Trabalhar com uma rede virtual TAP usando a CLI do Azure
Importante
Rede virtual O TAP Preview está atualmente suspenso em todas as regiões do Azure. Pode enviar-nos azurevnettap@microsoft.com um e-mail com o seu ID de subscrição e iremos notificá-lo com atualizações futuras sobre a pré-visualização. Nesse ínterim, você pode usar soluções baseadas em agente ou NVA que fornecem funcionalidade TAP/Visibilidade de Rede por meio de nossas soluções de parceiros Packet Broker disponíveis nas Ofertas do Azure Marketplace.
O TAP (Terminal Access Point) da rede virtual do Azure permite que você transmita continuamente o tráfego de rede da máquina virtual para um coletor de pacotes de rede ou ferramenta de análise. O coletor ou ferramenta de análise é fornecido por um parceiro de dispositivo virtual de rede. Para obter uma lista de soluções de parceiros validadas para funcionar com a rede virtual TAP, consulte Soluções de parceiros.
Criar um recurso TAP de rede virtual
Leia os pré-requisitos antes de criar um recurso TAP de rede virtual. Você pode executar os comandos que seguem no Azure Cloud Shell ou executando a CLI do Azure a partir do seu computador. O Azure Cloud Shell é um shell interativo gratuito que não requer a instalação da CLI do Azure no seu computador. Você deve entrar no Azure com uma conta que tenha as permissões apropriadas. Este artigo requer a CLI do Azure versão 2.0.46 ou posterior. Execute az --version
para localizar a versão instalada. Se precisar de instalar ou atualizar, veja Instalar a CLI 2.0 do Azure. A rede virtual TAP está atualmente disponível como uma extensão. Para instalar a extensão, você precisa executar az extension add -n virtual-network-tap
o . Se você estiver executando a CLI do Azure localmente, também precisará executar az login
para criar uma conexão com o Azure.
Recupere o ID da sua assinatura em uma variável que é usada em uma etapa posterior:
subscriptionId=$(az account show \ --query id \ --out tsv)
Defina o ID da subscrição que irá utilizar para criar um recurso TAP de rede virtual.
az account set --subscription $subscriptionId
Registe novamente o ID de subscrição que irá utilizar para criar um recurso TAP de rede virtual. Se você receber um erro de registro ao criar um recurso TAP, execute o seguinte comando:
az provider register --namespace Microsoft.Network --subscription $subscriptionId
Se o destino da rede virtual TAP for a interface de rede na rede virtual appliance for collector or analytics tool -
Recupere a configuração IP da interface de rede do dispositivo virtual de rede em uma variável que é usada em uma etapa posterior. O ID é o ponto final que irá agregar o tráfego TAP. O exemplo a seguir recupera a ID da configuração IP ipconfig1 para uma interface de rede chamada myNetworkInterface, em um grupo de recursos chamado myResourceGroup:
IpConfigId=$(az network nic ip-config show \ --name ipconfig1 \ --nic-name myNetworkInterface \ --resource-group myResourceGroup \ --query id \ --out tsv)
Crie a rede virtual TAP na região do Azure westcentralus usando a ID da configuração IP como destino. O destino do espelho de tráfego deve permitir o tráfego para a porta 4789:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $IpConfigId \ --location westcentralus
Se o destino da rede virtual TAP for um balanceador de carga interno do Azure:
Recupere a configuração IP de front-end do balanceador de carga interno do Azure em uma variável que é usada em uma etapa posterior. O ID é o ponto final que irá agregar o tráfego TAP. O exemplo a seguir recupera a ID da configuração IP frontendipconfig1 frontendipconfig1 para um balanceador de carga chamado myInternalLoadBalancer, em um grupo de recursos chamado myResourceGroup:
FrontendIpConfigId=$(az network lb frontend-ip show \ --name frontendipconfig1 \ --lb-name myInternalLoadBalancer \ --resource-group myResourceGroup \ --query id \ --out tsv)
Crie a rede virtual TAP usando o ID da configuração IP do frontend como destino e uma propriedade de porta opcional. A porta especifica a porta de destino na configuração IP front-end onde o tráfego TAP será recebido:
az network vnet tap create \ --resource-group myResourceGroup \ --name myTap \ --destination $FrontendIpConfigId \ --port 4789 \ --location westcentralus
Confirme a criação da rede virtual TAP:
az network vnet tap show \ --resource-group myResourceGroup --name myTap
Adicionar uma configuração TAP a uma interface de rede
Recupere a ID de um recurso TAP de rede virtual existente. O exemplo a seguir recupera uma rede virtual TAP chamada myTap em um grupo de recursos chamado myResourceGroup:
tapId=$(az network vnet tap show \ --name myTap \ --resource-group myResourceGroup \ --query id \ --out tsv)
Crie uma configuração TAP na interface de rede da máquina virtual monitorizada. O exemplo a seguir cria uma configuração TAP para uma interface de rede chamada myNetworkInterface:
az network nic vtap-config create \ --resource-group myResourceGroup \ --nic myNetworkInterface \ --vnet-tap $tapId \ --name mytapconfig \ --subscription subscriptionId
Confirme a criação da configuração TAP:
az network nic vtap-config show \ --resource-group myResourceGroup \ --nic-name myNetworkInterface \ --name mytapconfig \ --subscription subscriptionId
Excluir a configuração TAP em uma interface de rede
az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId
Listar TAPs de rede virtual em uma assinatura
az network vnet tap list
Excluir uma rede virtual TAP em um grupo de recursos
az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap