使用 Azure CLI 處理虛擬網路 TAP

Azure 虛擬網路 TAP (終端機存取點) 可讓您持續將虛擬機器網路流量串流到網路封包收集器或分析工具。 收集器或分析工具是由 網路虛擬設備 合作夥伴提供。 如需已驗證以使用虛擬網路 TAP 的合作夥伴解決方案清單，請參閱 合作夥伴解決方案。

這很重要

虛擬網路 TAP 現在處於公開預覽狀態。 如需詳細資訊，請參閱 概觀 文章。

建立虛擬網路 TAP 資源

請先閱讀 必要條件 ，再建立虛擬網路 TAP 資源。 您可以在 Azure Cloud Shell 中執行下列命令，或從您的電腦執行 Azure CLI。 Azure Cloud Shell 是免費提供的互動式命令列界面，不需要在您的電腦上安裝 Azure CLI。 您必須使用具有適當 許可權的帳戶登入 Azure。 本文需要 Azure CLI 2.0.46 版或更新版本。 執行 az --version 以尋找安裝的版本。 如果您需要安裝或升級，請參閱 安裝 Azure CLI 2.0。 虛擬網路 TAP 目前可作為擴充功能使用。 若要安裝擴充功能，您必須執行 az extension add -n virtual-network-tap。 如果您要在本機執行 Azure CLI，您也需要執行 az login 以建立與 Azure 的連線。

1. 將您的訂用帳戶識別碼擷取到後續步驟將用到的變數中：

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. 設定您將用來建立虛擬網路 TAP 資源的訂用帳戶標識碼。

   az account set --subscription $subscriptionId
   

3. 重新註冊您用來建立虛擬網路 TAP 資源的訂用帳戶標識碼。 如果您在建立 TAP 資源時收到註冊錯誤，請執行下列命令：

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. 如果虛擬網路 TAP 的目的地是收集器或分析工具的網路虛擬裝置上的網路介面：

   • 將網路虛擬設備網路介面的IP組態擷取到稍後步驟中使用的變數。 標識碼是匯總 TAP 流量的端點。 下列範例會在名為 myResourceGroup 的資源群組中，擷取名為 myNetworkInterface 之網路介面的 ipconfig1 IP 組態標識符：

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • 使用IP組態的標識碼作為目的地，在 westcentralus Azure 區域中建立虛擬網路 TAP。 流量鏡像目的地必須允許流量流向連接埠 4789：

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. 如果虛擬網路 TAP 的目的地是 Azure 內部負載平衡器：

   • 將 Azure 內部負載平衡器的前端 IP 組態擷取至稍後步驟中使用的變數。 標識碼是匯總 TAP 流量的端點。 下列範例會在名為 myResourceGroup 的資源群組中，擷取名為 myInternalLoadBalancer 之負載平衡器的 frontendipconfig1 前端 IP 組態標識符：

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • 使用前端IP組態的標識碼作為目的地和選擇性埠屬性，建立虛擬網路 TAP。 連接埠會指定將會接收 TAP 流量之前端 IP 設定上的目的地連接埠：

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. 確認建立虛擬網路 TAP：

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

將 TAP 組態新增至網路介面

1. 擷取現有虛擬網路 TAP 資源的標識碼。 下列範例會在名為 myResourceGroup 的資源群組中擷取名為 myTap 的虛擬網路 TAP：

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. 在受監視虛擬機的網路介面上建立 TAP 設定。 下列範例會為名為 myNetworkInterface 的網路介面建立 TAP 組態：

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. 確認建立 TAP 組態：

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

刪除網路介面上的 TAP 組態

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

列出訂用帳戶中的虛擬網路 TAP

az network vnet tap list

刪除資源群組中的虛擬網路 TAP

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap

後續步驟

瞭解如何使用 Azure 入口 網站建立虛擬網路 TAP 。