Virtuális hálózati TAP használata az Azure CLI használatával

Fontos

A virtuális hálózat TAP előzetes verziója jelenleg az összes Azure-régióban várakozik. E-mailben elküldheti nekünk azurevnettap@microsoft.com az előfizetés azonosítóját, és értesítjük a jövőbeli frissítésekről az előzetes verzióról. Addig is használhat ügynökalapú vagy NVA-megoldásokat, amelyek TAP/Network Visibility funkciót biztosítanak az Azure Marketplace-ajánlatokban elérhető Csomagszervező partnermegoldásainkonkeresztül.

Az Azure-beli virtuális hálózati TAP (terminálelérési pont) lehetővé teszi, hogy folyamatosan streamelje a virtuális gép hálózati forgalmát egy hálózati csomaggyűjtő vagy -elemző eszköz felé. A gyűjtőt vagy az elemzési eszközt egy hálózati virtuális berendezés-partner biztosítja. Azoknak a partnermegoldásoknak a listáját, amelyek a virtuális hálózati TAP-val való együttműködésre vannak érvényesítve, tekintse meg a partnermegoldásokat.

Virtuális hálózati TAP-erőforrás létrehozása

A virtuális hálózati TAP-erőforrás létrehozása előtt olvassa el az előfeltételeket . Futtathatja a következő parancsokat az Azure Cloud Shellben, vagy futtathatja az Azure CLI-t a számítógépéről. Az Azure Cloud Shell egy ingyenes interaktív rendszerhéj, amely nem igényli az Azure CLI telepítését a számítógépre. A megfelelő engedélyekkel rendelkező fiókkal kell bejelentkeznie az Azure-ba. Ez a cikk az Azure CLI 2.0.46-os vagy újabb verzióját igényli. A telepített verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI 2.0 telepítése. A virtuális hálózati TAP jelenleg bővítményként érhető el. A bővítmény telepítéséhez futtatnia kell a következőt az extension add -n virtual-network-tap: Ha helyileg futtatja az Azure CLI-t, az Azure-ral való kapcsolat létrehozásához is futnia az login kell.

1. Kérje le az előfizetés azonosítóját egy későbbi lépésben használt változóba:

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Adja meg a virtuális hálózati TAP-erőforrás létrehozásához használni kívánt előfizetés-azonosítót.

   az account set --subscription $subscriptionId
   

3. Regisztrálja újra a virtuális hálózati TAP-erőforrás létrehozásához használni kívánt előfizetés-azonosítót. Ha a TAP-erőforrás létrehozásakor regisztrációs hibát kap, futtassa a következő parancsot:

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Ha a virtuális hálózati TAP célja a gyűjtőhöz vagy elemzőeszközhöz használt hálózati virtuális berendezés hálózati adaptere -

   • Kérje le a hálózati virtuális berendezés hálózati adapterének IP-konfigurációját egy későbbi lépésben használt változóba. Az azonosító az a végpont, amely összesíti a TAP-forgalmat. Az alábbi példa a myNetworkInterface nevű hálózati adapter ipconfig1 IP-konfigurációjának azonosítóját kéri le egy myResourceGroup nevű erőforráscsoportban:

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Hozza létre a virtuális hálózati TAP-t a westcentralus Azure-régióban az IP-konfiguráció azonosítójával célként. A forgalomtükör célhelyének engedélyeznie kell a forgalmat a 4789-s portra:

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. Ha a virtuális hálózati TAP célhelye egy Azure belső terheléselosztó:

   • Kérje le az Azure belső terheléselosztójának előtérbeli IP-konfigurációját egy későbbi lépésben használt változóba. Az azonosító az a végpont, amely összesíti a TAP-forgalmat. Az alábbi példa lekéri a myInternalLoadBalancer nevű terheléselosztó frontendipconfig1 előtér IP-konfigurációjának azonosítóját egy myResourceGroup nevű erőforráscsoportban:

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Hozza létre a virtuális hálózati TAP-t az előtérbeli IP-konfiguráció azonosítójával célként és opcionális porttulajdonságként. A port megadja a célportot az előtérbeli IP-konfigurációban, ahol a TAP-forgalom fogadva lesz:

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Erősítse meg a virtuális hálózat létrehozásának TAP-ját:

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

TAP-konfiguráció hozzáadása hálózati adapterhez

1. Kérje le egy meglévő virtuális hálózati TAP-erőforrás azonosítóját. Az alábbi példa egy myResourceGroup nevű erőforráscsoportban egy myTap nevű virtuális hálózati TAP-t kér le:

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Hozzon létre egy TAP-konfigurációt a figyelt virtuális gép hálózati adapterén. Az alábbi példa létrehoz egy TAP-konfigurációt egy myNetworkInterface nevű hálózati adapterhez:

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Erősítse meg a TAP-konfiguráció létrehozását:

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

A TAP-konfiguráció törlése hálózati adapteren

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Virtuális hálózati TAP-k listázása előfizetésben

az network vnet tap list

Virtuális hálózati TAP törlése erőforráscsoportban

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap