Arbeiten mit einem TAP eines virtuellen Netzwerks über die Azure CLI

Wichtig

Die Vorschau des TAP für virtuelle Netzwerke ist derzeit in allen Azure-Regionen ausgesetzt. Sie können eine E-Mail mit Ihrer Abonnement-ID an azurevnettap@microsoft.com senden. Wir informieren Sie über künftige Updates zur Vorschau. In der Zwischenzeit können Sie Agent-basierte Lösungen oder NVA-Lösungen verwenden, die über unsere im Azure Marketplace verfügbaren Paketbroker-Partnerlösungen Funktionen für TAP-/Netzwerksichtbarkeit bieten.

Mit dem TAP (Terminal Access Point) für virtuelle Azure-Netzwerke können Sie Ihren VM-Netzwerkdatenverkehr kontinuierlich an einen Netzwerkpaketcollector oder ein Analysetool streamen. Der Collector oder das Analysetool wird von einem Partner für virtuelle Netzwerkappliances bereitgestellt. Eine Liste der Partnerlösungen, die für die Arbeit mit einem TAP eines virtuellen Netzwerks geprüft wurden, finden Sie unter Partnerlösungen für TAPs von virtuellen Netzwerken.

Erstellen einer TAP-Ressource für ein virtuelles Netzwerk

Lesen Sie die Voraussetzungen, bevor Sie eine TAP-Ressource für ein virtuelles Netzwerk erstellen. Sie können die nachfolgenden Befehle in Azure Cloud Shell oder über die Azure-Befehlszeilenschnittstelle auf Ihrem Computer ausführen. Azure Cloud Shell ist eine kostenlose interaktive Shell, für die keine Installation der Azure CLI auf Ihrem Computer erforderlich ist. Sie müssen sich mit einem Konto mit den entsprechenden Berechtigungen bei Azure anmelden. Für diesen Artikel ist die Azure CLI-Version 2.0.46 oder höher erforderlich. Führen Sie az --version aus, um die installierte Version zu ermitteln. Wenn Sie eine Installation oder ein Upgrade ausführen müssen, finden Sie unter Installieren von Azure CLI 2.0 Informationen dazu. TAP von virtuellen Netzwerken ist derzeit als Erweiterung verfügbar. Zum Installieren der Erweiterung müssen Sie az extension add -n virtual-network-tap ausführen. Wenn Sie die Azure CLI lokal ausführen, müssen Sie auch az login ausführen, um eine Verbindung mit Azure herzustellen.

  1. Rufen Sie die ID Ihres Abonnements in einer Variable ab, die in einem späteren Schritt verwendet wird:

    subscriptionId=$(az account show \
    --query id \
    --out tsv)
    
  2. Legen Sie die Abonnement-ID fest, mit der Sie eine TAP-Ressource für ein virtuelles Netzwerk erstellen.

    az account set --subscription $subscriptionId
    
  3. Registrieren Sie erneut die Abonnement-ID, mit der Sie eine TAP-Ressource für ein virtuelles Netzwerk erstellen. Wenn beim Erstellen einer TAP-Ressource ein Registrierungsfehler angezeigt wird, führen Sie den folgenden Befehl aus:

    az provider register --namespace Microsoft.Network --subscription $subscriptionId
    
  4. Wenn das Ziel für den TAP eines virtuellen Netzwerks die Netzwerkschnittstelle auf der virtuellen Netzwerkappliance für den Collector oder das Analysetool ist, gehen Sie wie folgt vor:

    • Rufen Sie die IP-Konfiguration der Netzwerkschnittstelle der virtuellen Netzwerkappliance in einer Variable ab, die in einem späteren Schritt verwendet wird. Die ID ist der Endpunkt, der den TAP-Datenverkehr aggregiert. Das folgende Beispiel ruft die ID der IP-Konfiguration ipconfig1 für eine Netzwerkschnittstelle mit dem Namen myNetworkInterface in einer Ressourcengruppe namens myResourceGroup ab:

        IpConfigId=$(az network nic ip-config show \
        --name ipconfig1 \
        --nic-name myNetworkInterface \
        --resource-group myResourceGroup \
        --query id \
        --out tsv)
      
    • Erstellen Sie mit der ID der IP-Konfiguration als Ziel den TAP für virtuelle Netzwerke in der Azure-Region USA, Westen-Mitte. Das Ziel des Datenverkehrsspiegels muss Datenverkehr zu Port 4789 zulassen:

        az network vnet tap create \
        --resource-group myResourceGroup \
        --name myTap \
        --destination $IpConfigId \
        --location westcentralus
      
  5. Wenn das Ziel für den TAP des virtuellen Netzwerks ein interner Azure-Lastenausgleich ist, gehen Sie wie folgt vor:

    • Rufen Sie die Front-End-IP-Konfiguration des internen Azure-Lastenausgleichs in einer Variable ab, die in einem späteren Schritt verwendet wird. Die ID ist der Endpunkt, der den TAP-Datenverkehr aggregiert. Das folgende Beispiel ruft die ID der Front-End-IP-Konfiguration frontendipconfig1 für einen Lastenausgleich namens myInternalLoadBalancer in einer Ressourcengruppe mit dem Namen myResourceGroup ab:

      FrontendIpConfigId=$(az network lb frontend-ip show \
      --name frontendipconfig1 \
      --lb-name myInternalLoadBalancer \
      --resource-group myResourceGroup \
      --query id \
      --out tsv)
      
    • Erstellen Sie mit der ID der Front-End-IP-Konfiguration als Ziel und einer optionalen Porteigenschaft den TAP für ein virtuelles Netzwerk. Der Port gibt den Zielport in der Front-End-IP-Konfiguration an, an der der TAP-Datenverkehr empfangen wird:

      az network vnet tap create \
      --resource-group myResourceGroup \
      --name myTap \
      --destination $FrontendIpConfigId \
      --port 4789 \
      --location westcentralus
      
  6. Bestätigen Sie die Erstellung des TAP für ein virtuelles Netzwerk:

    az network vnet tap show \
    --resource-group myResourceGroup
    --name myTap
    

Hinzufügen einer TAP-Konfiguration zu einer Netzwerkschnittstelle

  1. Rufen Sie die ID einer vorhandenen TAP-Ressource eines virtuellen Netzwerks ab. Im folgenden Beispiel wird ein TAP für ein virtuelles Netzwerk namens myTap in einer Ressourcengruppe mit dem Namen myResourceGroup abgerufen:

    tapId=$(az network vnet tap show \
    --name myTap \
    --resource-group myResourceGroup \
    --query id \
    --out tsv)
    
  2. Erstellen Sie eine TAP-Konfiguration für die Netzwerkschnittstelle des überwachten virtuellen Computers. Das folgende Beispiel erstellt eine TAP-Konfiguration für eine Netzwerkschnittstelle mit dem Namen myNetworkInterface:

    az network nic vtap-config create \
    --resource-group myResourceGroup \
    --nic myNetworkInterface \
    --vnet-tap $tapId \
    --name mytapconfig \
    --subscription subscriptionId
    
  3. Bestätigen Sie die Erstellung der TAP-Konfiguration:

    az network nic vtap-config show \
    --resource-group myResourceGroup \
    --nic-name myNetworkInterface \
    --name mytapconfig \
    --subscription subscriptionId
    

Löschen der TAP-Konfiguration für eine Netzwerkschnittstelle

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

Auflisten der TAPs von virtuellen Netzwerken in einem Abonnement

az network vnet tap list

Löschen eines TAPs für ein virtuelles Netzwerk in einer Ressourcengruppe

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap