas de diagnóstico de rede, selecione Verificação do fluxo de IP.

  3. Na página Verificação do fluxo de IP, insira ou selecione os seguintes valores:

    Definição Valor
    Recurso de Destino
    Máquina virtual Selecione myVM virtual machine.
    Interface de Rede Selecione a interface de rede do myVM. Quando você usa o portal do Azure para criar uma máquina virtual, o portal nomeia a interface de rede usando o nome da máquina virtual e um número aleatório (por exemplo, myvm36).
    Detalhes do pacote
    Protocolo Selecione TCP.
    Direção Selecione Saída.
    Porta local Digite 60000. Escolha qualquer número de porta do intervalo IANA (Internet Assigned Numbers Authority) para portas dinâmicas ou privadas.
    Endereço IP remoto Digite 13.107.21.200. Este endereço IP é um dos endereços IP do www.bing.com site.
    Porta remota Digite 80

    Nota

    Se não vir a máquina virtual na lista de máquinas virtuais disponíveis para seleção, certifique-se de que está em execução. As máquinas virtuais interrompidas não estão disponíveis para selecionar o teste de verificação de fluxo IP.

    Screenshot shows the values to input in IP flow verify for first test.

  4. Selecione o botão Verificar fluxo de IP.

    Após alguns segundos, você pode ver o resultado do teste, que indica que o acesso é permitido para 13.107.21.200 devido à regra de segurança padrão AllowInternetOutBound.

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. Altere o endereço IP remoto para 10.0.1.10, que é um endereço IP privado no espaço de endereço myVNet. Em seguida, repita o teste selecionando o botão Verificar fluxo IP novamente. O resultado do segundo teste indica que o acesso é permitido para 10.0.1.10 devido à regra de segurança padrão AllowVnetOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. Altere o endereço IP remoto para 10.10.10.10 e repita o teste. O resultado do terceiro teste indica que o acesso é negado a 10.10.10.10 devido à regra de segurança padrão DenyAllOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. Altere a Direção para Entrada, a porta Local para 80 e a Porta remota para 60000 e repita o teste. O resultado do quarto teste indica que o acesso é negado a partir de 10.10.10.10 devido à regra de segurança padrão DenyAllInBound.

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

Ver detalhes de uma regra de segurança

Para determinar por que as regras na seção anterior permitem ou negam comunicação, revise as regras de segurança efetivas para a interface de rede na máquina virtual myVM .

  1. Em Ferramentas de diagnóstico de rede no Inspetor de Rede, selecione Regras de segurança eficazes.

  2. Selecione as seguintes informações:

    Definição Valor
    Subscrição Selecione a subscrição do Azure.
    Grupo de Recursos Selecione myResourceGroup.
    Máquina virtual Selecione myVM.

    Nota

    A máquina virtual myVM tem uma interface de rede que será selecionada assim que selecionar myVM. Se sua máquina virtual tiver mais de uma interface de rede, escolha aquela que você deseja ver suas regras de segurança eficazes.

    Screenshot of Effective security rules in Network Watcher.

  3. Em Regras de saída, selecione AllowInternetOutBound para ver os prefixos de endereço IP de destino permitidos sob esta regra de segurança.

    Screenshot of the prefixes of AllowInternetOutBound rule.

    Você pode ver que o prefixo de endereço 13.104.0.0/13 está entre os prefixos de endereço da regra AllowInternetOutBound. Esse prefixo engloba o endereço IP 13.107.21.200 que você testou na etapa 4 da seção anterior.

    Da mesma forma, você pode verificar as outras regras para ver os prefixos de endereço IP de origem e destino sob cada regra.

A verificação do fluxo de IP verifica o padrão do Azure e as regras de segurança configuradas. Se as verificações retornarem os resultados esperados e você ainda tiver problemas de rede, certifique-se de não ter um firewall entre sua máquina virtual e o ponto de extremidade com o qual está se comunicando e de que o sistema operacional em sua máquina virtual não tenha um firewall que negue a comunicação.

Clean up resources (Limpar recursos)

Quando já não for necessário, elimine o grupo de recursos e todos os recursos contidos no mesmo:

  1. Na caixa de pesquisa que se encontra na parte superior do portal, introduza myResourceGroup. Selecione myResourceGroup nos resultados da pesquisa.

  2. Selecione Eliminar grupo de recursos.

  3. Em Excluir um grupo de recursos, digite myResourceGroup e selecione Excluir.

  4. Selecione Excluir para confirmar a exclusão do grupo de recursos e de todos os seus recursos.

Próximo passo