Guia de Início Rápido: Diagnosticar um problema de filtro de tráfego de rede na máquina virtual com o portal do Azure

Neste início rápido, você implanta uma máquina virtual e usa a verificação de fluxo IP do Inspetor de Rede para testar a conectividade de e para diferentes endereços IP. Usando os resultados da verificação do fluxo de IP, você determina a regra de segurança que está bloqueando o tráfego e causando a falha de comunicação e aprende como resolvê-la. Você também aprende a usar as regras de segurança eficazes para uma interface de rede para determinar por que uma regra de segurança está permitindo ou negando tráfego.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa

Iniciar sessão no Azure

Inicie sessão no portal do Azure com a sua conta do Azure.

Criar uma máquina virtual

1. Na caixa de pesquisa na parte superior do portal, insira máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

2. Selecione + Criar e, em seguida, selecione Máquina virtual do Azure.

3. Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Noções básicas :

   Definição	Value
   Detalhes do Projeto
   Subscrição	Selecione a subscrição do Azure.
   Grupo de Recursos	Selecione Criar novo. Digite myResourceGroup em Name. Selecione OK.
   Detalhes da instância
   Virtual machine name	Digite myVM.
   País/Região	Selecione (EUA) Leste dos EUA.
   Opções de disponibilidade	Selecione Sem necessidade de redundância de infraestrutura.
   Tipo de segurança	Deixe o padrão de Padrão.
   Image	Selecione Ubuntu Server 20.04 LTS - x64 Gen2.
   Tamanho	Escolha um tamanho ou deixe a configuração padrão.
   Conta de administrador
   Authentication type	Selecione Senha.
   Username	Introduza um nome de utilizador.
   Palavra-passe	Introduza uma palavra-passe.
   Confirme a palavra-passe	Reintroduza a palavra-passe.

4. Selecione a guia Rede ou selecione Avançar: Discos e, em seguida, Avançar: Rede.

5. Na guia Rede, selecione Criar novo para criar nova rede virtual.

6. Em Criar rede virtual, insira ou selecione os seguintes valores:

   Definição	Valor
   Nome	Introduza myVNet.
   Espaço de endereços
   Intervalo de endereços	Digite 10.0.0.0/16.
   Sub-redes
   Nome da sub-rede	Digite mySubnet.
   Intervalo de endereços	Digite 10.0.0.0/24.

7. Selecione OK.

8. Insira ou selecione os seguintes valores na guia Rede :

   Definição	Value
   IP público	Selecione Nenhuma.
   Grupo de segurança de rede NIC	Selecione Básico.
   Portas de entrada públicas	Selecione Nenhuma.

   Nota

   O Azure criará um grupo de segurança de rede padrão para a máquina virtual myVM (porque você selecionou o grupo de segurança de rede NIC básica ). Você usará esse grupo de segurança de rede padrão para testar a comunicação de rede de e para a máquina virtual na próxima seção.

9. Selecione Rever + criar.

10. Reveja as definições e, em seguida, selecione Criar.

Testar a comunicação de rede usando a verificação de fluxo IP

Nesta seção, você usa o recurso de verificação de fluxo IP do Inspetor de Rede para testar a comunicação de rede de e para a máquina virtual.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Ferramentas de diagnóstico de rede, selecione Verificação do fluxo de IP.

3. Na página Verificação de fluxo IP, insira ou selecione os seguintes valores:

   Definição	Value
   Recurso de Destino
   Máquina virtual	Selecione myVM virtual machine.
   Interface de Rede	Selecione a interface de rede do myVM. Quando você usa o portal do Azure para criar uma máquina virtual, o portal nomeia a interface de rede usando o nome da máquina virtual e um número aleatório (por exemplo, myvm36).
   Detalhes do pacote
   Protocolo	Selecione TCP.
   Direção	Selecione Saída.
   Porta local	Digite 60000. Escolha qualquer número de porta do intervalo IANA (Internet Assigned Numbers Authority) para portas dinâmicas ou privadas.
   Endereço IP remoto	Digite 13.107.21.200. Este endereço IP é um dos endereços IP do www.bing.com site.
   Porta remota	Digite 80

   Nota

   Se não vir a máquina virtual na lista de máquinas virtuais disponíveis para seleção, certifique-se de que está em execução. As máquinas virtuais interrompidas não estão disponíveis para selecionar o teste de verificação de fluxo IP.

   

4. Selecione o botão Verificar fluxo de IP.

   Após alguns segundos, você pode ver o resultado do teste, que indica que o acesso é permitido para 13.107.21.200 devido à regra de segurança padrão AllowInternetOutBound.

   

5. Altere o endereço IP remoto para 10.0.1.10, que é um endereço IP privado no espaço de endereço myVNet . Em seguida, repita o teste selecionando o botão Verificar fluxo IP novamente. O resultado do segundo teste indica que o acesso é permitido para 10.0.1.10 devido à regra de segurança padrão AllowVnetOutBound.

   

6. Altere o endereço IP remoto para 10.10.10.10 e repita o teste. O resultado do terceiro teste indica que o acesso é negado a 10.10.10.10 devido à regra de segurança padrão DenyAllOutBound.

   

7. Altere a Direção para Entrada, a porta Local para 80 e a Porta remota para 60000 e repita o teste. O resultado do quarto teste indica que o acesso é negado a partir de 10.10.10.10 devido à regra de segurança padrão DenyAllInBound.

   

Ver detalhes de uma regra de segurança

Para determinar por que as regras na seção anterior permitem ou negam comunicação, revise as regras de segurança efetivas para a interface de rede na máquina virtual myVM .

1. Em Ferramentas de diagnóstico de rede no Inspetor de Rede, selecione Regras de segurança eficazes.

2. Selecione as seguintes informações:

   Definição	Value
   Subscrição	Selecione a subscrição do Azure.
   Grupo de Recursos	Selecione myResourceGroup.
   Máquina virtual	Selecione myVM.

   Nota

   A máquina virtual myVM tem uma interface de rede que será selecionada assim que selecionar myVM. Se sua máquina virtual tiver mais de uma interface de rede, escolha aquela que você deseja ver suas regras de segurança eficazes.

   

3. Em Regras de saída, selecione AllowInternetOutBound para ver os prefixos de endereço IP de destino permitidos sob esta regra de segurança.

   

   Você pode ver que o prefixo de endereço 13.104.0.0/13 está entre os prefixos de endereço da regra AllowInternetOutBound . Esse prefixo engloba o endereço IP 13.107.21.200 que você testou na etapa 4 da seção anterior.

   Da mesma forma, você pode verificar as outras regras para ver os prefixos de endereço IP de origem e destino sob cada regra.

A verificação do fluxo de IP verifica o padrão do Azure e as regras de segurança configuradas. Se as verificações retornarem os resultados esperados e você ainda tiver problemas de rede, certifique-se de não ter um firewall entre sua máquina virtual e o ponto de extremidade com o qual está se comunicando e de que o sistema operacional em sua máquina virtual não tenha um firewall que negue a comunicação.

Clean up resources (Limpar recursos)

Quando já não for necessário, elimine o grupo de recursos e todos os recursos contidos no mesmo:

1. Na caixa de pesquisa que se encontra na parte superior do portal, introduza myResourceGroup. Selecione myResourceGroup nos resultados da pesquisa.

2. Selecione Eliminar grupo de recursos.

3. Em Excluir um grupo de recursos, digite myResourceGroup e selecione Excluir.

4. Selecione Excluir para confirmar a exclusão do grupo de recursos e de todos os seus recursos.

Próximo passo