快速入門:使用 Azure 入口網站診斷虛擬機器網路流量篩選問題

  • 發行項

在本快速入門中,您會部署虛擬機器,並使用 網路監看員 IP 流程驗證 來測試不同 IP 位址的連線能力。 使用 IP 流程驗證結果,您可以判斷封鎖流量並導致通訊失敗的安全性規則,並瞭解如何加以解決。 您也會瞭解如何使用 網路介面的有效安全性規則 來判斷安全性規則允許或拒絕流量的原因。

Diagram shows the resources created in Network Watcher quickstart.

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶

登入 Azure

使用您的 Azure 帳戶登入 Azure 入口網站

建立虛擬機器

  1. 在入口網站頂端的搜尋方塊中,輸入 虛擬機器 。 在搜尋結果中選取 [虛擬機器 ]。

  2. 選取 [+ 建立 ],然後選取 [Azure 虛擬機器 ]。

  3. [建立虛擬機器 ] 中,于 [基本] 索引 標籤中 輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [新建]
    在 [名稱 ] 中 輸入 myResourceGroup
    選取 [ 確定 ]。
    [執行個體詳細資料]
    虛擬機器名稱 輸入 myVM
    區域 選取 [(美國) 美國東部]
    可用性選項 選取 [不需要基礎結構備援]
    安全性類型 保留 [標準 ] 的 預設值。
    映像 選取 [Ubuntu Server 20.04 LTS - x64 Gen2 ]。
    大小 選擇大小或保留預設設定。
    系統管理員帳戶
    驗證類型 選取 [ 密碼 ]。
    使用者名稱 輸入使用者名稱。
    密碼 輸入密碼。
    確認密碼 重新輸入密碼。

  4. 選取 [ 網路] 索引 標籤,或選取 [下一步:磁片 ],然後 選取 [下一步:網路]。

  5. 在 [ 網路] 索引標籤中 ,選取 [ 新建 ] 以建立新的虛擬網路。

  6. [建立虛擬網路] 中,輸入或選取下列值:

    設定
    名稱 輸入 myVNet
    位址空間
    位址範圍 輸入 10.0.0.0/16
    子網路
    子網路名稱 輸入 mySubnet
    位址範圍 輸入 10.0.0.0/24

  7. 選取 [確定]。

  8. 在 [ 網路] 索引 標籤中輸入或選取下列值:

    設定
    公用 IP 選取 [無]。
    NIC 網路安全性群組 選取 [基本]
    公用輸入連接埠 選取 [無]。

    注意

    Azure 會為 myVM 虛擬機器建立預設網路安全性群組(因為您選取了 基本 NIC 網路安全性群組)。 在下一節中,您將使用此預設網路安全性群組來測試虛擬機器的網路通訊。

  9. 選取 [檢閱 + 建立]。

  10. 檢閱設定,然後選取 [ 建立 ]。

使用 IP 流程驗證測試網路通訊

在本節中,您會使用 網路監看員 的 IP 流程驗證功能來測試虛擬機器的網路通訊。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員 。 選取 搜尋結果中的網路監看員

  2. 在 [網路診斷工具] 底下,選取 [IP 流程驗證]

  3. 在 [ IP 流程驗證 ] 頁面中,輸入或選取下列值:

    設定
    目標資源
    虛擬機器 選取 myVM 虛擬機器。
    網路介面 選取 myVM 網路介面。 當您使用Azure 入口網站建立虛擬機器時,入口網站會使用虛擬機器的名稱和亂數字來命名網路介面(例如 myvm36)。
    封包詳細資料
    通訊協定 選取 [TCP]。
    方向 選取 [ 輸出 ]。
    本機連接埠 輸入 60000 。 針對動態或私人埠,從網際網路指派號碼授權單位 (IANA) 範圍中選擇任何埠號碼。
    遠端 IP 位址 輸入 13.107.21.200 。 此 IP 位址是網站的其中一個 IP 位址 www.bing.com
    遠端連接埠 輸入 80

    注意

    如果您在可供選取的虛擬機器清單中看不到虛擬機器,請確定它正在執行。 無法選取已停止的虛擬機器進行 IP 流程驗證測試。

    Screenshot shows the values to input in IP flow verify for first test.

  4. 選取 [ 驗證 IP 流程 ] 按鈕。

    幾秒鐘之後,您可以看到測試結果,這表示預設安全性規則 AllowInternetOutBound 允許 存取 13.107.21.200

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. 將遠端 IP 位址變更 10.0.1.10 ,這是 myVNet 位址空間中的 私人 IP 位址。 然後,再次選取 [ 驗證 IP 流程 ] 按鈕,以重複測試。 第二個測試的結果指出,由於預設安全性規則 AllowVnetOutBound ,允許 存取 10.0.1.10

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. 將遠端 IP 位址 變更 10.10.10.10 ,然後重複測試。 第三項測試的結果表示存取權因為預設安全性規則 DenyAllOutBound 遭到拒絕為 10.10.10.10

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. 將 [方向 ] 變更為 [輸入 ]、[ 本機埠] 變更為 80 ,並將 [遠端埠 ] 變更 60000 ,然後重複測試。 第四項測試的結果指出,由於預設安全性規則 DenyAllInBound ,存取權從 10.10.10.10 拒絕。

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

檢視安全性規則的詳細資料

若要判斷上一節中的規則為何允許或拒絕通訊,請檢閱 myVM 虛擬機器中 網路介面的有效安全性規則。

  1. [網路監看員 的網路診斷工具 ] 底下 ,選取 [ 有效安全性規則 ]。

  2. 選取下列資訊:

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 myResourceGroup
    虛擬機器 選取 [myVM]

    注意

    myVM 虛擬機器有一個網路介面,會在您選取 myVM 之後選取 。 如果您的虛擬機器有多個網路介面,請選擇您想要查看其有效安全性規則的網路介面。

    Screenshot of Effective security rules in Network Watcher.

  3. 在 [輸出規則] 下,選取 [AllowInternetOutBound ],以查看此安全性規則下允許的目的地 IP 位址首碼。

    Screenshot of the prefixes of AllowInternetOutBound rule.

    您可以看到位址首碼 13.104.0.0/13 是 AllowInternetOutBound 規則的位址首碼之 一。 此前置詞包含您在上一節的步驟 4 中測試的 IP 位址 13.107.21.200

    同樣地,您可以檢查其他規則,以查看每個規則下的來源和目的地 IP 位址首碼。

IP 流程驗證會檢查 Azure 預設和已設定的安全性規則。 如果檢查傳回預期的結果,而且您仍然有網路問題,請確定您的虛擬機器與您通訊的端點之間沒有防火牆,而且虛擬機器中的作業系統沒有拒絕通訊的防火牆。

清除資源

若不再需要,請刪除資源群組及其包含的所有資源:

  1. 在入口網站頂端的搜尋方塊中,輸入 myResourceGroup 。 從搜尋結果中選取 myResourceGroup

  2. 選取 [刪除資源群組]

  3. 在 [ 刪除資源群組 ] 中,輸入 myResourceGroup ,然後選取 [ 刪除 ]。

  4. 選取 [ 刪除 ] 以確認刪除資源群組及其所有資源。

後續步驟

診斷虛擬機器網路路由問題