Usare un TAP di rete virtuale con l'interfaccia della riga di comando di Azure

Importante

L'anteprima tap di rete virtuale è attualmente in attesa in tutte le aree di Azure. È possibile inviare un messaggio di posta elettronica all'indirizzo azurevnettap@microsoft.com con l'ID sottoscrizione e verranno notificati gli aggiornamenti futuri relativi all'anteprima. Nel frattempo, è possibile usare soluzioni basate su agente o NVA che forniscono funzionalità di visibilità tap/rete tramite le soluzioni partner di Pacchetti Broker disponibili nelle offerte Azure Marketplace.

Un TAP (Terminal Access Point) di rete virtuale di Azure consente di trasmettere il traffico di rete della macchina virtuale come flusso continuo a un agente di raccolta di pacchetti di rete o a uno strumento di analisi. Lo strumento di raccolta o analisi viene fornito da un partner dell'appliance virtuale di rete . Per un elenco delle soluzioni dei partner convalidate per l'uso con un TAP di rete virtuale, vedere le soluzioni dei partner.

Creare una risorsa TAP di rete virtuale

Vedere i prerequisiti prima di creare una risorsa TAP di rete virtuale. È possibile eseguire i comandi seguenti in Azure Cloud Shell oppure l'interfaccia della riga di comando di Azure sul computer. L'Cloud Shell di Azure è una shell interattiva gratuita che non richiede l'installazione dell'interfaccia della riga di comando di Azure nel computer. È necessario accedere ad Azure con un account che abbia le autorizzazioni appropriate. Questo articolo richiede l'interfaccia della riga di comando di Azure 2.0.46 o versioni successive. Eseguire az --version per trovare la versione installata. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure 2.0. Tap di rete virtuale è attualmente disponibile come estensione. Per installare l'estensione è necessario eseguire az extension add -n virtual-network-tap. Se si esegue l'interfaccia della riga di comando di Azure in locale, è anche necessario eseguire az login per creare una connessione con Azure.

1. Recuperare l'ID sottoscrizione in una variabile che verrà usata in un passaggio successivo:

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Impostare l'ID sottoscrizione che verrà usato per creare una risorsa TAP di rete virtuale.

   az account set --subscription $subscriptionId
   

3. Registrare di nuovo l'ID sottoscrizione che verrà usato per creare una risorsa TAP di rete virtuale. Se si verifica un errore di registrazione quando si crea una risorsa TAP, eseguire questo comando:

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Se la destinazione del TAP di rete virtuale è l'interfaccia di rete nell'appliance virtuale di rete per l'agente di raccolta o lo strumento di analisi:

   • Recuperare la configurazione IP dell'interfaccia di rete dell'appliance virtuale di rete in una variabile che verrà usata in un passaggio successivo. L'ID è l'endpoint che aggregherà il traffico TAP. L'esempio seguente recupera l'ID della configurazione IP ipconfig1 per un'interfaccia di rete denominata myNetworkInterface, in un gruppo di risorse denominato myResourceGroup:

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Creare il TAP della rete virtuale nell'area westcentralus di Azure usando l'ID della configurazione IP come destinazione e una proprietà di porta facoltativa. La proprietà specifica la porta di destinazione nella configurazione IP dell'interfaccia di rete in cui verrà ricevuto il traffico TAP:

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --port 4789 \
       --location westcentralus
     

5. Se la destinazione per la rete virtuale TAP è un servizio di bilanciamento del carico interno di Azure:

   • Recuperare la configurazione IP front-end del servizio di bilanciamento del carico interno di Azure in una variabile che verrà usata in un passaggio successivo. L'ID è l'endpoint che aggregherà il traffico TAP. L'esempio seguente recupera l'ID della configurazione IP front-end frontendipconfig1 per un servizio di bilanciamento del carico denominato myInternalLoadBalancer in un gruppo di risorse denominato myResourceGroup:

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Creare il TAP di rete virtuale usando l'ID della configurazione IP front-end come destinazione e una proprietà facoltativa per la porta. La proprietà specifica la porta di destinazione nella configurazione IP front-end in cui verrà ricevuto il traffico TAP:

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Verificare la creazione del TAP di rete virtuale:

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

Aggiungere una configurazione TAP a un'interfaccia di rete

1. Recuperare l'ID di una risorsa TAP di rete virtuale esistente. L'esempio seguente recupera un TAP di rete virtuale denominato myTap in un gruppo di risorse denominato myResourceGroup:

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Creare una configurazione TAP nell'interfaccia di rete della macchina virtuale monitorata. L'esempio seguente crea una configurazione TAP per un'interfaccia di rete denominata myNetworkInterface:

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Verificare la creazione della configurazione TAP:

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

Eliminare la configurazione TAP in un'interfaccia di rete

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Elencare i TAP di rete virtuale in una sottoscrizione

az network vnet tap list

Eliminare un TAP di rete virtuale in un gruppo di risorse

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap