Werken met een virtueel netwerk TAP met behulp van de Azure CLI

Met TAP (Terminal Access Point) van Azure Virtual Network kunt u uw netwerkverkeer van uw virtuele machine continu streamen naar een hulpprogramma voor netwerkpakketverzamelaar of analyse. Het collector- of analysehulpprogramma wordt geleverd door een partner van een virtueel netwerkapparaat . Zie partneroplossingen voor een lijst met partneroplossingen die zijn gevalideerd voor gebruik met TAP voor virtueel netwerk.

Een TAP-resource voor een virtueel netwerk maken

Lees de vereisten voordat u een TAP-resource voor een virtueel netwerk maakt. U kunt de opdrachten uitvoeren die volgen in De Azure Cloud Shell of door de Azure CLI uit te voeren vanaf uw computer. Azure Cloud Shell is een gratis interactieve shell waarvoor u de Azure CLI niet hoeft te installeren op uw computer. U moet zich aanmelden bij Azure met een account met de juiste machtigingen. Voor dit artikel is Azure CLI versie 2.0.46 of hoger vereist. Voer az --version uit om te kijken welke versie is geïnstalleerd. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren. Virtual network TAP is momenteel beschikbaar als een extensie. Als u de extensie wilt installeren, moet u uitvoeren az extension add -n virtual-network-tap. Als u de Azure CLI lokaal uitvoert, moet u ook uitvoeren az login om een verbinding met Azure te maken.

1. Haal de id van uw abonnement op in een variabele die in een latere stap wordt gebruikt:

   subscriptionId=$(az account show \
   --query id \
   --out tsv)
   

2. Stel de abonnements-id in die u gaat gebruiken om een TAP-resource voor een virtueel netwerk te maken.

   az account set --subscription $subscriptionId
   

3. Registreer de abonnements-id die u gebruikt om een TAP-resource voor een virtueel netwerk te maken opnieuw. Als er een registratiefout optreedt bij het maken van een TAP-resource, voert u de volgende opdracht uit:

   az provider register --namespace Microsoft.Network --subscription $subscriptionId
   

4. Als de bestemming voor het virtuele netwerk TAP de netwerkinterface op het virtuele netwerkapparaat is voor collector of analysehulpprogramma:

   • Haal de IP-configuratie van de netwerkinterface van het virtuele netwerkapparaat op in een variabele die in een latere stap wordt gebruikt. De id is het eindpunt waarmee het TAP-verkeer wordt geaggregeerd. In het volgende voorbeeld wordt de id van de IP-configuratie ipconfig1 opgehaald voor een netwerkinterface met de naam myNetworkInterface, in een resourcegroep met de naam myResourceGroup:

       IpConfigId=$(az network nic ip-config show \
       --name ipconfig1 \
       --nic-name myNetworkInterface \
       --resource-group myResourceGroup \
       --query id \
       --out tsv)
     

   • Maak het virtuele netwerk TAP in de Azure-regio westcentralus met behulp van de id van de IP-configuratie als doel. De bestemming van de verkeersspiegel moet verkeer naar poort 4789 toestaan:

       az network vnet tap create \
       --resource-group myResourceGroup \
       --name myTap \
       --destination $IpConfigId \
       --location westcentralus
     

5. Als de bestemming voor het virtuele netwerk TAP een interne Load Balancer van Azure is:

   • Haal de front-end-IP-configuratie van de interne Load Balancer van Azure op in een variabele die in een latere stap wordt gebruikt. De id is het eindpunt waarmee het TAP-verkeer wordt geaggregeerd. In het volgende voorbeeld wordt de ID van de frontendipconfig1 front-end-IP-configuratie voor een load balancer met de naam myInternalLoadBalancer opgehaald, in een resourcegroep met de naam myResourceGroup:

     FrontendIpConfigId=$(az network lb frontend-ip show \
     --name frontendipconfig1 \
     --lb-name myInternalLoadBalancer \
     --resource-group myResourceGroup \
     --query id \
     --out tsv)
     

   • Maak het virtuele netwerk TAP met behulp van de id van de front-end-IP-configuratie als de bestemming en een optionele poorteigenschap. De poort geeft de doelpoort op in de front-end-IP-configuratie waar het TAP-verkeer wordt ontvangen:

     az network vnet tap create \
     --resource-group myResourceGroup \
     --name myTap \
     --destination $FrontendIpConfigId \
     --port 4789 \
     --location westcentralus
     

6. Bevestig het maken van het virtuele netwerk TAP:

   az network vnet tap show \
   --resource-group myResourceGroup
   --name myTap
   

Een TAP-configuratie toevoegen aan een netwerkinterface

1. Haal de id van een bestaande TAP-resource voor een virtueel netwerk op. In het volgende voorbeeld wordt een virtueel netwerk tap met de naam myTap opgehaald in een resourcegroep met de naam myResourceGroup:

   tapId=$(az network vnet tap show \
   --name myTap \
   --resource-group myResourceGroup \
   --query id \
   --out tsv)
   

2. Maak een TAP-configuratie op de netwerkinterface van de bewaakte virtuele machine. In het volgende voorbeeld wordt een TAP-configuratie gemaakt voor een netwerkinterface met de naam myNetworkInterface:

   az network nic vtap-config create \
   --resource-group myResourceGroup \
   --nic myNetworkInterface \
   --vnet-tap $tapId \
   --name mytapconfig \
   --subscription subscriptionId
   

3. Bevestig het maken van de TAP-configuratie:

   az network nic vtap-config show \
   --resource-group myResourceGroup \
   --nic-name myNetworkInterface \
   --name mytapconfig \
   --subscription subscriptionId
   

De TAP-configuratie op een netwerkinterface verwijderen

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Virtuele netwerk-TAP's weergeven in een abonnement

az network vnet tap list

Verwijder een TAP van een virtueel netwerk in een resourcegroep

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap

Volgende stappen

Meer informatie over het maken van een virtueel netwerk TAP met behulp van Azure Portal.