Работа с виртуальной сетью TAP с помощью Azure CLI

TAP (точка доступа к терминалу) виртуальной сети Azure позволяет непрерывно передавать сетевой трафик виртуальной машины в сборщик сетевых пакетов или средство аналитики. Средство сборщика или аналитики предоставляется партнером по виртуальному сетевому устройству. Список партнерских решений, проверенных для работы с виртуальной сетью TAP, см. в партнерских решениях.

Это важно

Виртуальная сеть TAP теперь доступна в общедоступной предварительной версии. Дополнительные сведения см. в статье "Обзор ".

Создайте ресурс TAP виртуальной сети

Прочтите предварительные требования перед созданием ресурса TAP виртуальной сети. Вы можете выполнить команды, которые следуют в Azure Cloud Shell, или запустив Azure CLI с компьютера. Azure Cloud Shell — это бесплатная интерактивная оболочка, которая не требует установки Azure CLI на компьютере. Необходимо войти в Azure с учетной записью с соответствующими разрешениями. Для этой статьи требуется Azure CLI версии 2.0.46 или более поздней. Выполните команду az --version, чтобы узнать установленную версию. Если вам нужно установить или обновить, см. статью "Установка Azure CLI 2.0". Виртуальная сеть TAP в настоящее время доступна в качестве расширения. Чтобы установить расширение, необходимо запустить az extension add -n virtual-network-tap. Если вы используете Azure CLI локально, вам также необходимо выполнить запуск az login для создания подключения к Azure.

1. Получите идентификатор подписки и сохраните его в переменной, которая используется на более позднем этапе:

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Задайте идентификатор подписки, который будет использоваться для создания ресурса TAP виртуальной сети.

   az account set --subscription $subscriptionId
   

3. Повторно зарегистрируйте идентификатор подписки, используемый для создания ресурса TAP виртуальной сети. Если при создании ресурса TAP возникает ошибка регистрации, выполните следующую команду:

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Если местом назначения виртуальной сети TAP является сетевой интерфейс на сетевом виртуальном устройстве для коллектора или аналитического инструмента:

   • Извлеките IP-конфигурацию сетевого интерфейса виртуального устройства в переменную, которая используется на следующем шаге. Идентификатор — это конечная точка, которая объединяет трафик TAP. В следующем примере извлекается идентификатор IP-конфигурации ipconfig1 для сетевого интерфейса с именем myNetworkInterface в группе ресурсов с именем myResourceGroup:

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Создайте TAP виртуальной сети в регионе westcentralus Azure, используя идентификатор конфигурации IP в качестве назначения. Назначение зеркального трафика должно разрешать трафик через порт 4789:

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. Если назначение для виртуальной сети TAP является внутренней подсистемой балансировки нагрузки Azure:

   • Получите конфигурацию внешнего IP-адреса внутренней подсистемы балансировки нагрузки Azure в переменную, которая используется на следующем шаге. Идентификатор — это конечная точка, которая объединяет трафик TAP. В следующем примере извлекается идентификатор интерфейсной IP-конфигурации frontendipconfig1 для подсистемы балансировки нагрузки с именем myInternalLoadBalancer, в группе ресурсов с именем myResourceGroup:

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Создайте TAP виртуальной сети, используя идентификатор конфигурации внешнего IP в качестве назначения и свойство порта по желанию. Порт указывает конечный порт в конфигурации ВНЕШНЕГО IP-адреса, в которой будет получен трафик TAP:

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Подтвердите создание виртуальной сети TAP:

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

Добавление конфигурации TAP в сетевой интерфейс

1. Получите идентификатор существующего ресурса TAP виртуальной сети. В следующем примере извлекается виртуальная сеть TAP с именем myTap в группе ресурсов с именем myResourceGroup:

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Создайте конфигурацию TAP в сетевом интерфейсе отслеживаемой виртуальной машины. В следующем примере создается конфигурация TAP для сетевого интерфейса с именем myNetworkInterface:

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Подтвердите создание конфигурации TAP:

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

Удаление конфигурации TAP в сетевом интерфейсе

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Вывод списка IP-адресов виртуальной сети в подписке

az network vnet tap list

Удалите TAP виртуальной сети в группе ресурсов

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap

Дальнейшие шаги

Узнайте, как создать виртуальную сеть TAP с помощью портала Azure.