虛擬網路 TAP
重要
虛擬網路 TAP 預覽版目前在特定 Azure 區域處於個人預覽版狀態。 您可以使用註冊表單 (https://forms.office.com/r/EWqbgLGNcV) 註冊預覽版,我們會在選中您時通知您。 在過渡期間,您可以使用代理程式型或 NVA 解決方案,其可透過 Azure Marketplace 供應項目中提供的 Packet Broker 合作夥伴解決方案,提供 TAP/網路可見性功能。
Azure 虛擬網路 TAP (終端機存取點) 可讓您持續將虛擬機器網路流量串流到網路封包收集器或分析工具。 收集器或分析工具是由網路虛擬設備合作夥伴所提供。 如需經驗證能與虛擬網路 TAP 相容的合作夥伴解決方案清單,請參閱合作夥伴解決方案。
下圖顯示虛擬網路 TAP 的運作方式。 您可以在部署於虛擬網路的虛擬機器上,對其所連結的網路介面新增 TAP 設定。 目的地是和所監視網路介面相同的虛擬網路或對等互連虛擬網路中所含的虛擬網路 IP 位址。 虛擬網路 TAP 的收集器解決方案可以部署在 Azure 內部負載平衡器後方,以獲得高可用性。
必要條件
在您可以建立虛擬網路 TAP 之前,請確定您已收到您在預覽版中註冊的確認電子郵件。 您必須擁有使用 Azure Resource Manager 和合作夥伴解決方案建立的一或多個虛擬機器,以匯總相同 Azure 區域中的 TAP 流量。 如果虛擬網路中沒有合作夥伴解決方案,請參閱合作夥伴解決方案來加以部署。
您可以使用相同的虛擬網路 TAP 資源,以從相同或不同訂用帳戶中的多個網路介面彙總流量。 如果所監視的網路介面位在不同訂用帳戶中,則這兩個訂用帳戶必須與相同的 Microsoft Entra 租用戶相關聯。 此外,所監視的網路介面和用於彙總 TAP 流量的目的地端點可以位於相同區域中的對等互連虛擬網路。 如果您要使用這種部署模型,請確保虛擬網路對等互連已啟用,再設定虛擬網路 TAP。
權限
用來對網路介面套用 TAP 設定的帳戶,必須指派為網路參與者角色,或屬於已指派下表中必要動作的自訂角色:
動作 | 名稱 |
---|---|
Microsoft.Network/virtualNetworkTaps/* | 必須有此動作,才能建立、更新、讀取和刪除虛擬網路 TAP 資源 |
Microsoft.Network/networkInterfaces/read | 必須有此動作,才能讀取要在其上設定 TAP 的網路介面資源 |
Microsoft.Network/tapConfigurations/* | 必須有此動作,才能建立、更新、讀取和刪除網路介面上的 TAP 設定 |
虛擬網路 TAP 合作夥伴解決方案
網路封包訊息代理程式
安全性分析、網路/應用程式效能管理
Awake Security (英文)
Darktrace (英文)
NetFort LANGuardian (英文)
Noname Security (英文)
下一步
- 了解如何建立虛擬網路 TAP。