Como configurar o Network Packet Broker (NPB)

Este guia explica como configurar um Network Packet Broker (NPB) para capturar, filtrar e encaminhar o tráfego de rede para ferramentas de monitoramento (vProbes).

Pré-requisitos

• Dispositivos NPB provisionados: verifique se os dispositivos NPB estão corretamente em rack, empilhados e provisionados. Para obter detalhes, consulte Provisionamento de malha de rede.

• Configuração de vProbes: Os respetivos vProbes devem ser configurados com endereços IP dedicados.

• vProbes internos (opcional): Se estiver usando vProbes internos, crie domínios de isolamento de Camada 3 com redes internas. As sub-redes necessárias devem ser configuradas e o sinalizador de extensão NPB deve ser definido para redes internas. Para obter detalhes, consulte Domínios de isolamento.

• Caso de uso do Interconexão Rede-a-Rede (NNI): Se for aplicável, crie um NNI do tipo NPB. Certifique-se de que as propriedades apropriadas da Camada 2 e da Camada 3 sejam definidas durante a criação. Para obter detalhes, consulte Provisionamento de malha de rede.

Etapa 1: Criar uma regra TAP de rede

Uma regra TAP de rede define o tráfego que você deseja capturar e as ações a serem executadas quando um pacote corresponder.

Pontos principais:

• Uma regra TAP consiste em uma ou mais configurações correspondentes.

• As condições de correspondência são avaliadas como tuplas lógicas "E" ; Todas as condições devem ser satisfeitas para que um pacote corresponda.

• As ações são executadas quando um pacote corresponde a uma configuração.

• As regras TAP podem ser criadas em linha (CLI do Azure, portal ou ARM) ou baseadas em ficheiros (carregar a partir de um URL de armazenamento). As atualizações de ficheiros suportam mecanismos push ou pull.

Exemplos de CLI:

# Create a TAP rule
az networkfabric taprule create \
  --resource-group <rg-name> \
  --fabric-name <fabric-name> \
  --name <taprule-name> \
  --configurations <configurations-json>

# Update a TAP rule
az networkfabric taprule update --name <taprule-name> --resource-group <rg-name> --fabric-name <fabric-name>

# Delete a TAP rule
az networkfabric taprule delete --name <taprule-name> --resource-group <rg-name> --fabric-name <fabric-name>

# Show a TAP rule
az networkfabric taprule show --name <taprule-name> --resource-group <rg-name> --fabric-name <fabric-name>

Etapa 2: Criar um grupo vizinho

Um grupo vizinho define destinos para o tráfego encaminhado por uma TAP.

Pontos principais:

• Os destinos podem incluir interfaces de rede ou ferramentas de monitoramento como vProbes.
• Os endereços IP por trás dos balanceadores de carga também podem ser usados como destinos, mas o tráfego é enviado diretamente para os endereços especificados.
• O agrupamento de vários destinos simplifica a configuração.

Exemplos de CLI:

# Create a neighbor group

az networkfabric neighborgroup create \
  --resource-group <rg-name> \
  --fabric-name <fabric-name> \
  --name <neighborgroup-name> \
  --destinations <destinations-json>

# Delete a neighbor group

az networkfabric neighborgroup delete --name <neighborgroup-name> --resource-group <rg-name> --fabric-name <fabric-name>

# Show a neighbor group

az networkfabric neighborgroup show --name <neighborgroup-name> --resource-group <rg-name> --fabric-name <fabric-name>

Passo 3: Criar uma rede TAP

Uma rede TAP captura o tráfego de uma interface de rede de origem especificada e encaminha-o de acordo com uma regra TAP e um grupo vizinho.

Pontos principais:

• Associe a regra TAP e o grupo vizinho criado nas etapas anteriores.
• Use a CLI do Azure, o portal ou o ARM para criar a TAP.
• A TAP pode ser ativada ou desativada para iniciar ou parar o encaminhamento de tráfego.

Exemplos de CLI:

# Create a network TAP
az networkfabric tap create \
  --resource-group <rg-name> \
  --fabric-name <fabric-name> \
  --name <tap-name> \
  --source-interface <interface-id> \
  --taprule <taprule-name> \
  --neighborgroup <neighborgroup-name>

# Update a network TAP
az networkfabric tap update --name <tap-name> --resource-group <rg-name> --fabric-name <fabric-name>

# Delete a network TAP
az networkfabric tap delete --name <tap-name> --resource-group <rg-name> --fabric-name <fabric-name>

# Show a network TAP
az networkfabric tap show --name <tap-name> --resource-group <rg-name> --fabric-name <fabric-name>

Passo 4: Ativar ou desativar uma TAP de rede

Depois de criar um TAP, habilite-o para iniciar o processo de corretagem de pacotes. Você pode desativá-lo a qualquer momento para parar de encaminhar tráfego.

Exemplo de CLI:

# Enable a network TAP
az networkfabric tap update-admin-state \
  --resource-group <rg-name> \
  --fabric-name <fabric-name> \
  --name <tap-name> \
  --enabled true

# Disable a network TAP
az networkfabric tap update-admin-state \
  --resource-group <rg-name> \
  --fabric-name <fabric-name> \
  --name <tap-name> \
  --enabled false

Notas operacionais

• O NPB não analisa o tráfego; ele apenas captura, filtra e encaminha pacotes.

• Vários TAPs podem ser configurados para monitorar diferentes fontes simultaneamente.

• As atualizações das regras da TAP ou dos grupos vizinhos podem ser aplicadas dinamicamente sem interromper outros fluxos.

Erros comuns do NPB

Durante a configuração do Network Packet Broker (NPB), o sistema classifica todos os erros de caminho de controle em duas grandes categorias:

• Pedido inválido (400)
  Isso ocorre quando a solicitação é inválida. Por exemplo, faltando parâmetros necessários, fornecendo valores incorretos ou usando um esquema sem suporte.
  Ação recomendada: Reveja a carga útil do seu pedido e certifique-se de que todos os campos e valores obrigatórios são válidos.

• Erro interno do servidor (500)
  Isso ocorre quando o sistema encontra uma condição inesperada, como indisponibilidade de back-end ou uma falha transitória.
  Ação recomendada: Repita a operação após alguns minutos. Se o problema persistir, contacte o Suporte da Microsoft.

Recursos adicionais

Conceitos: Broker de Pacotes de RedeExploração Profunda: Regras TAP de RedeConfigurar o Tecido de RedeServiços do Tecido de Rede