Utiliser un TAP de réseau virtuel à l'aide de l'interface de ligne de commande Azure

Le TAP (point d’accès terminal) de réseau virtuel Azure vous permet de diffuser en continu votre trafic réseau de machine virtuelle vers un collecteur de paquets réseau ou un outil analytique. L’outil de collecte ou d'analyse est fourni par un partenaire de dispositif virtuel réseau. Pour obtenir la liste des solutions partenaires validées pour fonctionner avec le TAP de réseau virtuel, consultez les solutions partenaires.

Important

Le point d’accès terminal de réseau virtuel est maintenant en préversion publique. Pour plus d’informations, consultez l’article Vue d’ensemble .

Créer une ressource TAP de réseau virtuel

Lisez les prérequis avant de créer une ressource TAP de réseau virtuel. Vous pouvez exécuter les commandes qui suivent dans Azure Cloud Shell ou en exécutant Azure CLI à partir de votre ordinateur. Azure Cloud Shell est un interpréteur de commandes interactif gratuit qui ne nécessite pas l’installation d’Azure CLI sur votre ordinateur. Vous devez vous connecter à Azure avec un compte disposant des autorisations appropriées. Cet article nécessite Azure CLI version 2.0.46 ou ultérieure. Exécutez az --version pour rechercher la version installée. Si vous devez installer ou mettre à niveau, consultez Installer Azure CLI 2.0. Le TAP de réseau virtuel est actuellement disponible sous forme d’extension. Pour installer l’extension, vous devez exécuter az extension add -n virtual-network-tap. Si vous exécutez Azure CLI localement, vous devez également exécuter az login pour créer une connexion avec Azure.

1. Récupérez l’ID de votre abonnement dans une variable utilisée dans une étape ultérieure :

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Définissez l’ID d’abonnement que vous utiliserez pour créer une ressource TAP de réseau virtuel.

   az account set --subscription $subscriptionId
   

3. Réinscrivez l’ID d’abonnement que vous utilisez pour créer une ressource TAP de réseau virtuel. Si vous obtenez une erreur d’inscription lorsque vous créez une ressource TAP, exécutez la commande suivante :

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Si la destination du TAP de réseau virtuel est l’interface réseau sur l’appliance virtuelle réseau d’un collecteur ou d’un outil d’analyse :

   • Récupérez la configuration IP de l’interface réseau de l’appliance virtuelle réseau dans une variable utilisée dans une étape ultérieure. L’ID est le point de terminaison qui agrège le trafic TAP. L’exemple suivant récupère l’ID de la configuration IP ipconfig1 pour une interface réseau nommée myNetworkInterface, dans un groupe de ressources nommé myResourceGroup :

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Créez le TAP de réseau virtuel dans la région Azure westcentralus à l’aide de l’ID de la configuration IP comme destination. La destination du miroir de trafic doit autoriser le trafic vers le port 4789 :

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. Si la destination du TAP de réseau virtuel est un équilibreur de charge interne d'Azure :

   • Récupérez la configuration IP frontale de l’équilibreur de charge interne Azure dans une variable utilisée dans une étape ultérieure. L’ID est le point de terminaison qui agrège le trafic TAP. L’exemple suivant récupère l’ID de la configuration IP frontale frontendipconfig1 pour un équilibreur de charge nommé myInternalLoadBalancer, dans un groupe de ressources nommé myResourceGroup :

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Créez le TAP de réseau virtuel à l’aide de l’ID de la configuration IP frontale comme destination et une propriété de port facultative. Le port spécifie le port de destination sur la configuration IP frontale où le trafic TAP sera reçu :

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Confirmez la création du TAP de réseau virtuel :

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

Ajouter une configuration TAP à une interface réseau

1. Récupérez l’ID d’une ressource TAP de réseau virtuel existant. L’exemple suivant récupère un TAP de réseau virtuel nommé myTap dans un groupe de ressources nommé myResourceGroup :

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Créez une configuration TAP sur l’interface réseau de la machine virtuelle surveillée. L’exemple suivant crée une configuration TAP pour une interface réseau nommée myNetworkInterface :

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Confirmez la création de la configuration TAP :

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

Supprimer la configuration TAP sur une interface réseau

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Lister les TAP de réseau virtuel dans un abonnement

az network vnet tap list

Supprimer un TAP de réseau virtuel dans un groupe de ressources

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap

Étapes suivantes

Découvrez comment créer un TAP de réseau virtuel à l’aide du portail Azure.