Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem TAP (Terminal Access Point) für virtuelle Azure-Netzwerke können Sie Ihren VM-Netzwerkdatenverkehr kontinuierlich an einen Netzwerkpaketcollector oder ein Analysetool streamen. Das Sammel- oder Analysetool wird von einem Netzwerkpartner für virtuelle Appliance bereitgestellt. Eine Liste der Partnerlösungen, die für die Arbeit mit TAP im virtuellen Netzwerk überprüft werden, finden Sie unter Partnerlösungen.
Important
Virtuelles Netzwerk-TAP befindet sich jetzt in der öffentlichen Vorschau in ausgewählten Azure-Regionen. Weitere Informationen finden Sie im Abschnitt " Unterstützte Region " in diesem Artikel.
In der folgenden Abbildung wird gezeigt, wie der TAP für virtuelle Netzwerke funktioniert. Sie können eine TAP-Konfiguration auf einer Netzwerkschnittstelle hinzufügen, die an einen virtuellen Computer angefügt ist, der in Ihrem virtuellen Netzwerk bereitgestellt wird. Das Ziel ist eine IP-Adresse des virtuellen Netzwerks im selben virtuellen Netzwerk wie die überwachte Netzwerkschnittstelle oder ein virtuelles Peer-Netzwerk . Die Collectorlösung für den TAP des virtuellen Netzwerks kann für Hochverfügbarkeitszwecke hinter einem internen Azure-Lastenausgleich bereitgestellt werden.
Prerequisites
Sie müssen einen oder mehrere virtuelle Computer mit Azure Resource Manager erstellt haben, und eine Partnerlösung zum Aggregieren des TAP-Datenverkehrs in derselben Azure-Region. Wenn Sie nicht über eine Partnerlösung in Ihrem virtuellen Netzwerk verfügen, finden Sie Partnerlösungen für die Bereitstellung einer Lösung.
Mit derselben TAP-Ressource für virtuelle Netzwerke können Sie Datenverkehr von mehreren Netzwerkschnittstellen in der gleichen oder in unterschiedlichen Abonnements aggregieren. Wenn sich die überwachten Netzwerkschnittstellen in verschiedenen Abonnements befinden, müssen die Abonnements demselben Microsoft Entra-Mandanten zugeordnet sein. Darüber hinaus können sich die überwachten Netzwerkschnittstellen und der Zielendpunkt zum Aggregieren des TAP-Datenverkehrs in virtuellen Peernetzwerken in derselben Region befinden. Wenn Sie dieses Bereitstellungsmodell verwenden, stellen Sie sicher, dass das virtuelle Netzwerk-Peering aktiviert ist, bevor Sie tap für virtuelle Netzwerke konfigurieren.
Permissions
Die Konten, die Sie zum Anwenden der TAP-Konfiguration auf Netzwerkschnittstellen verwenden, müssen der Rolle des Netzwerkmitwirkenden oder einer benutzerdefinierten Rolle zugewiesen werden, die als erforderliche Aktionen aus der folgenden Tabelle zugewiesen wird:
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Erforderlich zum Erstellen, Aktualisieren, Lesen und Löschen einer TAP-Ressource für virtuelle Netzwerke |
| Microsoft.Network/networkInterfaces/read | Erforderlich, um die Netzwerkschnittstellenressource zu lesen, für die der TAP konfiguriert ist. |
| Microsoft.Network/tapConfigurations/* | Erforderlich zum Erstellen, Aktualisieren, Lesen und Löschen der TAP-Konfiguration auf einer Netzwerkschnittstelle |
Einschränkungen der öffentlichen Vorschauversion
Bitte beachten Sie, dass einschränkungen, die mit [Temporary] gekennzeichnet sind, bei GA aufgelöst werden.
Hinzufügen einer Quelle:
- TAP für virtuelle Netzwerke unterstützt nur die Netzwerkschnittstelle des virtuellen Computers als Spiegelungsquelle.
- [Temporäre] v6 VM-SKU werden nicht als Quelle unterstützt.
- [Temporär] Bevor Sie eine VM als Quelle hinzufügen, müssen Sie zuerst eine TAP-Ressource für virtuelle Netzwerke bereitstellen und dann die Quell-VM stoppen (deallokieren) und starten. Dies ist nur einmal für jeden virtuellen Computer erforderlich, der als Quelle hinzugefügt wird. Wenn dies nicht geschieht, erhalten Sie eine Fehlermeldung, die besagt, dass die NIC nicht im Fastpath ist.
Weitere Einschränkungen
- TAP für virtuelle Netzwerke unterstützt die Netzwerkschnittstelle von Load Balancer oder einer VM als Zielressource für gespiegelten Datenverkehr.
- [Temporär] Das virtuelle Netzwerk unterstützt keine Livemigration. Die Live Migration wird für VMs deaktiviert, die als Quelle festgelegt sind.
- [Temporär] VMs hinter einem Standardlastenausgleich mit aktivierter gleitender IP-Adresse können nicht als Spiegelungsquelle festgelegt werden.
- VMs hinter basic Load Balancer können nicht als Spiegelungsquelle festgelegt werden. Basic Load Balancer ist veraltet.
- Das virtuelle Netzwerk unterstützt keine Spiegelung des eingehenden Datenverkehrs für den Private Link-Dienst.
- Virtuelle Computer in einem virtuellen Netzwerk mit aktivierter Verschlüsselung können nicht als Spiegelungsquelle festgelegt werden.
- Tap für virtuelle Netzwerke unterstützt IPv6 nicht.
- [Temporär] Wenn eine VM als Quelle hinzugefügt oder entfernt wird, kann es zu Netzwerkausfallzeiten kommen (bis zu 60 Sekunden).
Unterstützte Regionen
- Asien, Osten
- USA, Westen-Mitte
- UK South
- US East
- Indien, Mitte
- Deutschland West Central
- USA, Mitte
In Kürze verfügbar
- Australia East
- Koreanisch Zentral
- Canada Central
Partnerlösungen für TAPs von virtuellen Netzwerken
Netzwerkpaketbroker
| Partner | Product |
|---|---|
| Gigamon | GigaVUE Cloud Suite für Azure |
| Keysight | CloudLens |
Sicherheitsanalyse und Verwalten der Netzwerk-/Anwendungsleistung
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Corelight Open NDR Platform |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate-VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ Network Security |
| Extrahop | Reveal(x) |
| Progress | Flowmon |
| Bitdefender | GravityZone Extended Detection and Response für Netzwerke |
| eSentire | eSentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |
Nächste Schritte
Erfahren Sie, wie Sie mit CLI oder dem Azure-Portal ein virtuelles Netzwerk TAP erstellen.