Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcja TAP (punkt dostępowy terminalu) sieci wirtualnej platformy Azure umożliwia ciągłe przesyłanie strumieniowe ruchu sieciowego maszyny wirtualnej do modułu zbierającego pakiety sieciowe lub narzędzia analitycznego. Narzędzie zbierające lub analityczne jest dostarczane przez partnera wirtualnego urządzenia sieciowego. Aby uzyskać listę rozwiązań partnerskich, które są weryfikowane do pracy z siecią wirtualną TAP, zobacz rozwiązania partnerskie.
Important
Sieć wirtualna TAP jest teraz dostępna w publicznej wersji zapoznawczej w wybranych regionach świadczenia usługi Azure. Aby uzyskać więcej informacji, zobacz sekcję Obsługiwane regiony w tym artykule.
Na poniższym diagramie pokazano, jak działa sieć wirtualna TAP. Konfigurację tap można dodać w interfejsie sieciowym dołączonym do maszyny wirtualnej wdrożonej w sieci wirtualnej. Miejsce docelowe to adres IP sieci wirtualnej w tej samej sieci wirtualnej, co monitorowany interfejs sieciowy lub sparowana sieć wirtualna. Rozwiązanie modułu zbierającego dla sieci wirtualnej TAP można wdrożyć za wewnętrznym modułem równoważenia obciążenia platformy Azure w celu zapewnienia wysokiej dostępności.
Prerequisites
Musisz mieć co najmniej jedną maszynę wirtualną utworzoną za pomocą usługi Azure Resource Manager i rozwiązanie partnerskie do agregowania ruchu TAP w tym samym regionie świadczenia usługi Azure. Jeśli nie masz rozwiązania partnerskiego w sieci wirtualnej, zobacz Rozwiązania partnerskie, aby je wdrożyć.
Za pomocą tego samego zasobu TAP sieci wirtualnej można agregować ruch z wielu interfejsów sieciowych w ramach tej samej lub innej subskrypcji. Jeśli monitorowane interfejsy sieciowe znajdują się w różnych subskrypcjach, subskrypcje muszą być współdzielone z tym samym tenantem Microsoft Entra. Ponadto monitorowane interfejsy sieciowe i docelowy punkt końcowy agregujący ruch TAP mogą znajdować się w równorzędnych sieciach wirtualnych w tym samym regionie. Jeśli używasz tego modelu wdrażania, upewnij się, że peering sieci wirtualnych jest włączony przed skonfigurowaniem TAP sieci wirtualnej.
Permissions
Konta, które używamy do stosowania konfiguracji TAP na interfejsach sieciowych, muszą być przypisane do roli kontrybutora sieci lub roli niestandardowej, która obejmuje niezbędne akcje z poniższej tabeli.
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Wymagane do utworzenia, zaktualizowania, odczytu i usunięcia zasobu TAP sieci wirtualnej |
| Microsoft.Network/networkInterfaces/read | Wymagane do odczytania zasobu interfejsu sieciowego, na którym skonfigurowano interfejs TAP |
| Microsoft.Network/tapConfigurations/* | Wymagane do tworzenia, aktualizowania, odczytywania i usuwania konfiguracji tap w interfejsie sieciowym |
Ograniczenia publicznej wersji zapoznawczej
Należy pamiętać, że ograniczenia oznaczone tagiem [Temporary] zostaną rozwiązane w ogólnie dostępnej wersji.
Dodawanie źródła:
- Sieć wirtualna TAP obsługuje tylko interfejs sieciowy maszyny wirtualnej jako źródło dublowania.
- [Tymczasowo] SKU maszyn wirtualnych w wersji 6 nie są obsługiwane jako źródło.
- [Tymczasowe] Przed dodaniem maszyny wirtualnej jako źródła należy najpierw wdrożyć zasób TAP sieci wirtualnej i następnie zatrzymać (dezaktywować) oraz uruchomić źródłową maszynę wirtualną. Jest to wymagane tylko raz dla każdej maszyny wirtualnej, która zostanie dodana jako źródło. Jeśli nie zostanie to zrobione, zostanie wyświetlony błąd, że karta sieciowa nie znajduje się na fastpath.
Inne ograniczenia
- Interfejs sieciowy TAP obsługuje równoważnik obciążenia lub interfejs sieciowy maszyny wirtualnej jako zasób docelowy dla ruchu klonowanego.
- [Tymczasowe] Sieć wirtualna nie obsługuje migracji na żywo. Migracja na żywo zostanie wyłączona dla maszyn wirtualnych ustawionych jako źródło.
- [Tymczasowy] Maszyny wirtualne za standardowym modułem równoważenia obciążenia z włączonym pływającym adresem IP nie mogą być ustawione jako źródło mirrorowania.
- Maszyny wirtualne działające za Podstawowym Load Balancerem nie mogą być ustawiane jako źródło mirroringu. Usługa Load Balancer w warstwie Podstawowej jest wycofywana z użycia.
- Sieć wirtualna nie obsługuje dublowania przychodzącego ruchu usługi Private Link.
- Maszyny wirtualne w sieci wirtualnej z włączonym szyfrowaniem nie mogą być ustawiane jako źródło dublowania.
- Interfejs TAP sieci wirtualnej nie obsługuje protokołu IPv6.
- [Tymczasowo] Gdy VM jest dodawana lub usuwana jako źródło, może doświadczyć przestoju sieci (do 60 sekund).
Obsługiwane regiony
- Azja Wschodnia
- Zachodnio-środkowe stany USA
- Południowe Zjednoczone Królestwo
- Wschodnie stany USA
- Indie Środkowe
- Niemcy Środkowo-Zachodnie
- Środkowe stany USA
Wkrótce
- Australia Wschodnia
- Koreańska Środkowa
- Kanada Środkowa
Rozwiązania partnerskie TAP dedykowane sieciom wirtualnym
Brokerzy pakietów sieciowych
| Partner | Product |
|---|---|
| Gigamon | GigaVUE Cloud Suite dla platformy Azure |
| Keysight | CloudLens |
Analiza zabezpieczeń, zarządzanie wydajnością sieci/aplikacji
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Platforma Corelight Open NDR |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate maszyna wirtualna | |
| cPacket | Pakiet cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ Network Security |
| Extrahop | Reveal(x) |
| Postęp | Flowmon |
| Bitdefender | GravityZone Rozszerzone Wykrywanie i Reagowanie dla Sieci |
| eSentire | eSentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |
Dalsze kroki
Dowiedz się, jak utworzyć sieć wirtualną TAP przy użyciu interfejsu wiersza polecenia lub witryny Azure Portal.