Azure 仮想ネットワーク TAP (ターミナル アクセス ポイント) を使用すると、仮想マシン ネットワークのトラフィックをネットワーク パケット コレクターまたは分析ツールに連続してストリーミングできます。 コレクターまたは分析ツールは、ネットワーク仮想アプライアンス パートナーから提供されています。 仮想ネットワーク TAP を使用できることが検証されたパートナー ソリューションの一覧については、パートナー ソリューションに関するページを参照してください。
Important
仮想ネットワーク TAP は、一部の Azure リージョンでパブリック プレビュー段階になりました。 詳細については、この記事の 「サポートされているリージョン 」セクションを参照してください。
次の図は、仮想ネットワーク TAP のしくみを示しています。 TAP 構成は、仮想ネットワークにデプロイされた仮想マシンに接続されているネットワーク インターフェイス に追加できます。 宛先は、監視対象のネットワーク インターフェイスまたは ピアリングされた 仮想ネットワークと同じ仮想ネットワーク内の仮想ネットワーク IP アドレスです。 仮想ネットワーク TAP 用のコレクター ソリューションは、高可用性のために Azure 内部ロード バランサーの背後にデプロイできます。
Prerequisites
Azure Resource Manager で作成された 1 つ以上の仮想マシンと、同じ Azure リージョン内の TAP トラフィックを集計するためのパートナー ソリューションが必要です。 仮想ネットワークにパートナー ソリューションがない場合は、パートナー ソリューション を参照してデプロイしてください。
同じ仮想ネットワーク TAP リソースを使用して、同じサブスクリプションまたは異なるサブスクリプションの複数のネットワーク インターフェイスからのトラフィックを集計できます。 監視対象のネットワーク インターフェイスが異なるサブスクリプションにある場合、サブスクリプションは同じ Microsoft Entra テナントに関連付けられている必要があります。 さらに、監視対象のネットワーク インターフェイスと TAP トラフィックを集計するための宛先エンドポイントは、同じリージョン内のピアリングされた仮想ネットワーク内に存在できます。 このデプロイ モデルを使用する場合は、仮想ネットワーク TAP を構成する前に仮想ネットワーク ピアリングが有効になっていることを確認してください。
Permissions
ネットワーク インターフェイスに TAP 構成を適用するために使用するアカウントは、次の表の必要なアクションとして割り当てられているネットワーク共同作成者ロールまたはカスタム ロールに割り当てる必要があります。
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | 仮想ネットワーク TAP リソースを作成、更新、読み取り、削除するために必要です |
| Microsoft.Network/networkInterfaces/read | TAP が構成されるネットワーク インターフェイス リソースを読み取るために必要 |
| Microsoft.Network/tapConfigurations/* | ネットワーク インターフェイスで TAP 構成を作成、更新、読み取り、削除するために必要です |
パブリック プレビューの制限事項
[一時] でタグ付けされた制限は、GA で解決されることに注意してください。
ソースの追加:
- 仮想ネットワーク TAP では、ミラーリング ソースとして仮想マシンの (VM) ネットワーク インターフェイスのみがサポートされます。
- [一時的] v6 VM SKU はソースとしてサポートされていません。
- [一時]VM をソースとして追加する前に、 まず仮想ネットワーク TAP リソースをデプロイ してから、 ソース VM を停止 (割り当て解除) して開始する必要があります。 これは、ソースとして追加されるすべての VM に対して 1 回だけ必要です。 そうしないと、NIC が fastpath 上にないことを示すエラーが表示されます。
その他の制限事項
- 仮想ネットワーク TAP では、ミラー化されたトラフィックの宛先リソースとして、Load Balancer または VM のネットワーク インターフェイスがサポートされます。
- [一時]仮想ネットワークはライブ マイグレーションをサポートしていません。 ソースとして設定された VM では、ライブ マイグレーションが無効になります。
- [一時]フローティング IP が有効になっている Standard Load Balancer の背後にある VM は、ミラーリング ソースとして設定できません。
- Basic Load Balancer の背後にある VM をミラーリング ソースとして設定することはできません。 Basic Load Balancer は非推奨です。
- 仮想ネットワークでは、受信プライベート リンク サービス トラフィックのミラーリングはサポートされていません。
- 暗号化が有効になっている仮想ネットワーク内の VM をミラーリング ソースとして設定することはできません。
- 仮想ネットワーク TAP は IPv6 をサポートしていません。
- [一時]VM がソースとして追加または削除されると、VM でネットワークダウンタイム (最大 60 秒) が発生する可能性があります。
サポートされているリージョン
- アジア東部
- 米国中西部
- 英国南部
- 米国東部
- インド中部
- ドイツ中西部
- 米国中部
もうすぐです
- オーストラリア東部
- 韓国中部
- カナダ中部
仮想ネットワーク TAP パートナー ソリューション
ネットワーク パケット ブローカー
| Partner | Product |
|---|---|
| Gigamon | ギガビュー Cloud Suite for Azure |
| Keysight | CloudLens |
セキュリティ分析、ネットワーク/アプリケーションのパフォーマンス管理
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Corelight Open NDR プラットフォーム |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ のネットワーク セキュリティ |
| Extrahop | Reveal(x) |
| 進行状況 | Flowmon |
| Bitdefender | ネットワーク用 GravityZone 拡張検出および応答 |
| eSentire | eSentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |
次のステップ
CLI または Azure portal を使用して仮想ネットワーク TAP を作成する方法について説明します。