Uso de una instancia de Virtual Network TAP con la CLI de Azure

Importante

La versión preliminar de TAP de red virtual actualmente está en espera en todas las regiones de Azure. Puede enviarnos un correo electrónico a azurevnettap@microsoft.com con su identificador de suscripción y le notificaremos las actualizaciones futuras sobre la versión preliminar. Mientras tanto, puede usar soluciones basadas en agentes o NVA que proporcionen funcionalidad de visibilidad de red o TAP a través de las soluciones de partners de agentes de paquetes disponibles en las ofertas de Azure Marketplace.

Azure Virtual Network TAP (punto de acceso del terminal) permite transmitir continuamente el tráfico de red de la máquina virtual a un recopilador de paquetes de red o a una herramienta de análisis. Un asociado de la aplicación virtual de red proporciona el recopilador o la herramienta de análisis de la herramienta. Para ver una lista de soluciones de asociados que estén validadas para funcionar con Virtual Network TAP, consulte las soluciones de asociados.

Creación de un recurso de Virtual Network TAP

Antes de crear un recurso de Virtual Network TAP, lea los requisitos previos. Puede ejecutar los comandos siguientes en Azure Cloud Shell, o mediante la ejecución de la CLI de Azure en el equipo. Azure Cloud Shell es un shell interactivo gratuito que no requiere la instalación de la CLI de Azure en el equipo. Debe iniciar sesión Azure con una cuenta que tenga los permisos adecuados. En este artículo se necesita la CLI de Azure versión 2.0.46 o posterior. Ejecute az --version para buscar la versión instalada. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure 2.0. El punto de acceso de terminal de red virtual está actualmente disponible como una extensión. Para instalar la extensión, tiene que ejecutar az extension add -n virtual-network-tap. Si ejecuta de forma local la CLI de Azure, también debe ejecutar az login para crear una conexión con Azure.

1. Recupere el identificador de su suscripción en una variable que se usará en un paso posterior:

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Establezca el identificador de suscripción que usará para crear un recurso de Virtual Network TAP.

   az account set --subscription $subscriptionId
   

3. Vuelva a registrar el identificador de suscripción que usará para crear un recurso de Virtual Network TAP. Si recibe un error de registro al crear un recurso TAP, ejecute el siguiente comando:

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Si el destino de Virtual Network TAP es la interfaz de red en la aplicación virtual de red del recopilador o de la herramienta de análisis:

   • Recupere la configuración IP de la interfaz de red de la aplicación virtual de red en una variable que se usará en un paso posterior. El identificador es el punto de conexión que agregará el tráfico TAP. En el ejemplo siguiente se recupera el identificador de la configuración IP ipconfig1 de una interfaz de red llamada myNetworkInterface, en un grupo de recursos llamado myResourceGroup:

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Cree la instancia de TAP de red virtual en la región de Azure westcentralus y use el identificador de la configuración IP como destino. El destino del reflejo del tráfico debe permitir el tráfico al puerto 4789:

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. Si el destino de TAP de red virtual es un equilibrador de carga interno de Azure:

   • Recupere la configuración IP de front-end del equilibrador de carga interno de Azure en una variable que se usará en un paso posterior. El identificador es el punto de conexión que agregará el tráfico TAP. En el ejemplo siguiente se recupera el identificador de la configuración IP del front-end frontendipconfig1 para un equilibrador de carga llamado myInternalLoadBalancer, en un grupo de recursos llamado myResourceGroup:

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Cree la instancia de Virtual Network TAP y use el identificador de la configuración IP de front-end como destino y una propiedad de puerto opcional. El puerto especifica el puerto de destino en la configuración IP del front-end donde se recibirá el tráfico TAP:

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Confirme la creación de la instancia de Virtual Network TAP:

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

Agregar una configuración de TAP a una interfaz de red

1. Recupere el identificador de un recurso de Virtual Network TAP existente. En el ejemplo siguiente se recupera una instancia de Virtual Network TAP denominada myTap de un grupo de recursos llamado myResourceGroup:

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Cree una configuración de TAP en la interfaz de red de la máquina virtual supervisada. En el ejemplo siguiente se crea una configuración de TAP para una interfaz de red llamada myNetworkInterface:

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Confirme la creación de la configuración de TAP:

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

Eliminar la configuración de TAP en una interfaz de red

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Enumerar las instancias de Virtual Network TAP de una suscripción

az network vnet tap list

Eliminar una instancia de Virtual Network TAP de un grupo de recursos

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap