Trabalhar com um TAP de rede virtual usando a CLI do Azure
Importante
A versão prévia do TAP de rede virtual está em espera no momento em todas as regiões do Azure. Você pode enviar um email para nós azurevnettap@microsoft.com com sua ID de assinatura e notificaremos você com atualizações futuras sobre a versão prévia. Nesse ínterim, você pode usar soluções baseadas em agente ou NVA que fornecem funcionalidade TAP / Visibilidade de Rede por meio de nossas soluções de parceiro Packet Broker disponíveis em Azure Marketplace Offerings.
O TAP (Ponto de Acesso do Terminal) de rede virtual do Azure permite que você transmita o tráfego de rede por streaming continuamente da máquina virtual para uma ferramenta de coleta de pacotes ou de análise de rede. A ferramenta de análise ou de coleta é fornecida por um parceiro de solução de virtualização de rede. Para obter uma lista de soluções de parceiros validadas para trabalhar com o TAP de rede virtual, consulte soluções de parceiros.
Criar um recurso de TAP de rede virtual
Leia os pré-requisitos antes de criar um recurso de TAP de rede virtual. É possível executar os comandos a seguir no Azure Cloud Shell ou executando a CLI do Azure no computador. O Azure Cloud Shell é um shell interativo gratuito que não exige a instalação da CLI do Azure no computador. É necessário entrar no Azure com uma conta que tenha as permissões apropriadas. Este artigo requer a CLI do Azure versão 2.0.46 ou posterior. Execute az --version para localizar a versão instalada. Se você precisa instalar ou atualizar, consulte Instalar a CLI 2.0 do Azure. O TAP de rede virtual está disponível atualmente como uma extensão. Para instalar a extensão, você precisa executar az extension add -n virtual-network-tap. Se estiver executando a CLI do Azure localmente, você também precisará executar o az login para criar uma conexão com o Azure.
Recupere a ID da assinatura em uma variável que será usada em uma etapa posterior:
subscriptionId=$(az account show \ --query id \ --out tsv)Defina a ID da assinatura que você usará para criar um recurso de TAP de rede virtual.
az account set --subscription $subscriptionIdRegistre novamente a ID da assinatura que você usará para criar um recurso de TAP de rede virtual. Se você receber um erro de registro ao criar um recurso de TAP, execute o comando a seguir:
az provider register --namespace Microsoft.Network --subscription $subscriptionIdSe o destino para o TAP de rede virtual for o adaptador de rede na solução de virtualização de rede para coletor ou ferramenta analítica -
Recupere a configuração IP do adaptador de rede da solução de virtualização de rede em uma variável usada em uma etapa posterior. A ID é o ponto de extremidade que agregará o tráfego de TAP. O exemplo a seguir recupera a ID da configuração IP ipconfig1 de um adaptador de rede nomeado myNetworkInterface, em um grupo de recursos nomeado myResourceGroup:
IpConfigId=$(az network nic ip-config show \ --name ipconfig1 \ --nic-name myNetworkInterface \ --resource-group myResourceGroup \ --query id \ --out tsv)Crie o TAP de rede virtual na região westcentralus do Azure usando a ID da configuração de IP como destino. O destino do espelho de tráfego deve permitir o tráfego para a porta 4789:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $IpConfigId \ --location westcentralus
Se o destino do TAP de rede virtual for um balanceador de carga interno do Azure:
Recupere a configuração IP de front-end do balanceador de carga interno do Azure em uma variável usada em uma etapa posterior. A ID é o ponto de extremidade que agregará o tráfego de TAP. O exemplo a seguir recupera a ID da configuração IP de front-end frontendipconfig1 para um balanceador de carga nomeado myInternalLoadBalancer, em um grupo de recursos nomeado myResourceGroup:
FrontendIpConfigId=$(az network lb frontend-ip show \ --name frontendipconfig1 \ --lb-name myInternalLoadBalancer \ --resource-group myResourceGroup \ --query id \ --out tsv)Crie o TAP de rede virtual usando a ID da configuração IP de front-end como o destino e uma propriedade de porta opcional. A porta especifica a porta de destino na configuração IP de front-end onde o tráfego de TAP será recebido:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $FrontendIpConfigId \ --port 4789 \ --location westcentralus
Confirme a criação do TAP de rede virtual:
az network vnet tap show \ --resource-group myResourceGroup --name myTap
Adicione uma configuração de TAP a um adaptador de rede
Recuperar a ID de um recurso de TAP de rede virtual existente. O exemplo a seguir recupera um TAP de rede virtual TAP nomeado myTap em um grupo de recursos nomeado myResourceGroup:
tapId=$(az network vnet tap show \ --name myTap \ --resource-group myResourceGroup \ --query id \ --out tsv)Crie uma configuração de TAP no adaptador de rede da máquina virtual monitorada. O exemplo a seguir cria uma configuração de TAP para um adaptador de rede nomeado myNetworkInterface:
az network nic vtap-config create \ --resource-group myResourceGroup \ --nic myNetworkInterface \ --vnet-tap $tapId \ --name mytapconfig \ --subscription subscriptionIdConfirme a criação da configuração de TAP:
az network nic vtap-config show \ --resource-group myResourceGroup \ --nic-name myNetworkInterface \ --name mytapconfig \ --subscription subscriptionId
Excluir a configuração de TAP em um adaptador de rede
az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId
Listar TAPs de rede virtual em uma assinatura
az network vnet tap list
Excluir um TAP de rede virtual TAP em um grupo de recursos
az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de