Azure CLI を使用して仮想ネットワーク TAP の作業を行う

重要

仮想ネットワーク TAP プレビューは、現在、すべての Azure リージョンで保留にされています。 サブスクリプション ID を記入して azurevnettap@microsoft.com にメールを送信していただけば、プレビューに関する今後の更新についてお知らせします。 その間は、エージェント ベースの ソリューションまたは NVA ソリューションを使用できます。これらは、Azure Marketplace オファリングで入手できるパケット ブローカー パートナー ソリューションを通して TAP/ネットワーク可視性機能を提供します。

Azure 仮想ネットワーク TAP (ターミナル アクセス ポイント) を使用すると、仮想マシン ネットワークのトラフィックをネットワーク パケット コレクターまたは分析ツールに連続してストリーミングできます。 コレクターまたは分析ツールは、ネットワーク仮想アプライアンス パートナーから提供されています。 仮想ネットワーク TAP を使用できることが検証されたパートナー ソリューションの一覧については、パートナー ソリューションに関するページを参照してください。

仮想ネットワーク TAP リソースを作成する

仮想ネットワーク TAP リソースを作成する前に、前提条件をお読みください。 以下のコマンドは、Azure Cloud Shell で、またはコンピューターから Azure CLI を実行することで実行できます。 Azure Cloud Shell は無料の対話型シェルであり、コンピューターに Azure CLI をインストールする必要はありません。 適切なアクセス許可を持っているアカウントで Azure にサインインする必要があります。 この記事では、Azure CLI バージョン 2.0.46 以降が必要です。 インストールされているバージョンを確認するには、az --version を実行します。 インストールまたはアップグレードする必要がある場合は、「Azure CLI 2.0 のインストール」を参照してください。 仮想ネットワーク TAP は、現在、拡張機能として使用できます。 拡張機能をインストールするには、az extension add -n virtual-network-tap を実行する必要があります。 Azure CLI をローカルで実行している場合、az login を実行して Azure との接続を作成することも必要です。

  1. サブスクリプションの ID を取得して変数に格納し、後の手順で使用します。

    subscriptionId=$(az account show \
    --query id \
    --out tsv)
    
  2. 仮想ネットワーク TAP リソースの作成に使用するサブスクリプション ID を設定します。

    az account set --subscription $subscriptionId
    
  3. 仮想ネットワーク TAP リソースの作成に使用するサブスクリプション ID を再登録します。 TAP リソースを作成するときに登録エラーが発生する場合は、次のコマンドを実行します。

    az provider register --namespace Microsoft.Network --subscription $subscriptionId
    
  4. 仮想ネットワーク TAP のターゲットがコレクターまたは分析ツールに対するネットワーク仮想アプライアンス上のネットワーク インターフェイスの場合は、次のようにします。

    • ネットワーク仮想アプライアンスのネットワーク インターフェイスの IP 構成を変数に取得し、後の手順で使用します。 ID は、TAP のトラフィックを集約するエンド ポイントです。 次の例では、myResourceGroup という名前のリソース グループ内にある myNetworkInterface という名前のネットワーク インターフェイスに対する ipconfig1 IP 構成の ID を取得しています。

        IpConfigId=$(az network nic ip-config show \
        --name ipconfig1 \
        --nic-name myNetworkInterface \
        --resource-group myResourceGroup \
        --query id \
        --out tsv)
      
    • ターゲットとしての IP 構成の ID を使用して、westcentralus Azure リージョン内に仮想ネットワーク TAP を作成します。 トラフィック ミラーのターゲットでは、ポート 4789 へのトラフィックを許可する必要があります。

        az network vnet tap create \
        --resource-group myResourceGroup \
        --name myTap \
        --destination $IpConfigId \
        --location westcentralus
      
  5. 仮想ネットワーク TAP のターゲットが Azure 内部ロード バランサーの場合は、次のようにします。

    • Azure 内部ロード バランサーのフロントエンド IP 構成を変数に取得し、後の手順で使用します。 ID は、TAP のトラフィックを集約するエンド ポイントです。 次の例では、myResourceGroup という名前のリソース グループ内の myInternalLoadBalancer という名前のロード バランサーに対する frontendipconfig1 フロントエンド IP 構成の ID を取得しています。

      FrontendIpConfigId=$(az network lb frontend-ip show \
      --name frontendipconfig1 \
      --lb-name myInternalLoadBalancer \
      --resource-group myResourceGroup \
      --query id \
      --out tsv)
      
    • ターゲットとしてのフロントエンド IP 構成の ID とオプションのポート プロパティを使用して、仮想ネットワーク TAP を作成します。 ポートでは、TAP トラフィックを受信するフロントエンド IP 構成上のターゲット ポートを指定します。

      az network vnet tap create \
      --resource-group myResourceGroup \
      --name myTap \
      --destination $FrontendIpConfigId \
      --port 4789 \
      --location westcentralus
      
  6. 仮想ネットワーク TAP の作成を確認します。

    az network vnet tap show \
    --resource-group myResourceGroup
    --name myTap
    

TAP 構成をネットワーク インターフェイスに追加する

  1. 既存の仮想ネットワーク TAP リソースの ID を取得します。 次の例では、myResourceGroup という名前のリソース グループ内の myTap という名前の仮想ネットワーク TAP を取得しています。

    tapId=$(az network vnet tap show \
    --name myTap \
    --resource-group myResourceGroup \
    --query id \
    --out tsv)
    
  2. 監視対象仮想マシンのネットワーク インターフェイスに TAP 構成を作成します。 次の例では、myNetworkInterface という名前のネットワーク インターフェイスに対する TAP 構成を作成します。

    az network nic vtap-config create \
    --resource-group myResourceGroup \
    --nic myNetworkInterface \
    --vnet-tap $tapId \
    --name mytapconfig \
    --subscription subscriptionId
    
  3. TAP 構成の作成を確認します。

    az network nic vtap-config show \
    --resource-group myResourceGroup \
    --nic-name myNetworkInterface \
    --name mytapconfig \
    --subscription subscriptionId
    

ネットワーク インターフェイス上の TAP 構成を削除する

az network nic vtap-config delete \
--resource-group myResourceGroup \
--nic myNetworkInterface \
--name myTapConfig \
--subscription subscriptionId

サブスクリプション内の仮想ネットワーク TAP の一覧を表示する

az network vnet tap list

リソース グループ内の仮想ネットワーク TAP を削除する

az network vnet tap delete \
--resource-group myResourceGroup \
--name myTap