Работа с TAP виртуальной сети с помощью Azure CLI
Внимание
Сейчас доступ к предварительной версии TAP для виртуальной сети приостановлен во всех регионах Azure. Вы можете написать нам на адрес azurevnettap@microsoft.com, указав идентификатор своей подписки, чтобы мы уведомляли вас о будущих обновлениях предварительной версии. А пока вы можете использовать решения на основе агента или сетевого виртуального модуля, которые обеспечивают возможности TAP и видимости сети, с помощью партнерских решений брокера пакетов, доступных в предложениях Azure Marketplace.
TAP (точка доступа к терминалу) виртуальной сети Azure позволяет непрерывно передавать сетевой трафик виртуальной машины в сборщик сетевых пакетов или средство аналитики. Сборщик сетевых пакетов или средство аналитики предоставляются партнером-разработчиком сетевого виртуального устройства. Список партнерских решений, работающих с TAP виртуальной сети, см. в разделе о партнерских решениях.
Создание ресурса TAP виртуальной сети
Ознакомьтесь с предварительными требованиями перед созданием ресурса TAP виртуальной сети. Вы можете выполнить приведенные ниже команды в Azure Cloud Shell или Azure CLI на своем компьютере. Azure Cloud Shell — это бесплатная интерактивная оболочка, которая не требует установки Azure CLI на компьютере. Вам потребуется войти в Azure с учетной записью, имеющей соответствующие разрешения. Для этой статьи требуется Azure CLI 2.0.46 или более поздней версии. Выполните командлет az --version, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0. В настоящее время виртуальную сеть TAP можно выбрать в качестве расширения. Чтобы установить расширение, необходимо запустить az extension add -n virtual-network-tap. Если Azure CLI запущен локально, необходимо также выполнить командлет az login, чтобы создать подключение к Azure.
Извлеките идентификатор подписки в переменную, которая используется позднее:
subscriptionId=$(az account show \ --query id \ --out tsv)Задайте идентификатор подписки, который будет использоваться для создания ресурса TAP виртуальной сети.
az account set --subscription $subscriptionIdПовторно зарегистрируйте идентификатор подписки, который будет использоваться для создания ресурса TAP виртуальной сети. Если при создании ресурса TAP возникнет ошибка регистрации, выполните следующую команду:
az provider register --namespace Microsoft.Network --subscription $subscriptionIdЕсли целевым назначением TAP виртуальной сети является сетевой интерфейс на сетевом виртуальном устройстве для сборщика или средства аналитики:
Извлеките IP-конфигурацию сетевого интерфейса сетевого виртуального устройства в переменную, которая используется позднее. Идентификатор является конечной точкой, которая будет агрегировать трафик TAP. В следующем примере извлекается идентификатор IP-конфигурации ipconfig1 для сетевого интерфейса с именем myNetworkInterface в группе ресурсов с именем myResourceGroup:
IpConfigId=$(az network nic ip-config show \ --name ipconfig1 \ --nic-name myNetworkInterface \ --resource-group myResourceGroup \ --query id \ --out tsv)Создайте TAP виртуальной сети в регионе Azure westcentralus , используя идентификатор конфигурации IP в качестве назначения. Трафик зеркало назначения должен разрешать трафик через порт 4789:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $IpConfigId \ --location westcentralus
Если целевым назначением для TAP виртуальной сети является внутренняя подсистема балансировки нагрузки Azure:
Извлеките IP-конфигурацию внешнего интерфейса внутренней подсистемы балансировки нагрузки Azure в переменную, которая используется позднее. Идентификатор является конечной точкой, которая будет агрегировать трафик TAP. В следующем примере извлекается идентификатор IP-конфигурации внешнего интерфейса frontendipconfig1 для подсистемы балансировки нагрузки с именем myInternalLoadBalancer в группе ресурсов с именем myResourceGroup:
FrontendIpConfigId=$(az network lb frontend-ip show \ --name frontendipconfig1 \ --lb-name myInternalLoadBalancer \ --resource-group myResourceGroup \ --query id \ --out tsv)Создайте TAP виртуальной сети, используя идентификатор IP-конфигурации внешнего интерфейса в качестве целевого назначения и необязательное свойство port. Свойство port указывает порт назначения для IP-конфигурации внешнего интерфейса, по которому будет приниматься трафик TAP:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $FrontendIpConfigId \ --port 4789 \ --location westcentralus
Подтвердите создание TAP виртуальной сети:
az network vnet tap show \ --resource-group myResourceGroup --name myTap
Добавление конфигурации TAP для сетевого интерфейса
Извлеките идентификатор существующего ресурса TAP виртуальной сети. В следующем примере извлекается TAP виртуальной сети с именем myTap в группе ресурсов myResourceGroup:
tapId=$(az network vnet tap show \ --name myTap \ --resource-group myResourceGroup \ --query id \ --out tsv)Создайте конфигурацию TAP для сетевого интерфейса отслеживаемой виртуальной машины. В следующем примере создается конфигурация TAP для сетевого интерфейса с именем myNetworkInterface:
az network nic vtap-config create \ --resource-group myResourceGroup \ --nic myNetworkInterface \ --vnet-tap $tapId \ --name mytapconfig \ --subscription subscriptionIdПодтвердите создание конфигурации TAP:
az network nic vtap-config show \ --resource-group myResourceGroup \ --nic-name myNetworkInterface \ --name mytapconfig \ --subscription subscriptionId
Удаление конфигурации TAP для сетевого интерфейса
az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId
Перечисление TAP виртуальных сетей в подписке
az network vnet tap list
Удаление TAP виртуальной сети в группе ресурсов
az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap