你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 Azure 虚拟网络 TAP(终端接入点),可让你持续将虚拟机网络流量流式传输到网络数据包收集器或分析工具。 收集器或分析工具由网络虚拟设备合作伙伴提供。 有关经验证可与虚拟网络 TAP 一起使用的合作伙伴解决方案列表,请参阅合作伙伴解决方案。
重要
虚拟网络 TAP 现在在特定的 Azure 区域进入公共预览。 有关详细信息,请参阅本文中的 “支持区域” 部分。
下图显示虚拟网络 TAP 的工作原理。 可以在网络接口(连接到虚拟网络中部署的虚拟机)上添加 TAP 配置。 目标是与受监视网络接口或对等虚拟网络位于同一虚拟网络中的虚拟网络 IP 地址。 虚拟网络 TAP 的收集器解决方案可以部署在 Azure 内部负载均衡器后面,以实现高可用性。
先决条件
在创建虚拟网络 TAP 之前,请确保已收到已在预览版中注册的确认电子邮件。 必须在同一 Azure 区域中使用 Azure 资源管理器创建一个或多个虚拟机,并具有用于汇聚 TAP 流量的合作伙伴解决方案。 如果在虚拟网络中没有合作伙伴解决方案,请参阅合作伙伴解决方案来部署一个解决方案。
你可以使用相同的虚拟网络 TAP 资源来聚合来自相同或不同订阅的多个网络接口的流量。 如果受监视的网络接口位于不同的订阅中,则订阅必须关联到同一 Microsoft Entra 租户。 此外,监视的网络接口和聚合 TAP 流量的目标终结点可以位于同一区域的对等互连虚拟网络中。 如果你使用的是这种部署模型,请务必在配置虚拟网络 TAP 之前启用虚拟网络对等互连。
权限
用于在网络接口上应用 TAP 配置的帐户,必须被赋予网络参与者角色或分配有下表中必要操作的自定义角色:
| 操作 | 名称 |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | 在创建、更新、读取和删除虚拟网络 TAP 资源时需要 |
| Microsoft 网络/网络接口/读取 | 在读取要配置 TAP 的网络接口资源时需要 |
| Microsoft.Network/tapConfigurations/* | 在创建、更新、读取和删除网络接口上的 TAP 配置时需要 |
公共预览版限制
以下是预览版期间的限制。
- 虚拟网络 TAP 仅支持虚拟机(VM)网络接口作为镜像源。
- 虚拟网络 TAP 支持将负载均衡器或虚拟机的网络接口作为镜像流量的目标资源。
- 虚拟网络不支持实时迁移。 设置为虚拟网络 TAP 的源的 VM 将禁用实时迁移。
- 无法将启用了浮动 IP 的标准负载均衡器后面的 VM 设置为镜像源。
- 基本负载均衡器后面的 VM 不能设置为镜像源。
- 虚拟网络不支持入站专用链接服务流量的镜像。
- 无法将启用了加密的虚拟网络中的 VM 设置为镜像源。
- 虚拟网络 TAP 不支持 IPv6。
- 当虚拟机作为源添加或删除时,虚拟机可能会遇到网络中断(最多 60 秒)。
支持的区域
- 亚洲东部
- 美国中西部
即将推出
- 英国南部
- 美国东部
虚拟网络 TAP 合作伙伴解决方案
网络数据包中转站
| 合作伙伴 | 产品 |
|---|---|
| Gigamon | 适用于 Azure 的 GigaVUE 云套件 |
| Keysight | CloudLens |
安全分析、网络/应用程序性能管理
| 合作伙伴 | 产品 |
|---|---|
| 深色跟踪 | Darktrace/NETWORK |
| Netscout | Omnis 网络智能 NDR |
| Corelight | Corelight Open NDR Platform |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ 网络安全 |
| Extrahop | Reveal(x) |
| Bitdefender | GravityZone 网络扩展检测和响应 |
| eSentire | eSentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |