Trabalhar com uma rede virtual TAP usando a CLI do Azure

Importante

Rede virtual O TAP Preview está atualmente suspenso em todas as regiões do Azure. Pode enviar-nos azurevnettap@microsoft.com um e-mail com o seu ID de subscrição e iremos notificá-lo com atualizações futuras sobre a pré-visualização. Nesse ínterim, você pode usar soluções baseadas em agente ou NVA que fornecem funcionalidade TAP/Visibilidade de Rede por meio de nossas soluções de parceiros Packet Broker disponíveis nas Ofertas do Azure Marketplace.

O TAP (Terminal Access Point) da rede virtual do Azure permite que você transmita continuamente o tráfego de rede da máquina virtual para um coletor de pacotes de rede ou ferramenta de análise. O coletor ou ferramenta de análise é fornecido por um parceiro de dispositivo virtual de rede. Para obter uma lista de soluções de parceiros validadas para funcionar com a rede virtual TAP, consulte Soluções de parceiros.

Criar um recurso TAP de rede virtual

Leia os pré-requisitos antes de criar um recurso TAP de rede virtual. Você pode executar os comandos que seguem no Azure Cloud Shell ou executando a CLI do Azure a partir do seu computador. O Azure Cloud Shell é um shell interativo gratuito que não requer a instalação da CLI do Azure no seu computador. Você deve entrar no Azure com uma conta que tenha as permissões apropriadas. Este artigo requer a CLI do Azure versão 2.0.46 ou posterior. Execute az --version para localizar a versão instalada. Se precisar de instalar ou atualizar, veja Instalar a CLI 2.0 do Azure. A rede virtual TAP está atualmente disponível como uma extensão. Para instalar a extensão, você precisa executar az extension add -n virtual-network-tapo . Se você estiver executando a CLI do Azure localmente, também precisará executar az login para criar uma conexão com o Azure.

1. Recupere o ID da sua assinatura em uma variável que é usada em uma etapa posterior:

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Defina o ID da subscrição que irá utilizar para criar um recurso TAP de rede virtual.

   az account set --subscription $subscriptionId
   

3. Registe novamente o ID de subscrição que irá utilizar para criar um recurso TAP de rede virtual. Se você receber um erro de registro ao criar um recurso TAP, execute o seguinte comando:

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Se o destino da rede virtual TAP for a interface de rede na rede virtual appliance for collector or analytics tool -

   • Recupere a configuração IP da interface de rede do dispositivo virtual de rede em uma variável que é usada em uma etapa posterior. O ID é o ponto final que irá agregar o tráfego TAP. O exemplo a seguir recupera a ID da configuração IP ipconfig1 para uma interface de rede chamada myNetworkInterface, em um grupo de recursos chamado myResourceGroup:

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Crie a rede virtual TAP na região do Azure westcentralus usando a ID da configuração IP como destino. O destino do espelho de tráfego deve permitir o tráfego para a porta 4789:

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. Se o destino da rede virtual TAP for um balanceador de carga interno do Azure:

   • Recupere a configuração IP de front-end do balanceador de carga interno do Azure em uma variável que é usada em uma etapa posterior. O ID é o ponto final que irá agregar o tráfego TAP. O exemplo a seguir recupera a ID da configuração IP frontendipconfig1 frontendipconfig1 para um balanceador de carga chamado myInternalLoadBalancer, em um grupo de recursos chamado myResourceGroup:

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Crie a rede virtual TAP usando o ID da configuração IP do frontend como destino e uma propriedade de porta opcional. A porta especifica a porta de destino na configuração IP front-end onde o tráfego TAP será recebido:

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Confirme a criação da rede virtual TAP:

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

Adicionar uma configuração TAP a uma interface de rede

1. Recupere a ID de um recurso TAP de rede virtual existente. O exemplo a seguir recupera uma rede virtual TAP chamada myTap em um grupo de recursos chamado myResourceGroup:

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Crie uma configuração TAP na interface de rede da máquina virtual monitorizada. O exemplo a seguir cria uma configuração TAP para uma interface de rede chamada myNetworkInterface:

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Confirme a criação da configuração TAP:

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

Excluir a configuração TAP em uma interface de rede

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Listar TAPs de rede virtual em uma assinatura

az network vnet tap list

Excluir uma rede virtual TAP em um grupo de recursos

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap