TAP di rete virtuale

Importante

L'anteprima tap di rete virtuale è attualmente in attesa in tutte le aree di Azure. È possibile inviare un messaggio di posta elettronica all'indirizzo azurevnettap@microsoft.com con l'ID sottoscrizione e verranno notificati gli aggiornamenti futuri relativi all'anteprima. Nel frattempo, è possibile usare soluzioni basate su agente o NVA che forniscono funzionalità di visibilità tap/rete tramite le soluzioni partner di Pacchetti Broker disponibili nelle offerte Azure Marketplace.

Un TAP (Terminal Access Point) di rete virtuale di Azure consente di trasmettere il traffico di rete della macchina virtuale come flusso continuo a un agente di raccolta di pacchetti di rete o a uno strumento di analisi. Lo strumento di raccolta o analisi viene fornito da un partner dell'appliance virtuale di rete . Per un elenco delle soluzioni dei partner convalidate per l'uso con un TAP di rete virtuale, vedere le soluzioni dei partner. L'immagine seguente illustra come funziona un TAP di rete virtuale. È possibile aggiungere una configurazione di TAP in un'interfaccia di rete collegata a una macchina virtuale distribuita nella rete virtuale. La destinazione è un indirizzo IP di rete virtuale nella stessa rete virtuale dell'interfaccia di rete monitorata o una rete virtuale con peering. La soluzione dell'agente di raccolta per il TAP di rete virtuale può essere distribuita dietro un bilanciamento del carico interno di Azure per garantire disponibilità elevata. Come funziona il TAP di rete virtuale

Prerequisiti

Prima di creare un TAP di rete virtuale, è necessario aver ricevuto un messaggio di conferma registrato nell'anteprima e avere una o più macchine virtuali create usando il modello di distribuzione di Azure Resource Manager e una soluzione partner per aggregare il traffico TAP nella stessa area di Azure. Se non si ha una soluzione partner nella rete virtuale, vedere Soluzioni partner per distribuire una. È possibile usare la stessa risorsa TAP di rete virtuale per aggregare il traffico da più interfacce di rete nella stessa sottoscrizione o in sottoscrizioni diverse. Se le interfacce di rete monitorate si trovano in sottoscrizioni diverse, le sottoscrizioni devono essere associate allo stesso tenant di Azure Active Directory. Inoltre, le interfacce di rete monitorate e l'endpoint di destinazione per aggregare il traffico TAP possono trovarsi in reti virtuali con peering nella stessa area. Se si usa questo modello di distribuzione, assicurarsi che il peering di reti virtuali sia abilitato prima di configurare il TAP di rete virtuale.

Autorizzazioni

Gli account usati per applicare la configurazione TAP alle interfacce di rete devono essere assegnati al ruolo Collaboratore Rete o a un ruolo personalizzato a cui sono assegnate le azioni necessarie dalla tabella seguente:

Azione Nome
Microsoft.Network/virtualNetworkTaps/* Necessaria per creare, aggiornare, leggere ed eliminare una risorsa TAP di rete virtuale
Microsoft.Network/networkInterfaces/read Necessaria per leggere la risorsa interfaccia di rete in cui verrà configurato il TAP
Microsoft.Network/tapConfigurations/* Necessaria per creare, aggiornare, leggere ed eliminare la configurazione TAP per un'interfaccia di rete

Soluzioni dei partner per TAP di rete virtuale

Broker pacchetti di rete

Analisi della sicurezza, gestione delle prestazioni di rete/applicazioni

Passaggi successivi