ネットワーク パケット ブローカー
Azure Operator Nexus のネットワーク パケット ブローカーは、通信サービス プロバイダー向けに調整された Microsoft Azure の特殊なオファリングです。 Azure Operator Nexus のネットワーク パケット ブローカーを使用すると、通信オペレーターはインフラストラクチャ (AON) 全体のトラフィックを効率的にキャプチャ、集計、フィルター処理、監視でき、詳細なパケット検査、トラフィック分析、および強化されたネットワーク監視が可能になります。 これは、メイン高品質のサービスを維持し、セキュリティを確保し、規制要件に準拠することが最も重要な電気通信業界で特に重要です。 このソリューションを活用することで、オペレーターはネットワーク トラフィックの可視性を向上させ、問題をより効果的にトラブルシューティングし、最終的に、ネットワークのセキュリティとパフォーマンスの最高基準をメインしながら、改善されたサービスを顧客に提供することができます。
NPB は、Microsoft.managednetworkfabric の下で別の最上位レベルの Azure Resource Manager (ARM) リソースとして設計およびモデル化されています。 オペレーターは、ネットワーク TAP、ネットワーク TAP ルール、および近隣グループ関数を作成、読み取り、更新、および削除できます。 各ネットワーク パケット ブローカーには、指定されたトラフィックを管理、フィルター処理、転送するためのネットワーク TAP、近隣グループ、ネットワーク TAP ルールなどの複数のリソースがあります。
ネットワーク パケット ブローカーを有効にする手順
前提条件
- NPB デバイスは、正しくラックに取り付け、スタックされ、プロビジョニングされます。 ネットワーク ファブリックをプロビジョニングする手順については、「Network Fabric のプロビジョニング」を参照してください。
- それぞれの vProbe を専用 IP で設定する必要がある
- 内部 vProbes の場合、レイヤー 3 分離はメイン内部ネットワークを使用して作成する必要があります。 必要な接続サブネットを構成する必要があります。それに加えて、拡張機能フラグを NPB (内部ネットワーク内) に設定する必要があります。 Isolation Do で内部ネットワークと外部ネットワークを作成しメイン NPB の拡張フラグを設定する手順については、「Isolation Doメインs」を参照してください。
- ネットワーク間接続 (NNI) のユース ケースでは、NNI を型
NPBとして作成する必要があります。 NNI の作成時に、適切なレイヤー 2 およびレイヤー 3 のプロパティを定義する必要があります。 ネットワーク間相互接続 (NNI) を作成する手順については、「Network Fabric プロビジョニング」を参照してください。
手順
- 一致構成を提供するネットワーク TAP ルールを作成する (インライン入力メソッドのみがサポートされます)
- 宛先を定義する近隣グループ リソースを作成します。
- Tap ルールと近隣グループを参照するネットワーク TAP リソースを作成します。
- ネットワーク TAP リソースを有効にします。
Npb
このリソースは、ブートストラップ中に NNF によって自動的に作成されます。
NPB を表示する
このコマンドは、NPB 論理リソースの詳細を表示します。
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
予想される出力
{
"properties": {
"networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
ネットワーク TAP ルール
NetworkTapRule リソースは、条件とアクションのフィルター処理と転送の組み合わせを提供する機能を提供します。
ネットワーク TAP ルールのパラメーター
| パラメーター | 説明 | 例 | 必須 |
|---|---|---|---|
| resource-group | NetworkTapRule 専用の適切なリソース グループ名を使用する | ResourceGroupName | 正しい |
| resource-name | ネットワーク タップのリソース名 | InternetTAPrule1 | True |
| location | NFC 作成時に使用される AzON Azure リージョン | eastus | True |
| configuration-type | ネットワーク タップ ルールを構成する入力方法。 | インラインまたはファイル | True |
| match-configurations | 一致構成の一覧。 | ||
| match-configurations/matchconfigurationName | 一致構成ブロックの名前 | ||
| match-configurations/sequenceNumber | 一致構成のシーケンス番号 | ||
| match-configurations/ipAddressType | IP アドレス ファミリ | ||
| match-configurations/matchconditions | ポート、プロトコル、VLAN および IP 条件に基づく動的一致条件の一覧。 | ||
| match-configurations/action | アクションの詳細を指定します。 アクションには、ドロップ、カウント、ログ、Goto、Redirect、Mirror を指定できます。 | ||
| dynamic-match-configurations | 動的一致構成ベースのポート、VLAN および IP の一覧 |
Note
ネットワーク タップ ルールと近隣グループは、ネットワーク タップで再調整する前に作成する必要があります
ネットワーク タップ ルールを作成する
次のコマンドを実行すると、ネットワーク タップルールが作成されます。
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
予想される出力:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
ネットワーク タップ ルールを表示する
次のコマンドを実行すると、IP コミュニティ リソースが表示されます。
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
予想される出力:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
近隣グループ
近隣グループ リソースには、フィルター処理されたトラフィックを転送するための宛先をグループ化する機能があります
近隣グループのパラメーター
| パラメーター | 説明 | 例 | 必須 |
|---|---|---|---|
| resource-group | NeighborGroup 専用の適切なリソース グループ名を使用する | ResourceGroupName | 正しい |
| resource-name | NeighborGroup のリソース名 | example-Neighbor | True |
| location | NFC 作成時に使用される AzON Azure リージョン | eastus | True |
| 宛先 | トラフィックを転送する Ipv4 または Ipv6 宛先の一覧 | 10.10.10.10 | True |
近隣グループの作成
次のコマンドを実行すると、近隣グループ リソースが作成されます。
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
予想される出力:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
近隣グループ リソースの表示
次のコマンドを実行すると、IP 拡張コミュニティ リソースが表示されます。
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
予想される出力:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Network TAP
ネットワーク TAP を使用すると、オペレーターはネットワーク TAP ルールに基づいてフィルター処理されたトラフィックを転送する宛先とカプセル化メカニズムを定義できます
ネットワーク TAP のパラメーター
| パラメーター | 説明 | 例 | 必須 |
|---|---|---|---|
| resource-group | ネットワーク タップ専用の適切なリソース グループ名を使用する | ResourceGroupName | 正しい |
| resource-name | ネットワーク タップのリソース名 | NetworkTAP-Austin | True |
| location | NFC 作成時に使用される AzON Azure リージョン | eastus | True |
| network-packet-broker-id | ネットワーク パケット ブローカー リソースの ARMID | True | |
| polling-type | ネットワーク タップ ルール (プッシュまたはプル) のポーリング方法 | プル | True |
| 宛先 | 変換先の定義 | True | |
| destination/name | 宛先の名前 | ||
| destination/type | 変換先の種類。IsolationDoメイン または NNI | ||
| destination/IsolationDoメインProperties | 分離の詳細メイン。 カプセル化、近隣グループ ID | 内部ネットワークまたは NNI の Azure Resource Manager (ARM) ID | False |
| destinationTapRuleId | 適用する必要がある Tap ルールの ARMID | True |
ネットワーク TAP の作成
このコマンドを実行すると、ネットワーク Tap リソースが作成されます。
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\