Werken met een virtueel netwerk TAP met behulp van de Azure CLI
Belangrijk
TAP Preview van virtueel netwerk is momenteel in bewaring in alle Azure-regio's. U kunt ons azurevnettap@microsoft.com een e-mail sturen met uw abonnements-id en we zullen u op de hoogte stellen van toekomstige updates over de preview. In de tussentijd kunt u op agents gebaseerde of NVA-oplossingen gebruiken die TAP/Network Visibility-functionaliteit bieden via onze pakketbroker partneroplossingen die beschikbaar zijn in Azure Marketplace-aanbiedingen.
Met TAP (Terminal Access Point) van Azure Virtual Network kunt u uw netwerkverkeer van uw virtuele machine continu streamen naar een hulpprogramma voor netwerkpakketverzamelaar of analyse. Het collector- of analysehulpprogramma wordt geleverd door een partner van een virtueel netwerkapparaat . Zie partneroplossingen voor een lijst met partneroplossingen die zijn gevalideerd voor gebruik met TAP voor virtueel netwerk.
Een TAP-resource voor een virtueel netwerk maken
Lees de vereisten voordat u een TAP-resource voor een virtueel netwerk maakt. U kunt de opdrachten uitvoeren die volgen in De Azure Cloud Shell of door de Azure CLI uit te voeren vanaf uw computer. Azure Cloud Shell is een gratis interactieve shell waarvoor u de Azure CLI niet hoeft te installeren op uw computer. U moet zich aanmelden bij Azure met een account met de juiste machtigingen. Voor dit artikel is Azure CLI versie 2.0.46 of hoger vereist. Voer az --version uit om te kijken welke versie is geïnstalleerd. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren. Tap voor virtueel netwerk is momenteel beschikbaar als uitbreiding. Als u de extensie wilt installeren, moet u uitvoeren az extension add -n virtual-network-tap. Als u de Azure CLI lokaal uitvoert, moet u ook uitvoeren az login om een verbinding met Azure te maken.
Haal de id van uw abonnement op in een variabele die in een latere stap wordt gebruikt:
subscriptionId=$(az account show \ --query id \ --out tsv)Stel de abonnements-id in die u gaat gebruiken om een TAP-resource voor een virtueel netwerk te maken.
az account set --subscription $subscriptionIdRegistreer de abonnements-id die u gaat gebruiken om een TAP-resource voor een virtueel netwerk te maken. Als er een registratiefout optreedt bij het maken van een TAP-resource, voert u de volgende opdracht uit:
az provider register --namespace Microsoft.Network --subscription $subscriptionIdAls de bestemming voor het virtuele netwerk TAP de netwerkinterface op het virtuele netwerkapparaat is voor collector of analysehulpprogramma -
Haal de IP-configuratie van de netwerkinterface van het virtuele netwerkapparaat op in een variabele die in een latere stap wordt gebruikt. De id is het eindpunt waarmee het TAP-verkeer wordt samengevoegd. In het volgende voorbeeld wordt de id van de IP-configuratie ipconfig1 opgehaald voor een netwerkinterface met de naam myNetworkInterface, in een resourcegroep met de naam myResourceGroup:
IpConfigId=$(az network nic ip-config show \ --name ipconfig1 \ --nic-name myNetworkInterface \ --resource-group myResourceGroup \ --query id \ --out tsv)Maak het virtuele netwerk TAP in de Azure-regio westcentralus met behulp van de id van de IP-configuratie als doel. De bestemming van de verkeersspiegel moet verkeer naar poort 4789 toestaan:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $IpConfigId \ --location westcentralus
Als de bestemming voor het virtuele netwerk TAP een interne Load Balancer van Azure is:
Haal de front-end-IP-configuratie van de interne Load Balancer van Azure op in een variabele die in een latere stap wordt gebruikt. De id is het eindpunt waarmee het TAP-verkeer wordt samengevoegd. In het volgende voorbeeld wordt de id van de front-end-IP-configuratie voor een load balancer met de naam myInternalLoadBalancer opgehaald in een resourcegroep met de naam myResourceGroup:
FrontendIpConfigId=$(az network lb frontend-ip show \ --name frontendipconfig1 \ --lb-name myInternalLoadBalancer \ --resource-group myResourceGroup \ --query id \ --out tsv)Maak het virtuele netwerk TAP met behulp van de id van de front-end-IP-configuratie als de bestemming en een optionele poorteigenschap. De poort geeft de doelpoort op voor front-end IP-configuratie waar het TAP-verkeer wordt ontvangen:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $FrontendIpConfigId \ --port 4789 \ --location westcentralus
Bevestig het maken van het virtuele netwerk TAP:
az network vnet tap show \ --resource-group myResourceGroup --name myTap
Een TAP-configuratie toevoegen aan een netwerkinterface
Haal de id van een bestaande TAP-resource voor een virtueel netwerk op. In het volgende voorbeeld wordt een tap van een virtueel netwerk met de naam myTap opgehaald in een resourcegroep met de naam myResourceGroup:
tapId=$(az network vnet tap show \ --name myTap \ --resource-group myResourceGroup \ --query id \ --out tsv)Maak een TAP-configuratie op de netwerkinterface van de bewaakte virtuele machine. In het volgende voorbeeld wordt een TAP-configuratie gemaakt voor een netwerkinterface met de naam myNetworkInterface:
az network nic vtap-config create \ --resource-group myResourceGroup \ --nic myNetworkInterface \ --vnet-tap $tapId \ --name mytapconfig \ --subscription subscriptionIdBevestig het maken van de TAP-configuratie:
az network nic vtap-config show \ --resource-group myResourceGroup \ --nic-name myNetworkInterface \ --name mytapconfig \ --subscription subscriptionId
De TAP-configuratie op een netwerkinterface verwijderen
az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId
Virtuele netwerk-TAP's weergeven in een abonnement
az network vnet tap list
Een TAP van een virtueel netwerk verwijderen in een resourcegroep
az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap