Praca z siecią wirtualną TAP przy użyciu interfejsu wiersza polecenia platformy Azure

Funkcja TAP (punkt dostępu terminalu) sieci wirtualnej platformy Azure umożliwia ciągłe przesyłanie strumieniowe ruchu sieciowego maszyny wirtualnej do modułu zbierającego lub analitycznego pakietów sieciowych. Narzędzie modułu zbierającego lub analitycznego jest dostarczane przez partnera wirtualnego urządzenia sieciowego. Aby uzyskać listę rozwiązań partnerskich, które są weryfikowane do pracy z siecią wirtualną TAP, zobacz rozwiązania partnerskie.

Tworzenie zasobu TAP sieci wirtualnej

Przed utworzeniem zasobu TAP sieci wirtualnej należy zapoznać się z wymaganiami wstępnymi . Możesz uruchomić następujące polecenia w usłudze Azure Cloud Shell lub uruchomić interfejs wiersza polecenia platformy Azure z komputera. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, która nie wymaga zainstalowania interfejsu wiersza polecenia platformy Azure na komputerze. Musisz zalogować się do platformy Azure przy użyciu konta, które ma odpowiednie uprawnienia. Ten artykuł wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0.46 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure 2.0. Interfejs TAP sieci wirtualnej jest obecnie dostępny jako rozszerzenie. Aby zainstalować rozszerzenie, należy uruchomić polecenie az extension add -n virtual-network-tap. Jeśli używasz interfejsu wiersza polecenia platformy Azure lokalnie, musisz również uruchomić polecenie az login , aby utworzyć połączenie z platformą Azure.

1. Pobierz identyfikator subskrypcji do zmiennej używanej w późniejszym kroku:

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Ustaw identyfikator subskrypcji, który będzie używany do tworzenia zasobu TAP sieci wirtualnej.

   az account set --subscription $subscriptionId
   

3. Zarejestruj ponownie identyfikator subskrypcji, którego użyjesz do utworzenia zasobu tap sieci wirtualnej. Jeśli podczas tworzenia zasobu TAP wystąpi błąd rejestracji, uruchom następujące polecenie:

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Jeśli miejscem docelowym dla sieci wirtualnej tap jest interfejs sieciowy na wirtualnym urządzeniu sieciowym dla modułu zbierającego lub narzędzia analitycznego —

   • Pobierz konfigurację adresu IP interfejsu sieciowego wirtualnego urządzenia sieciowego do zmiennej używanej w późniejszym kroku. Identyfikator to punkt końcowy, który agreguje ruch TAP. Poniższy przykład pobiera identyfikator konfiguracji adresu IP ipconfig1 dla interfejsu sieciowego o nazwie myNetworkInterface w grupie zasobów o nazwie myResourceGroup:

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Utwórz sieć wirtualną TAP w regionie westcentralus platformy Azure przy użyciu identyfikatora konfiguracji adresu IP jako miejsca docelowego. Miejsce docelowe dublowania ruchu musi zezwalać na ruch do portu 4789:

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. Jeśli miejscem docelowym dla sieci wirtualnej TAP jest wewnętrzny moduł równoważenia obciążenia platformy Azure:

   • Pobierz konfigurację adresu IP frontonu wewnętrznego modułu równoważenia obciążenia platformy Azure do zmiennej używanej w późniejszym kroku. Identyfikator to punkt końcowy, który agreguje ruch TAP. Poniższy przykład pobiera identyfikator konfiguracji adresu IP frontonu frontendipconfig1 dla modułu równoważenia obciążenia o nazwie myInternalLoadBalancer w grupie zasobów o nazwie myResourceGroup:

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Utwórz sieć wirtualną TAP przy użyciu identyfikatora konfiguracji adresu IP frontonu jako miejsca docelowego i opcjonalnej właściwości portu. Port określa port docelowy w konfiguracji adresu IP frontonu, w której zostanie odebrany ruch TAP:

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Potwierdź utworzenie sieci wirtualnej TAP:

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

Dodawanie konfiguracji tap do interfejsu sieciowego

1. Pobierz identyfikator istniejącego zasobu TAP sieci wirtualnej. Poniższy przykład pobiera sieć wirtualną TAP o nazwie myTap w grupie zasobów o nazwie myResourceGroup:

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Utwórz konfigurację tap w interfejsie sieciowym monitorowanej maszyny wirtualnej. Poniższy przykład tworzy konfigurację interfejsu TAP dla interfejsu sieciowego o nazwie myNetworkInterface:

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Potwierdź utworzenie konfiguracji tap:

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

Usuwanie konfiguracji tap w interfejsie sieciowym

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Wyświetlanie listy dostawców dostępu do sieci wirtualnej w ramach subskrypcji

az network vnet tap list

Usuwanie interfejsu TAP sieci wirtualnej w grupie zasobów

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap