Utiliser un TAP de réseau virtuel à l’aide d’Azure CLI
Important
La préversion du TAP de réseau virtuel est actuellement en attente dans toutes les régions Azure. Vous pouvez nous envoyer un e-mail à l’adresse azurevnettap@microsoft.com avec votre ID d’abonnement et nous vous informerons des futures mises à jour concernant la préversion. En attendant, vous pouvez utiliser des solutions NVA ou basées sur agent qui fournissent des fonctionnalités de visibilité du TAP/réseau via nos solutions de partenaire Packet Broker disponibles dans les offres de la Place de marché Azure.
Le TAP (point d’accès terminal) de réseau virtuel Azure vous permet de diffuser en continu votre trafic réseau de machine virtuelle vers un collecteur de paquets réseau ou un outil analytique. Le collecteur ou l’outil analytique est fourni par une appliance virtuelle réseau partenaire. Pour obtenir la liste des solutions de partenaires qui fonctionnent avec un TAP de réseau virtuel, consultez les solutions de partenaires.
Créer une ressource TAP de réseau virtuel
Lisez les prérequis avant de créer une ressource TAP de réseau virtuel. Vous pouvez exécuter les commandes qui suivent dans Azure Cloud Shell, ou en exécutant Azure CLI à partir de votre ordinateur. Azure Cloud Shell est un interpréteur de commandes interactif et gratuit qui ne nécessite pas l’installation d’Azure CLI sur votre ordinateur. Vous devez vous connecter à Azure avec un compte qui a les autorisations appropriées. Cet article nécessite la version 2.0.46 ou ultérieure d’Azure CLI. Exécutez az --version pour rechercher la version installée. Si vous devez installer ou mettre à niveau, consultez Installation d’Azure CLI 2.0. Le point d’accès terminal (TAP) de réseau virtuel est actuellement disponible sous forme d’extension. Pour installer l’extension, vous devez exécuter az extension add -n virtual-network-tap. Si vous exécutez Azure CLI localement, vous devez également exécuter az login pour créer une connexion avec Azure.
Récupérer l’ID de votre abonnement dans une variable, utilisée dans une étape ultérieure :
subscriptionId=$(az account show \ --query id \ --out tsv)Définissez l’ID d’abonnement à utiliser pour créer une ressource TAP de réseau virtuel.
az account set --subscription $subscriptionIdRéinscrivez l’ID d’abonnement à utiliser pour créer une ressource TAP de réseau virtuel. Si vous obtenez une erreur d’inscription quand vous créez une ressource TAP, exécutez la commande suivante :
az provider register --namespace Microsoft.Network --subscription $subscriptionIdSi la destination du TAP de réseau virtuel est l’interface réseau sur l’appliance virtuelle réseau d’un collecteur ou d’un outil analytique :
Récupérez la configuration IP de l’interface réseau de l’appliance virtuelle réseau dans une variable, utilisée dans une étape ultérieure. L’ID est le point de terminaison qui va agréger le trafic TAP. L’exemple suivant récupère l’ID de la configuration IP ipconfig1 pour une interface réseau nommée myNetworkInterface, dans un groupe de ressources nommé myResourceGroup :
IpConfigId=$(az network nic ip-config show \ --name ipconfig1 \ --nic-name myNetworkInterface \ --resource-group myResourceGroup \ --query id \ --out tsv)Créez le TAP de réseau virtuel dans la région Azure westcentralus à l’aide de l’ID de la configuration IP comme destination. La destination en miroir du trafic doit autoriser le trafic vers le port 4789 :
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $IpConfigId \ --location westcentralus
Si la destination du TAP de réseau virtuel est un équilibreur de charge interne Azure :
Récupérez la configuration IP frontend de l’équilibreur de charge interne Azure dans une variable, utilisée dans une étape ultérieure. L’ID est le point de terminaison qui va agréger le trafic TAP. L’exemple suivant récupère l’ID de la configuration IP frontend frontendipconfig1 pour un équilibreur de charge nommé myInternalLoadBalancer, dans un groupe de ressources nommé myResourceGroup :
FrontendIpConfigId=$(az network lb frontend-ip show \ --name frontendipconfig1 \ --lb-name myInternalLoadBalancer \ --resource-group myResourceGroup \ --query id \ --out tsv)Créez le TAP de réseau virtuel à l’aide de l’ID de la configuration IP de destination et d’une propriété de port facultative. Le port spécifie le port de destination du trafic TAP sur la configuration IP frontend :
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $FrontendIpConfigId \ --port 4789 \ --location westcentralus
Confirmez la création du TAP de réseau virtuel :
az network vnet tap show \ --resource-group myResourceGroup --name myTap
Ajouter une configuration TAP à une interface réseau
Récupérez l’ID d’une ressource TAP de réseau virtuel existante. L’exemple suivant récupère un TAP de réseau virtuel nommé myTap dans un groupe de ressources nommé myResourceGroup :
tapId=$(az network vnet tap show \ --name myTap \ --resource-group myResourceGroup \ --query id \ --out tsv)Créez une configuration TAP sur l’interface réseau de la machine virtuelle supervisée. L’exemple suivant crée une configuration TAP pour une interface réseau nommée myNetworkInterface :
az network nic vtap-config create \ --resource-group myResourceGroup \ --nic myNetworkInterface \ --vnet-tap $tapId \ --name mytapconfig \ --subscription subscriptionIdConfirmez la création de la configuration TAP :
az network nic vtap-config show \ --resource-group myResourceGroup \ --nic-name myNetworkInterface \ --name mytapconfig \ --subscription subscriptionId
Supprimer la configuration TAP sur une interface réseau
az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId
Lister les TAP de réseau virtuel dans un abonnement
az network vnet tap list
Supprimer un TAP de réseau virtuel dans un groupe de ressources
az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap