你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

虚拟网络 TAP

重要

虚拟网络 TAP 预览版目前在所有 Azure 区域中均处于暂候状态。 可以通过电子邮件 azurevnettap@microsoft.com 向我们发送你的订阅 ID，我们会就未来的预览版更新通知你。 在此期间，可以使用基于代理的解决方案或 NVA 解决方案，这些解决方案通过 Azure 市场产品/服务中提供的数据包代理合作伙伴解决方案提供 TAP/网络可见性功能。

通过 Azure 虚拟网络 TAP（终端接入点），可让你持续将虚拟机网络流量流式传输到网络数据包收集器或分析工具。 收集器或分析工具由网络虚拟设备合作伙伴提供。 有关经验证可与虚拟网络 TAP 一起使用的合作伙伴解决方案列表，请参阅合作伙伴解决方案。

下图显示虚拟网络 TAP 的工作原理。 可以在网络接口（连接到虚拟网络中部署的虚拟机）上添加 TAP 配置。 目标是与受监视网络接口或对等虚拟网络位于同一虚拟网络中的虚拟网络 IP 地址。 虚拟网络 TAP 的收集器解决方案可以部署在 Azure 内部负载均衡器后面，以实现高可用性。

先决条件

在创建虚拟网络 TAP 之前，请确保已收到已在预览版中注册的确认电子邮件。 必须使用 Azure 资源管理器创建一个或多个虚拟机，并使用合作伙伴解决方案来聚合同一 Azure 区域的 TAP 流量。 如果在虚拟网络中没有合作伙伴解决方案，请参阅合作伙伴解决方案来部署一个解决方案。

你可以使用相同的虚拟网络 TAP 资源来聚合来自相同或不同订阅的多个网络接口的流量。 如果受监视的网络接口位于不同的订阅中，则订阅必须关联到同一 Microsoft Entra 租户。 此外，用于聚合 TAP 流量的受监视网络接口和目标终结点可以位于同一区域中的对等虚拟网络中。 如果你使用的是这种部署模型，请务必在配置虚拟网络 TAP 之前启用虚拟网络对等互连。

权限

用于在网络接口上应用 TAP 配置的帐户，必须被赋予网络参与者角色或分配有下表中必要操作的自定义角色：

操作	名称
Microsoft.Network/virtualNetworkTaps/*	在创建、更新、读取和删除虚拟网络 TAP 资源时需要
Microsoft.Network/networkInterfaces/read	在读取要配置 TAP 的网络接口资源时需要
Microsoft.Network/tapConfigurations/*	在创建、更新、读取和删除网络接口上的 TAP 配置时需要

虚拟网络 TAP 合作伙伴解决方案

网络数据包中转站

• 适用于 Azure 的 GigaVUE 云套件

• Ixia CloudLens

• cPacket 云可见性

• Big Switch Big Monitoring Fabric

安全分析、网络/应用程序性能管理

• Awake Security

• Cisco Stealthwatch Cloud

• Darktrace

• ExtraHop Reveal(x)

• Fidelis Cybersecurity

• Flowmon

• NetFort LANGuardian

• Netscout vSTREAM

• Noname Security

• Riverbed SteelCentral AppResponse

• RSA NetWitness® 平台

• Vectra Cognito

后续步骤

• 了解如何创建虚拟网络 TAP。