Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
TAP (точка доступа к терминалу) виртуальной сети Azure позволяет непрерывно передавать сетевой трафик виртуальной машины в сборщик сетевых пакетов или средство аналитики. Инструмент сбора данных или аналитическая система предоставляется партнером по использованию сетевого виртуального устройства. Список партнерских решений, проверенных для работы с виртуальной сетью TAP, см. в партнерских решениях.
Important
Виртуальная сеть TAP теперь доступна в общедоступной предварительной версии в выборе регионов Azure. Дополнительные сведения см. в разделе "Поддерживаемый регион " в этой статье.
На следующей схеме показано, как работает виртуальная сеть TAP. Конфигурацию TAP можно добавить в сетевой интерфейс, присоединенный к виртуальной машине, развернутой в вашей виртуальной сети. Местом назначения является IP-адрес виртуальной сети в той же виртуальной сети, что и отслеживаемый сетевой интерфейс или виртуальная сеть с одноранговыми соединениями. Для обеспечения высокой доступности решение сборщика для TAP виртуальной сети можно развернуть за внутренней подсистемой балансировки нагрузки Azure.
Prerequisites
У вас должна быть одна или несколько виртуальных машин, созданных с помощью Azure Resource Manager, и партнерское решение для агрегирования трафика TAP в одном регионе Azure. Если в вашей виртуальной сети нет ни одного из партнерских решений, разверните одно из них, как указано в разделе о партнерских решениях.
Один и тот же ресурс TAP виртуальной сети позволяет объединять трафик из разных сетевых интерфейсов в одной и той же или разных подписках. Если отслеживаемые сетевые интерфейсы находятся в разных подписках, подписки должны быть связаны с тем же клиентом Microsoft Entra. Кроме того, отслеживаемые сетевые интерфейсы и конечная точка назначения для агрегирования трафика TAP могут находиться в одноранговых виртуальных сетях в одном регионе. Если вы используете эту модель развертывания, убедитесь, что пиринг виртуальной сети включен перед настройкой TAP виртуальной сети.
Permissions
Учетные записи, которые вы используете для применения конфигурации TAP к сетевым интерфейсам, должны быть назначены роли участника сети или настраиваемой роли, назначенной для выполнения необходимых действий из следующей таблицы.
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Требуется для создания, обновления, чтения и удаления ресурса TAP виртуальной сети |
| Microsoft.Network/networkInterfaces/read | Требуется для чтения ресурса сетевого интерфейса, на котором настроена настройка TAP |
| Microsoft.Network/tapConfigurations/* | Требуется для создания, обновления, чтения и удаления конфигурации TAP в сетевом интерфейсе. |
Ограничения общедоступной предварительной версии
Обратите внимание, что ограничения, помеченные как [Временные], будут устранены в общедоступной версии.
Добавление источника:
- Виртуальная сеть TAP поддерживает только сетевой интерфейс виртуальной машины в качестве источника зеркального отображения.
- SKU виртуальной машины версии 6 временно не поддерживается в качестве исходного элемента.
- [Временный] Перед добавлением виртуальной машины в качестве источника сначала необходимо развернуть ресурс TAP виртуальной сети, а затем остановить (деинсталляция) и запустить исходную виртуальную машину. Это необходимо только один раз для любой виртуальной машины, которая будет добавлена в качестве источника. Если это не сделано, вы получите сообщение об ошибке, указывающее, что сетевой адаптер не находится на быстром пути.
Другие ограничения
- Виртуальная сеть TAP поддерживает подсистему балансировки нагрузки или сетевой интерфейс виртуальной машины в качестве целевого ресурса для зеркального трафика.
- [Временный] Виртуальная сеть не поддерживает динамическую миграцию. Динамическая миграция будет отключена для виртуальных машин, установленных в качестве источника.
- [Временный] Виртуальные машины за стандартным балансировщиком нагрузки с включённым плавающим IP-адресом не могут быть источником зеркалирования.
- Виртуальные машины за базовым балансировщиком нагрузки не могут быть установлены в качестве источника дублирования. Базовая подсистема балансировки нагрузки выводится из эксплуатации.
- Виртуальная сеть не поддерживает зеркальное отображение входящего трафика службы приватного канала.
- Виртуальные машины в виртуальной сети с включенным шифрованием не могут быть установлены в качестве источника зеркалирования.
- Виртуальная сеть TAP не поддерживает IPv6.
- [Временный] При добавлении или удалении виртуальной машины в качестве источника виртуальная машина может столкнуться с временем простоя сети (до 60 секунд).
Поддерживаемые регионы
- Восточная Азия
- Центрально-западная часть США
- UK South
- US East
- Центральная Индия
- Западно-Центральная Германия
- Центральная часть США
Скоро
- Australia East
- Корейский центральный центр
- Canada Central
Решения партнеров TAP для виртуальных сетей
Брокеры сетевых пакетов
| Partner | Product |
|---|---|
| Gigamon | GigaVUE Cloud Suite для Azure |
| Keysight | CloudLens |
Аналитика безопасности и управления производительностью сети или приложений
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis киберразведка NDR |
| Corelight | Corelight Open NDR Платформа |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ Network Security |
| Extrahop | Reveal(x) |
| Ход выполнения | Flowmon |
| Bitdefender | Расширенное обнаружение и ответ зоны гравитации для сети |
| eSentire | ESentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |
Дальнейшие шаги
Узнайте, как создать виртуальную сеть TAP с помощью интерфейса командной строки или портала Azure.