Pular para o conteúdo principal

Laboratório Técnico: Verify IP flow

Questões

Questão 1 — Múltipla Escolha

Um engenheiro precisa determinar se uma VM consegue enviar tráfego TCP na porta 443 para um endereço IP externo. Ele utiliza o recurso IP flow verify no Azure Network Watcher e obtém o resultado Access: Deny.

Qual informação adicional o IP flow verify fornece que permite ao engenheiro iniciar o diagnóstico imediatamente?

  • A) O nome da regra de NSG que bloqueou o tráfego, identificando exatamente qual regra e em qual NSG ela está definida.
  • B) O caminho completo do pacote pela topologia de rede, incluindo todos os NSGs e User Defined Routes atravessados.
  • C) A sugestão automática de qual regra deve ser modificada para permitir o tráfego.
  • D) O log do pacote bloqueado com timestamp, endereço MAC de origem e de destino.

Questão 2 — Cenário Técnico

Um administrador executa a verificação abaixo no Azure Network Watcher para diagnosticar um problema de conectividade:

Direção:  Inbound
Protocolo: TCP
IP de origem: 203.0.113.45
Porta de origem: 54321
IP de destino: 10.0.1.10
Porta de destino: 80
VM: vm-webserver (NIC: nic-webserver)

O resultado retornado é Access: Allow. No entanto, o administrador ainda não consegue acessar a aplicação web na VM pela internet. Qual é a conclusão mais precisa sobre o que o resultado do IP flow verify indica e o que ele não cobre?

  • A) O resultado confirma que o NSG associado à NIC permite o tráfego; o problema pode estar no NSG da sub-rede, que o IP flow verify não avalia separadamente.
  • B) O resultado confirma que não há nenhum bloqueio de rede entre a internet e a VM; o problema é necessariamente na camada de aplicação.
  • C) O resultado indica que pelo menos um dos NSGs avaliados permite o tráfego naquele fluxo específico; o problema pode estar em outro componente não coberto pela verificação, como o estado da aplicação ou um firewall interno à VM.
  • D) O resultado é inválido porque o IP de origem usado é um endereço de documentação RFC 5737 e o IP flow verify rejeita IPs reservados.

Questão 3 — Múltipla Escolha

Ao configurar o IP flow verify, o engenheiro deve escolher a direção do tráfego a ser testado. Considerando que o objetivo é verificar se uma VM consegue iniciar uma conexão de saída para um servidor de banco de dados externo na porta 1433, qual combinação de parâmetros representa corretamente esse cenário?

  • A) Direção: Inbound; IP de origem: IP do banco de dados; Porta de destino: 1433; IP de destino: IP da VM.
  • B) Direção: Outbound; IP de origem: IP da VM; Porta de destino: 1433; IP de destino: IP do banco de dados.
  • C) Direção: Outbound; IP de origem: IP do banco de dados; Porta de destino: 1433; IP de destino: IP da VM.
  • D) Direção: Inbound; IP de origem: IP da VM; Porta de destino: 1433; IP de destino: IP do banco de dados.

Questão 4 — Verdadeiro ou Falso

O IP flow verify avalia as regras de NSG tanto da sub-rede quanto da NIC associada à VM em uma única verificação, retornando o resultado combinado da política mais restritiva entre os dois NSGs.

Questão 5 — Cenário Técnico

Uma equipe recebe a reclamação de que uma VM específica parou de responder a pings vindos de outra VM na mesma VNet. O administrador executa o IP flow verify com os seguintes parâmetros:

Direção:  Inbound
Protocolo: ICMP
IP de origem: 10.0.2.5
Porta de origem: *
IP de destino: 10.0.1.20
Porta de destino: *
VM: vm-target (NIC: nic-target)

O resultado é Access: Allow. O administrador conclui que o NSG não é o problema e encerra a investigação de rede. Qual é o erro cometido nessa decisão?

  • A) O IP flow verify não suporta o protocolo ICMP; portanto, o resultado Allow é um falso positivo e a investigação de NSG deve continuar.
  • B) O resultado Allow confirma apenas a avaliação das regras de NSG para aquele fluxo específico; o administrador deveria também verificar se o ICMP não está bloqueado por um firewall do sistema operacional dentro da VM, o que está fora do escopo do IP flow verify.
  • C) O administrador inverteu os IPs de origem e destino; o IP flow verify para tráfego inbound deve ter o IP da VM como origem, e o resultado obtido não reflete o cenário real.
  • D) O resultado Allow indica apenas que a regra padrão AllowVNetInBound está ativa; regras personalizadas de bloqueio com prioridade mais alta não são avaliadas pelo IP flow verify.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: A

O IP flow verify foi projetado para retornar não apenas o veredicto (Allow ou Deny), mas também o nome da regra de NSG responsável pela decisão e o nome do NSG onde ela está definida. Isso é o que diferencia o recurso de um simples teste de conectividade: ele mapeia a decisão diretamente a uma regra auditável.

As alternativas B e D descrevem capacidades de outras ferramentas do Network Watcher. O rastreamento de topologia completa é função do Connection Troubleshoot ou do Network Topology. Logs com timestamp e endereço MAC são gerados pelo NSG Flow Logs. A alternativa C nunca é comportamento de uma ferramenta de diagnóstico do Azure: sugestões automáticas de correção de regras não fazem parte do IP flow verify.

Gabarito — Questão 2

Resposta: C

O IP flow verify avalia as regras dos NSGs associados à NIC e à sub-rede da VM para o fluxo especificado. Um resultado Allow significa que nenhum dos NSGs avaliados bloqueou aquele fluxo. Isso não garante conectividade ponta a ponta porque o recurso não cobre: firewalls do sistema operacional, estado do processo que escuta na porta, Azure Firewall, rotas que possam desviar o tráfego, ou falhas na camada de aplicação.

A alternativa A está errada porque o IP flow verify avalia ambos os NSGs (NIC e sub-rede) em conjunto, não apenas o da NIC. A alternativa B vai além do que o resultado comprova. A alternativa D está errada: o IP flow verify aceita qualquer endereço IP válido como parâmetro de teste, incluindo IPs do bloco de documentação.

Gabarito — Questão 3

Resposta: B

Para verificar se uma VM inicia uma conexão de saída, a direção correta é Outbound. Nesse caso, a VM é a origem do tráfego, portanto seu IP deve ser o IP de origem. O servidor de destino recebe o tráfego na porta do serviço, que no caso do SQL Server é a 1433, sendo o IP de destino.

A alternativa A inverte a direção e os papéis de origem e destino. A alternativa C usa Outbound corretamente mas inverte os IPs, o que produziria uma avaliação das regras de saída considerando a VM como destino, o que não tem sentido. A alternativa D usa Inbound, que avaliaria regras de entrada na VM, não de saída. Confundir a perspectiva da direção é o erro mais comum nesse tipo de configuração.

Gabarito — Questão 4

Resposta: Falso

O IP flow verify não retorna um resultado combinado entre o NSG da sub-rede e o da NIC. Ele avalia ambos os NSGs e retorna qual regra específica tomou a decisão, identificando em qual NSG ela está. Isso significa que se o NSG da sub-rede bloquear o tráfego, o resultado indicará a regra bloqueadora naquele NSG; se o da NIC bloquear, indicará a regra no NSG da NIC.

A afirmação é falsa principalmente no trecho "resultado combinado da política mais restritiva": não existe uma fusão de regras. Os dois NSGs são avaliados em sequência (sub-rede primeiro para tráfego de entrada, NIC primeiro para saída), e a primeira regra correspondente em qualquer um deles determina o veredicto. O IP flow verify expõe qual regra venceu e onde ela está, o que é exatamente o valor diagnóstico do recurso.

Gabarito — Questão 5

Resposta: B

O IP flow verify limita sua avaliação ao plano de controle dos NSGs associados à VM. Um resultado Allow confirma que nenhuma regra de NSG está bloqueando o fluxo ICMP para aquela VM. No entanto, o ICMP pode estar sendo descartado pelo Windows Firewall ou por iptables dentro do sistema operacional da VM, que são camadas completamente independentes do NSG e fora do escopo do Network Watcher.

A alternativa A está errada: o IP flow verify suporta ICMP como protocolo de teste. A alternativa C descreve um equívoco sobre os parâmetros: para tráfego inbound, o IP de origem é quem envia (a VM de origem do ping, 10.0.2.5) e o IP de destino é a VM que recebe, o que está corretamente configurado no cenário. A alternativa D está errada porque o IP flow verify avalia todas as regras do NSG em ordem de prioridade, não apenas as regras padrão; a regra de maior prioridade que corresponder ao fluxo é a que determina o resultado.