Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met TAP (Terminal Access Point) van Azure Virtual Network kunt u uw netwerkverkeer van uw virtuele machine continu streamen naar een hulpprogramma voor netwerkpakketverzamelaar of analyse. Het collector- of analysehulpprogramma wordt geleverd door een partner die netwerk-virtuele apparaten levert. Zie partneroplossingen voor een lijst met partneroplossingen die zijn gevalideerd voor gebruik met virtueel netwerk TAP.
Important
Virtueel netwerk TAP is nu in openbare preview in bepaalde Azure-regio's. Zie de sectie Ondersteunde regio in dit artikel voor meer informatie.
In het volgende diagram ziet u hoe een virtueel netwerk-TAP werkt. U kunt een TAP-configuratie toevoegen aan een netwerkinterface die is gekoppeld aan een virtuele machine die is geïmplementeerd in uw virtuele netwerk. De bestemming is een IP-adres van een virtueel netwerk in hetzelfde virtuele netwerk als de bewaakte netwerkinterface of een peering virtueel netwerk. De collectoroplossing voor TAP voor virtuele netwerken kan worden geïmplementeerd achter een interne Load Balancer van Azure voor een hoge beschikbaarheid.
Prerequisites
U moet een of meer virtuele machines hebben gemaakt met Azure Resource Manager en een partneroplossing voor het aggregeren van tap-verkeer in dezelfde Azure-regio. Als u geen partneroplossing in uw virtuele netwerk hebt, bekijk partneroplossingen om er een te implementeren.
U kunt dezelfde TAP-resource van het virtuele netwerk gebruiken om verkeer van meerdere netwerkinterfaces in dezelfde of verschillende abonnementen samen te voegen. Als de bewaakte netwerkinterfaces zich in verschillende abonnementen bevinden, moeten de abonnementen worden gekoppeld aan dezelfde Microsoft Entra-tenant. Daarnaast kunnen de bewaakte netwerkinterfaces en het doeleindpunt voor het aggregeren van het TAP-verkeer zich in gekoppelde virtuele netwerken in dezelfde regio bevinden. Als u dit implementatiemodel gebruikt, moet u ervoor zorgen dat peering van het virtuele netwerk is ingeschakeld voordat u TAP van het virtuele netwerk configureert.
Permissions
De accounts die u gebruikt om TAP-configuratie toe te passen op netwerkinterfaces, moeten worden toegewezen aan de rol netwerkbijdrager of aan een aangepaste rol die is toegewezen als de benodigde acties uit de volgende tabel:
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Vereist voor het maken, bijwerken, lezen en verwijderen van een TAP-resource voor een virtueel netwerk |
| Microsoft.Network/networkInterfaces/read | Vereist om de netwerkinterfaceresource te lezen waarop de TAP is geconfigureerd |
| Microsoft.Network/tapConfigurations/* | Vereist voor het maken, bijwerken, lezen en verwijderen van de TAP-configuratie op een netwerkinterface |
Beperkingen van openbare preview
Houd er rekening mee dat de beperkingen die zijn gemarkeerd met [Tijdelijk] zullen worden opgelost bij de GA.
Een bron toevoegen:
- Virtueel netwerk TAP ondersteunt alleen de netwerkinterface van een virtuele machine (VM) als bron voor mirroring.
- [Tijdelijk] v6 VM SKU wordt niet ondersteund als de bron.
- [Tijdelijk] Voordat u een VIRTUELE machine als bron toevoegt, moet u eerst een TAP-resource voor een virtueel netwerk implementeren en vervolgens STOPPEN (toewijzing ongedaan maken) en de bron-VM starten. Dit is slechts één keer vereist voor een virtuele machine die als bron wordt toegevoegd. Als dit niet is gebeurd, krijgt u een foutmelding met de melding dat de NIC niet op fastpath staat.
Andere beperkingen
- TAP voor virtueel netwerk ondersteunt Load Balancer of VM's netwerkinterface als bestemmingsresource voor het spiegelen van verkeer.
- [Tijdelijk] Het virtuele netwerk biedt geen ondersteuning voor livemigratie. Livemigratie wordt uitgeschakeld voor VM's die zijn ingesteld als bron.
- [Tijdelijk] VM's achter een Standard Load Balancer waarvoor zwevend IP-adres is ingeschakeld, kunnen niet worden ingesteld als spiegelingsbron.
- VM's achter Basic Load Balancer kunnen niet worden ingesteld als spiegelingsbron. Basic Load Balancer wordt afgeschaft.
- Virtueel netwerk biedt geen ondersteuning voor spiegeling van binnenkomend Private Link-serviceverkeer.
- VM's in een virtueel netwerk waarvoor versleuteling is ingeschakeld, kunnen niet worden ingesteld als bron voor spiegeling.
- Tap voor virtueel netwerk biedt geen ondersteuning voor IPv6.
- [Tijdelijk] Wanneer een VIRTUELE machine als bron wordt toegevoegd of verwijderd, kan de VM netwerk downtime ondervinden (maximaal 60 seconden).
Ondersteunde regio's
- Azië - oost
- de westelijke centrale regio van de VS
- UK South
- US East
- India Centraal
- West-Centraal Duitsland
- US Centraal
Binnenkort beschikbaar
- Australia East
- Koreaans - centraal
- Canada Central
Oplossingen voor TAP-partners voor virtueel netwerk
Netwerkpakketbrokers
| Partner | Product |
|---|---|
| Gigamon | GigaVUE Cloud Suite voor Azure |
| Keysight | CloudLens |
Beveiligingsanalyse, netwerk-/toepassingsprestatiebeheer
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Corelight Open NDR-platform |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate-VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One-netwerkbeveiliging™ |
| Extrahop | Reveal(x) |
| Vooruitgang | Stroommon |
| Bitdefender | GravityZone Uitgebreide Detectie en Reactie voor Netwerk |
| eSentire | eSentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |
Volgende stappen
Meer informatie over het maken van een virtueel netwerk TAP met behulp van CLI of Azure Portal.