TAP di rete virtuale
Importante
L'anteprima TAP della rete virtuale è attualmente in attesa in tutte le aree di Azure. È possibile inviare un messaggio di posta elettronica all'indirizzo azurevnettap@microsoft.com con l'ID sottoscrizione e riceveremo una notifica con gli aggiornamenti futuri relativi all'anteprima. Nel frattempo, è possibile usare soluzioni basate su agenti o appliance virtuali di rete che forniscono funzionalità TAP/Network Visibility tramite le soluzioni partner di Packet Broker disponibili nelle offerte di Azure Marketplace.
Un TAP (Terminal Access Point) di rete virtuale di Azure consente di trasmettere il traffico di rete della macchina virtuale come flusso continuo a un agente di raccolta di pacchetti di rete o a uno strumento di analisi. L'agente di raccolta o lo strumento di analisi viene fornito da un partner appliance virtuale di rete. Per un elenco delle soluzioni dei partner convalidate per l'uso con un TAP di rete virtuale, vedere le soluzioni dei partner.
Il diagramma seguente illustra il funzionamento di TAP della rete virtuale. È possibile aggiungere una configurazione di TAP in un'interfaccia di rete collegata a una macchina virtuale distribuita nella rete virtuale. La destinazione è un indirizzo IP di rete virtuale nella stessa rete virtuale dell'interfaccia di rete monitorata o una rete virtuale con peering. La soluzione dell'agente di raccolta per il TAP di rete virtuale può essere distribuita dietro un bilanciamento del carico interno di Azure per garantire disponibilità elevata.
Prerequisiti
Prima di poter creare un TAP di rete virtuale, assicurarsi di aver ricevuto il messaggio di posta elettronica di conferma registrato nell'anteprima. È necessario avere una o più macchine virtuali create con Azure Resource Manager e una soluzione partner per aggregare il traffico TAP nella stessa area di Azure. Se non è disponibile una soluzione di un partner nella rete virtuale, vedere le soluzioni dei partner per distribuirne una.
È possibile usare la stessa risorsa TAP di rete virtuale per aggregare il traffico da più interfacce di rete nella stessa sottoscrizione o in sottoscrizioni diverse. Se le interfacce di rete monitorate si trovano in sottoscrizioni diverse, le sottoscrizioni devono essere associate allo stesso tenant di Microsoft Entra. Inoltre, le interfacce di rete monitorate e l'endpoint di destinazione per aggregare il traffico TAP possono trovarsi in reti virtuali con peering nella stessa area. Se si usa questo modello di distribuzione, assicurarsi che il peering di rete virtuale sia abilitato prima di configurare tap di rete virtuale.
Autorizzazioni
Gli account usati per applicare la configurazione TAP alle interfacce di rete devono essere assegnati al ruolo Collaboratore Rete o a un ruolo personalizzato a cui sono assegnate le azioni necessarie dalla tabella seguente:
| Azione | Nome |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Necessaria per creare, aggiornare, leggere ed eliminare una risorsa TAP di rete virtuale |
| Microsoft.Network/networkInterfaces/read | Obbligatorio per leggere la risorsa dell'interfaccia di rete in cui è configurato TAP |
| Microsoft.Network/tapConfigurations/* | Necessaria per creare, aggiornare, leggere ed eliminare la configurazione TAP per un'interfaccia di rete |
Soluzioni dei partner per TAP di rete virtuale
Broker pacchetti di rete
Analisi della sicurezza, gestione delle prestazioni di rete/applicazioni
Passaggi successivi
- Informazioni su come creare un TAP di rete virtuale.