Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O TAP (Ponto de Acesso do Terminal) de rede virtual do Azure permite que você transmita o tráfego de rede por streaming continuamente da máquina virtual para uma ferramenta de coleta de pacotes ou de análise de rede. A ferramenta de análise ou de coleta é fornecida por um parceiro de solução de virtualização de rede. Para obter uma lista de soluções de parceiros validadas para trabalhar com o TAP de rede virtual, consulte soluções de parceiros.
Important
O TAP da rede virtual agora está em versão prévia pública em regiões do Azure selecionadas. Para obter mais informações, consulte a seção Região com suporte neste artigo.
O diagrama a seguir mostra como o TAP de rede virtual funciona. Você pode adicionar uma configuração TAP em um adaptador de rede anexado a uma máquina virtual implantada em sua rede virtual. O destino é um endereço IP de rede virtual na mesma rede virtual que o adaptador de rede monitorado ou em uma rede virtual emparelhada. A solução coletora para o TAP de rede virtual pode ser implantada com base em um balanceador de carga interno do Azure para oferecer alta disponibilidade.
Prerequisites
Você deve ter uma ou mais máquinas virtuais criadas com o Azure Resource Manager e uma solução de parceiro para agregar o tráfego TAP na mesma região do Azure. Se você não tiver uma solução de parceiro em sua rede virtual, consulte as soluções de parceiro para implantar uma.
Você pode usar o mesmo recurso de TAP de rede virtual para o tráfego agregado por meio de vários adaptadores de rede nas mesmas assinaturas ou em outras. Se os adaptadores de rede monitorados estiverem em assinaturas diferentes, as assinaturas deverão ser associadas ao mesmo locatário do Microsoft Entra. Além disso, as interfaces de rede monitoradas e o ponto de extremidade de destino para agregar o tráfego TAP podem estar localizados em redes virtuais emparelhadas na mesma região. Se estiver usando esse modelo de implantação, certifique-se de que o emparelhamento de rede virtual esteja habilitado antes de configurar o TAP de rede virtual.
Permissions
As contas que você usa para aplicar a configuração TAP em interfaces de rede devem ser atribuídas à função de contribuidor de rede ou a uma função personalizada que inclua as ações necessárias da tabela a seguir.
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Necessário para criar, atualizar, ler e excluir um recurso TAP de rede virtual |
| Microsoft.Network/networkInterfaces/read | Necessária para ler o recurso de interface de rede no qual o TAP está configurado |
| Microsoft.Network/tapConfigurations/* | Necessário para criar, atualizar, ler e excluir a configuração TAP de uma interface de rede |
Limitações da visualização pública
Observe que as limitações marcadas com [Temporário] serão resolvidas em GA.
Adicionando uma origem:
- O TAP da rede virtual só dá suporte à interface de rede da VM (máquina virtual) como uma fonte de espelhamento.
- [Temporário] SKUs de VM v6 não são compatíveis como origem.
- [Temporário] Antes de adicionar uma VM como fonte, você deve primeiro implantar um recurso TAP de rede virtual e em seguida PARAR (desalocar) e INICIAR a VM de origem. Isso é necessário apenas uma vez para qualquer VM que será adicionada como uma origem. Se não terminar, você receberá um erro informando que a NIC não está em fastpath.
Outras Limitações
- O TAP de rede virtual dá suporte ao Load Balancer ou à interface de rede da VM como um recurso de destino para tráfego espelhado.
- [Temporário] A rede virtual não dá suporte à Migração Ao Vivo. A Migração ao Vivo será desabilitada para VMs configuradas como fonte.
- [Temporário] As VMs por trás de um Load Balancer Standard com IP flutuante habilitado não podem ser definidas como uma fonte de espelhamento.
- As VMs por trás do Load Balancer Básico não podem ser definidas como uma fonte de espelhamento. O Load Balancer Básico está sendo descontinuado.
- A rede virtual não dá suporte ao espelhamento do tráfego do Serviço de Link Privado de entrada.
- As VMs em uma rede virtual com criptografia habilitada não podem ser definidas como fonte de espelhamento.
- O TAP de rede virtual não dá suporte ao IPv6.
- [Temporário] Quando uma VM é adicionada ou removida como uma origem, a VM pode ter tempo de inatividade de rede (até 60 segundos).
Regiões com Suporte
- Leste da Ásia
- Centro-oeste dos EUA
- Sul do Reino Unido
- Leste dos EUA
- Índia Central
- Centro-oeste da Alemanha
- Centro dos EUA
Em breve
- Leste da Austrália
- Coreia Central
- Canadá Central
Soluções de parceiros de TAP de rede virtual
Agentes de pacote de rede
| Partner | Product |
|---|---|
| Gigamon | GigaVUE Cloud Suite para Azure |
| Keysight | CloudLens |
Análise de segurança, gerenciamento de desempenho de rede/aplicativo
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Corelight Open NDR Platform |
| Vectra | Vectra NDR |
| Fortinet | Nuvem FortiNDR |
| FortiGate VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ Network Security |
| Extrahop | Reveal(x) |
| Progresso | Flowmon |
| Bitdefender | Detecção e resposta estendidas do GravityZone para rede |
| eSentire | ESentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Redes Arista | Arista NDR |
Próximas etapas
Saiba como criar um TAP de rede virtual usando a CLI ou o portal do Azure.