Diagnose der IP-Datenflussüberprüfung

Abgeschlossen

Das Feature zur IP-Datenflussüberprüfung in Azure Network Watcher überprüft die Konnektivität vom oder zum Internet sowie von oder mit Ihrer lokalen Umgebung. Mit diesem Feature können Sie ermitteln, ob eine Sicherheitsregel Datenverkehr zu oder von Ihrem virtuellen Computer oder dem Internet blockiert.

Screenshot of the IP flow verify feature in the Azure portal.

Wissenswertes zur IP-Datenflussüberprüfung

Sehen wir uns die Konfigurationsdetails und die Funktionalität des Features „IP-Datenflussüberprüfung“ in Azure Network Watcher an.

  • Sie konfigurieren das Feature zur IP-Datenflussüberprüfung mit den folgenden Eigenschaften im Azure-Portal:

    • Virtueller Computer und Netzwerkschnittstelle
    • Lokale Portnummer (Quelle)
    • Remote-IP-Adresse (Ziel) und Remoteportnummer
    • Kommunikationsprotokoll (TCP oder UDP)
    • Datenverkehrsrichtung (eingehender oder ausgehender Datenverkehr)
  • Das Feature testet die Kommunikation für einen virtuellen Zielcomputer mit zugeordneten Netzwerksicherheitsgruppenregeln (NSG), indem ein- und ausgehende Pakete zum und vom Computer ausgeführt werden.

  • Nach Abschluss der Testläufe informiert Sie das Feature darüber, ob die Kommunikation mit dem Computer erfolgreich ist (Zugriff wird zugelassen) oder fehlschlägt (Zugriff wird verweigert).

  • Wenn der Zielcomputer das Paket aufgrund einer NSG verweigert, gibt das Feature den Namen der betreffenden Sicherheitsregel zurück.

Zu beachtende Punkte bei der Verwendung der IP-Datenflussüberprüfung

Das Feature zur IP-Datenflussüberprüfung eignet sich hervorragend, um die korrekte Anwendung Ihrer Sicherheitsregeln zu gewährleisten.

Wenn Sie eine VM bereitstellen, wendet Azure mehrere Standardsicherheitsregeln auf Ihren Computer an. Die Sicherheitsregeln erlauben oder verweigern Datenverkehr zu oder von Ihrem virtuellen Computer. Sie können die Standardregeln von Azure außer Kraft setzen oder andere Regeln erstellen.

Möglicherweise kann Ihr virtueller Computer aufgrund einer Sicherheitsregel zu einem bestimmten Zeitpunkt nicht mehr mit anderen Ressourcen kommunizieren. Sie können das Feature zur IP-Datenflussüberprüfung verwenden, um Probleme mit Ihren NSG-Regeln zu behandeln.

Wenn die Testläufe fehlschlagen, aber das Feature zur IP-Datenflussüberprüfung nicht darauf hinweist, dass das Problem mit Ihren NSG-Regeln zusammenhängt, müssen Sie andere Bereiche untersuchen, z. B. Firewalleinschränkungen.