診斷網路安全性規則

您可以使用 網路安全組 來篩選和控制 Azure 資源的輸入和輸出網路流量。 您也可以使用 Azure 虛擬網絡 Manager，將系統管理安全性規則套用至您的 Azure 資源，以控制網路流量。

在本文中，您將瞭解如何使用 Azure 網路監看員 NSG 診斷來檢查並針對套用至 Azure 流量的安全性規則進行疑難解答。 NSG 診斷會檢查套用的安全性規則是否允許或拒絕流量。

本文中的範例說明設定錯誤的網路安全組如何防止您使用 Azure Bastion 連線到虛擬機。

必要條件

入口網站

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• 使用您的 Azure 帳戶登入 Azure 入口網站 。

PowerShell

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• Azure Cloud Shell 或 Azure PowerShell。

  本文中的步驟會在 Azure Cloud Shell 中以互動方式執行 Azure PowerShell Cmdlet。 若要在 Cloud Shell 中執行命令，請選取程式代碼區塊右上角的 [ 開啟 Cloud Shell ]。 選取 [複製] 以複製程式碼，然後將其貼入 Cloud Shell 以執行。 您也可以從 Azure 入口網站內執行 Cloud Shell。

  您也可以在本機安裝 Azure PowerShell 來執行 Cmdlet。 本文需要 Az PowerShell 模組。 如需詳細資訊，請參閱 如何安裝 Azure PowerShell。 若要尋找已安裝的版本，請執行 Get-InstalledModule -Name Az。 如果您在本機執行 PowerShell，請使用 Connect-AzAccount Cmdlet 登入 Azure。

Azure CLI

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• Azure Cloud Shell 或 Azure CLI。

  本文中的步驟會在 Azure Cloud Shell 中以互動方式執行 Azure CLI 命令。 若要在 Cloud Shell 中執行命令，請選取程式代碼區塊右上角的 [ 開啟 Cloud Shell ]。 選取 [複製] 以複製程式碼，並將它貼到 Cloud Shell 中以執行。 您也可以從 Azure 入口網站內執行 Cloud Shell。

  您也可以在本機安裝 Azure CLI 以執行命令。 如果您在本機執行 Azure CLI，請使用 az login 命令登入 Azure。

建立虛擬網路和 Bastion 主機

在本節中，您會建立具有兩個子網和 Azure Bastion 主機的虛擬網路。 第一個子網用於虛擬機，而第二個子網則用於 Bastion 主機。 您也會建立網路安全組，並將其套用至第一個子網。

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]。

   

2. 選取 + 建立。 在 [建立虛擬網络] 中，在 [基本] 索引標籤中輸入或選取下列值：

   設定	值
   專案詳細資料
   訂用帳戶	選取 Azure 訂閱。
   資源群組	選取 [新建] 在 [名稱] 中輸入 myResourceGroup。 選取 [確定]。
   [執行個體詳細資料]
   虛擬網路名稱	輸入 [myVNet]。
   區域	選取 [(美國) 美國東部]。

3. 選取 [ 安全性] 索引標籤，或選取頁面底部的 [ 下一步] 按鈕。

4. 在 [Azure Bastion] 底下，選取 [啟用 Azure Bastion]，並接受預設值：

   設定	值
   Azure Bastion 主機名稱	myVNet-Bastion。
   Azure Bastion 公用 IP 位址	（新增） myVNet-bastion-publicIpAddress。

5. 選取 [ IP 位址] 索引標籤，或選取 頁面底部的 [下一步 ] 按鈕。

6. 接受預設IP位址空間 10.0.0.0.0/16 ，然後選取鉛筆圖示來編輯預設子網。 在 [ 編輯子網 ] 頁面中，輸入下列值：

   設定	值
   子網路詳細資料
   名稱	輸入 mySubnet。
   安全性
   網路安全性群組	選取 [新建] 在 [名稱] 中輸入 mySubnet-nsg。 選取 [確定]。

7. 選取 [檢閱 + 建立]。

8. 檢閱設定，然後選取 [建立]。

PowerShell

1. 使用 New-AzResourceGroup 來建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。

   # Create a resource group.
   New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
   

2. 使用 New-AzNetworkSecurityGroup 建立預設網路安全性群組。

   # Create a network security group.
   $networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. 使用 New-AzVirtualNetworkSubnetConfig 建立虛擬機器子網路和堡壘主機子網路的子網路設定。

   # Create subnets configuration.
   $firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
   $secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'
   

4. 使用 New-AzVirtualNetwork 建立虛擬網路。

   # Create a virtual network.
   $vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet
   

5. 使用 New-AzPublicIpAddress 建立 Bastion 主機所需的公用 IP 地址資源。

   # Create a public IP address for Azure Bastion.
   New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'
   

6. 使用 New-AzBastion 建立 Bastion 主機。

   # Create an Azure Bastion host.
   New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' --PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet
   

Azure CLI

1. 使用 az group create 建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。

   # Create a resource group.
   az group create --name 'myResourceGroup' --location 'eastus'
   

2. 使用 az network nsg create 建立預設網路安全組。

   # Create a network security group.
   az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

3. 使用 az network vnet create 來建立虛擬網路。

   az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg' 
   

4. 使用 az network vnet subnet create 建立 Azure Bastion 的子網。

   # Create AzureBastionSubnet.
   az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'
   

5. 使用 az network public-ip create 建立 Bastion 主機的公用 IP 位址。

   # Create a public IP address resource.
   az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard
   

6. 使用 az network bastion create 建立 Bastion 主機。

   az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'
   

重要

從部署 Bastion 主機的那一刻起，不論輸出數據使用量為何，每小時定價都會開始。 如需詳細資訊，請參閱定價。 建議您在完成使用此資源之後刪除此資源。

建立虛擬機器

在本節中，您會建立套用至其網路介面的虛擬機和網路安全組。

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入「虛擬機器」。 在搜尋結果中，選取 [虛擬機器]。

2. 選取 [+ 建立 ]，然後選取 [Azure 虛擬機]。

3. 在 [建立虛擬機器] 中，輸入或選取 [基本資訊] 索引標籤中的下列值：

   設定	值
   專案詳細資料
   訂用帳戶	選取 Azure 訂閱。
   資源群組	選取 myResourceGroup。
   [執行個體詳細資料]
   虛擬機器名稱	輸入 myVM。
   區域	選取 [(美國) 美國東部]。
   可用性選項	選取 [不需要基礎結構備援]。
   安全性類型	選取 [標準]。
   映像	選取 [Windows Server 2022 Datacenter：Azure Edition - x64 Gen2]。
   大小	選擇大小或保留預設設定。
   系統管理員帳戶
   使用者名稱	輸入使用者名稱。
   密碼	輸入密碼。
   確認密碼	重新輸入密碼。

4. 選取 [網路] 索引標籤，或選取 [下一步: 磁碟]，然後選取 [下一步: 網路]。

5. 在 [網络] 索引標籤中，選取下列值：

   設定	值
   網路介面
   虛擬網路	選取 [myVNet]。
   子網路	請選取 [預設]。
   公用 IP	選取 [無]。
   NIC 網路安全性群組	選取 [基本]。
   公用輸入連接埠	選取 [無]。

6. 選取 [檢閱 + 建立]。

7. 檢閱設定，然後選取 [建立]。

PowerShell

1. 使用 New-AzNetworkSecurityGroup 建立預設網路安全性群組。

   # Create a default network security group.
   New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus
   

2. 使用 New-AzVM 建立虛擬機器。 出現提示時，請輸入使用者名稱和密碼。

   # Create a virtual machine using the latest Windows Server 2022 image.
   New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
   

Azure CLI

1. 使用 az network nsg create 建立預設網路安全組。

   # Create a default network security group.
   az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. 使用 az vm create 建立虛擬機。 出現提示時，請輸入使用者名稱和密碼。

   # Create a virtual machine using the latest Windows Server 2022 image.
   az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
   

將安全性規則新增至網路安全組

在本節中，您會將安全性規則新增至與 myVM 網路介面相關聯的網路安全組。 此規則會拒絕來自虛擬網路的任何輸入流量。

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入網路安全組。 在搜尋結果中選取 [網路安全性群組]。

2. 從網路安全組清單中，選取 myVM-nsg。

3. 在 [設定] 下，選取 [輸入安全性規則]。

4. 選取 + 新增。 在 [網络] 索引標籤中，輸入或選取下列值：

   設定	值
   來源	選取 [服務標記]。
   來源服務標籤	選取 [VirtualNetwork]。
   來源連接埠範圍	進入*。
   Destination	選取 [任何]。
   服務	選取自訂。
   目的地連接埠範圍	進入*。
   通訊協定	選取 [任何]。
   動作	選取 [拒絕]。
   優先順序	輸入 1000。
   名稱	輸入 DenyVnetInBound。

5. 選取 [新增]。

   

PowerShell

使用 Add-AzNetworkSecurityRuleConfig 建立安全性規則，以拒絕來自虛擬網路的流量。 然後使用 Set-AzNetworkSecurityGroup，以新的安全性規則更新網路安全組。

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

使用 az network nsg rule create 將新增至網路安全組，以拒絕來自虛擬網路的流量。

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

注意

VirtualNetwork 服務標籤代表虛擬網路的位址空間、所有連線的內部部署位址空間、對等互連的虛擬網路、連線至虛擬網路網關的虛擬網路、主機的虛擬 IP 位址，以及使用者定義路由上所使用的位址前綴。 如需詳細資訊，請參閱 服務標籤。

檢查套用至虛擬機流量的安全性規則

使用 NSG 診斷來檢查從 Bastion 子網到虛擬機之流量所套用的安全性規則。

入口網站

1. 在入口網站頂端的搜尋方塊中，搜尋並選取 [網路監看員]。

2. 在 [網路診斷工具] 底下，選取 [NSG 診斷]。

3. 在 [ NSG 診斷] 頁面上，輸入或選取下列值：

   設定	值
   目標資源
   目標資源類型	選取 [虛擬機器]。
   虛擬機器	選取 myVM 虛擬機。
   流量詳細數據
   通訊協定	選取 [TCP]。 其他可用的選項包括： Any、 UDP 和 ICMP。
   方向	選取 [ 輸入]。 其他可用的選項為： 輸出。
   來源類型	選取 [IPv4 位址/CIDR]。 其他可用的選項為： 服務標籤。
   IPv4 位址/CIDR	輸入 10.0.1.0/26，這是 Bastion 子網的 IP 位址範圍。 可接受的值為：單一 IP 位址、多個 IP 位址、單一 IP 前置詞、多個 IP 首碼。
   目的地 IP 位址	保留預設值 10.0.0.4，這是 myVM 的 IP 位址。
   目的地連接埠	輸入 * 以包含所有連接埠。

   

4. 選取 [執行 NSG 診斷] 以執行測試。 NSG 診斷完成檢查所有安全性規則之後，會顯示結果。

   

   結果顯示，有三個安全性規則會針對 Bastion 子網的輸入連線進行評估：

   • GlobalRules：此安全性系統管理員規則會使用 Azure 虛擬網絡 Manage 在虛擬網路層級套用。 此規則允許從 Bastion 子網到虛擬機的輸入 TCP 流量。
   • mySubnet-nsg：此網路安全組會套用至子網層級（虛擬機的子網）。 此規則允許從 Bastion 子網到虛擬機的輸入 TCP 流量。
   • myVM-nsg：此網路安全組會套用在網路介面 （NIC） 層級。 此規則會拒絕從 Bastion 子網到虛擬機的輸入 TCP 流量。

5. 選取 [檢視 myVM-nsg 的詳細數據]，以查看此網路安全組擁有的安全性規則詳細數據，以及拒絕流量的規則。

   

   在 myVM-nsg 網路安全組中，安全性規則 DenyVnetInBound 會拒絕來自 VirtualNetwork 服務卷標地址空間到虛擬機的任何流量。 Bastion 主機會使用位址範圍中的IP位址：10.0.1.0/26，其包含在 VirtualNetwork 服務標籤中，以連線到虛擬機。 因此，Bastion 主機的連線遭到 DenyVnetInBound 安全性規則拒絕。

PowerShell

使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 啟動 NSG 診斷會話。

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

系統將傳回與下列範例輸出類似的輸出：

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

結果顯示，有三個安全性規則會針對 Bastion 子網的輸入連線進行評估：

• GlobalRules：此安全性系統管理員規則會使用 Azure 虛擬網絡 Manage 在虛擬網路層級套用。 此規則允許從 Bastion 子網到虛擬機的輸入 TCP 流量。
• mySubnet-nsg：此網路安全組會套用至子網層級（虛擬機的子網）。 此規則允許從 Bastion 子網到虛擬機的輸入 TCP 流量。
• myVM-nsg：此網路安全組會套用在網路介面 （NIC） 層級。 此規則會拒絕從 Bastion 子網到虛擬機的輸入 TCP 流量。

在 myVM-nsg 網路安全組中，安全性規則 DenyVnetInBound 會拒絕來自 VirtualNetwork 服務卷標地址空間到虛擬機的任何流量。 Bastion 主機會使用來自 10.0.1.0/26 的 IP 位址，其中包含 VirtualNetwork 服務標籤，以連線到虛擬機。 因此，Bastion 主機的連線遭到 DenyVnetInBound 安全性規則拒絕。

Azure CLI

使用 az network watcher run-configuration-diagnostic 啟動 NSG 診斷會話。

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

系統將傳回與下列範例輸出類似的輸出：

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

結果顯示，有三個安全性規則會針對 Bastion 子網的輸入連線進行評估：

• GlobalRules：此安全性系統管理員規則會使用 Azure 虛擬網絡 Manage 在虛擬網路層級套用。 此規則允許從 Bastion 子網到虛擬機的輸入 TCP 流量。
• mySubnet-nsg：此網路安全組會套用至子網層級（虛擬機的子網）。 此規則允許從 Bastion 子網到虛擬機的輸入 TCP 流量。
• myVM-nsg：此網路安全組會套用在網路介面 （NIC） 層級。 此規則會拒絕從 Bastion 子網到虛擬機的輸入 TCP 流量。

在 myVM-nsg 網路安全組中，安全性規則 DenyVnetInBound 會拒絕來自 VirtualNetwork 服務卷標地址空間到虛擬機的任何流量。 Bastion 主機會使用來自 10.0.1.0/26 的 IP 位址，其中包含 VirtualNetwork 服務標籤，以連線到虛擬機。 因此，Bastion 主機的連線遭到 DenyVnetInBound 安全性規則拒絕。

新增安全性規則以允許來自 Bastion 子網的流量

若要使用 Azure Bastion 連線到 myVM ，網路安全組必須允許來自 Bastion 子網的流量。 若要允許來自 10.0.1.0/26 的流量，請新增優先順序高於 DenyVnetInBound 規則的安全性規則，或編輯 DenyVnetInBound 規則以允許來自 Bastion 子網的流量。

入口網站

您可以從 網路監看員 頁面將安全性規則新增至網路安全組，以顯示拒絕虛擬機流量的安全性規則詳細數據。

1. 若要從 網路監看員 內新增安全性規則，請選取 [+ 新增安全性規則]，然後輸入或選取下列值：

   設定	值
   來源	選取 [IP 位址]。
   來源 IP 位址/CIDR 範圍	輸入 10.0.1.0/26，這是 Bastion 子網的 IP 位址範圍。
   來源連接埠範圍	進入*。
   Destination	選取 [任何]。
   服務	選取自訂。
   目的地連接埠範圍	進入*。
   通訊協定	選取 [任何]。
   動作	選取允許。
   優先順序	輸入 900，其優先順序高於 1000 用於 DenyVnetInBound 規則。
   名稱	輸入 AllowBastion 連線 ions。

   

2. 選取 [重新檢查 ] 以再次執行診斷會話。 診斷會話現在應該會顯示允許來自 Bastion 子網的流量。

   

   安全性規則 AllowBastion 連線 ions 允許從 10.0.1.0/26 的任何 IP 位址到虛擬機的流量。 由於 Bastion 主機使用來自 10.0.1.0/26 的 IP 位址，因此 AllowBastion 連線 ions 安全性規則允許其與虛擬機的連線。

PowerShell

1. 使用 Add-AzNetworkSecurityRuleConfig 建立允許來自 Bastion 子網流量的安全性規則。 然後使用 Set-AzNetworkSecurityGroup，以新的安全性規則更新網路安全組。

   # Place the network security group configuration into a variable.
   $networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
   # Create a security rule.
   Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
   -Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
   # Updates the network security group.
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup 
   

2. 使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 重新檢查使用新的 NSG 診斷會話。

   # Create a profile for the diagnostic session.
   $profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
   # Place the virtual machine configuration into a variable.
   $vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
   # Start the diagnostic session.
   Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List
   

   系統將傳回與下列範例輸出類似的輸出：

   Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
   ResultsText : [
                   {
                     "Profile": {
                       "Direction": "Inbound",
                       "Protocol": "Tcp",
                       "Source": "10.0.1.0/26",
                       "Destination": "10.0.0.4",
                       "DestinationPort": "*"
                     },
                     "NetworkSecurityGroupResult": {
                       "SecurityRuleAccessResult": "Allow",
                       "EvaluatedNetworkSecurityGroups": [
                         {
                           "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                           "MatchedRule": {
                             "RuleName": "VirtualNetwork",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "VirtualNetwork",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                           "MatchedRule": {
                             "RuleName": "DefaultRule_AllowVnetInBound",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "DefaultRule_AllowVnetInBound",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                           "MatchedRule": {
                             "RuleName": "UserRule_AllowBastionConnections",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "UserRule_AllowBastionConnections",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         }
                       ]
                     }
                   }
                 ]
   

   安全性規則 AllowBastion 連線 ions 允許從 10.0.1.0/26 的任何 IP 位址到虛擬機的流量。 由於 Bastion 主機使用來自 10.0.1.0/26 的 IP 位址，因此 AllowBastion 連線 ions 安全性規則允許其與虛擬機的連線。

Azure CLI

1. 使用 az network nsg rule create 將 新增至網路安全組一個允許來自 Bastion 子網流量的安全性規則。

   # Add a security rule to the network security group.
   az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
   --access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
   --destination-address-prefixes '*' --destination-port-ranges '*'
   

2. 使用 az network watcher run-configuration-diagnostic 重新檢查使用新的 NSG 診斷會話。

   # Start the the NSG diagnostics session.
   az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'
   

   系統將傳回與下列範例輸出類似的輸出：

   {
     "results": [
       {
         "networkSecurityGroupResult": {
           "evaluatedNetworkSecurityGroups": [
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "VirtualNetwork"
               },
               "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "VirtualNetwork",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "DefaultRule_AllowVnetInBound"
               },
               "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "DefaultRule_AllowVnetInBound",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "UserRule_AllowBastionConnections"
               },
               "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "UserRule_AllowBastionConnections",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             }
           ],
           "securityRuleAccessResult": "Allow"
         },
         "profile": {
           "destination": "10.0.0.4",
           "destinationPort": "*",
           "direction": "Inbound",
           "protocol": "TCP",
           "source": "10.0.1.0/26"
         }
       }
     ]
   }
   

   安全性規則 AllowBastion 連線 ions 允許從 10.0.1.0/26 中任何 IP 位址到虛擬機的流量。 由於 Bastion 主機使用來自 10.0.1.0/26 的 IP 位址，因此 AllowBastion 連線 ions 安全性規則允許其與虛擬機的連線。

清除資源

當不再需要資源群組時，請將資源群組及其包含的所有資源刪除：

入口網站

1. 在入口網站頂端的搜尋方塊中，輸入 myResourceGroup。 從搜尋結果中選取 myResourceGroup 。

2. 選取 [刪除資源群組]。

3. 在 [刪除資源群組] 中，輸入 myResourceGroup，然後選取 [刪除]。

4. 選取 [ 刪除 ] 以確認刪除資源群組及其所有資源。

PowerShell

使用 Remove-AzResourceGroup 刪除資源群組及其包含的所有資源。

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

Azure CLI

使用 az group delete 移除資源群組及其包含的所有資源

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

下一步

• 若要瞭解其他 網路監看員 工具，請參閱什麼是 Azure 網路監看員？
• 若要瞭解如何針對虛擬機路由問題進行疑難解答，請參閱 診斷虛擬機網路路由問題。