Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem TAP (Terminal Access Point) für virtuelle Azure-Netzwerke können Sie Ihren VM-Netzwerkdatenverkehr kontinuierlich an einen Netzwerkpaketcollector oder ein Analysetool streamen. Das Sammel- oder Analysetool wird von einem Netzwerkpartner für virtuelle Appliance bereitgestellt. Eine Liste der Partnerlösungen, die für die Arbeit mit TAP im virtuellen Netzwerk überprüft werden, finden Sie unter Partnerlösungen.
Important
Virtuelles Netzwerk-TAP befindet sich jetzt in der öffentlichen Vorschau in ausgewählten Azure-Regionen. Weitere Informationen finden Sie im Abschnitt " Unterstützte Region " in diesem Artikel.
In der folgenden Abbildung wird gezeigt, wie der TAP für virtuelle Netzwerke funktioniert. Sie können eine TAP-Konfiguration auf einer Netzwerkschnittstelle hinzufügen, die an einen virtuellen Computer angefügt ist, der in Ihrem virtuellen Netzwerk bereitgestellt wird. Das Ziel ist eine IP-Adresse des virtuellen Netzwerks im selben virtuellen Netzwerk wie die überwachte Netzwerkschnittstelle oder ein virtuelles Peer-Netzwerk . Die Collectorlösung für den TAP des virtuellen Netzwerks kann für Hochverfügbarkeitszwecke hinter einem internen Azure-Lastenausgleich bereitgestellt werden.
Prerequisites
Sie müssen einen oder mehrere virtuelle Computer mit Azure Resource Manager erstellt haben, und eine Partnerlösung zum Aggregieren des TAP-Datenverkehrs in derselben Azure-Region. Wenn Sie nicht über eine Partnerlösung in Ihrem virtuellen Netzwerk verfügen, finden Sie Partnerlösungen für die Bereitstellung einer Lösung.
Mit derselben TAP-Ressource für virtuelle Netzwerke können Sie Datenverkehr von mehreren Netzwerkschnittstellen in der gleichen oder in unterschiedlichen Abonnements aggregieren. Wenn sich die überwachten Netzwerkschnittstellen in verschiedenen Abonnements befinden, müssen die Abonnements demselben Microsoft Entra-Mandanten zugeordnet sein. Darüber hinaus können sich die überwachten Netzwerkschnittstellen und der Zielendpunkt zum Aggregieren des TAP-Datenverkehrs in virtuellen Peernetzwerken in derselben Region befinden. Wenn Sie dieses Bereitstellungsmodell verwenden, stellen Sie sicher, dass das virtuelle Netzwerk-Peering aktiviert ist, bevor Sie tap für virtuelle Netzwerke konfigurieren.
Permissions
Die Konten, die Sie zum Anwenden der TAP-Konfiguration auf Netzwerkschnittstellen verwenden, müssen der Rolle des Netzwerkmitwirkenden oder einer benutzerdefinierten Rolle zugewiesen werden, die als erforderliche Aktionen aus der folgenden Tabelle zugewiesen wird:
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Erforderlich zum Erstellen, Aktualisieren, Lesen und Löschen einer TAP-Ressource für virtuelle Netzwerke |
| Microsoft.Network/networkInterfaces/read | Erforderlich, um die Netzwerkschnittstellenressource zu lesen, für die der TAP konfiguriert ist. |
| Microsoft.Network/tapConfigurations/* | Erforderlich zum Erstellen, Aktualisieren, Lesen und Löschen der TAP-Konfiguration auf einer Netzwerkschnittstelle |
Einschränkungen
- Virtual Network TAP unterstützt nur VM-Netzwerkschnittstellen (Virtual Machine) als Datenverkehrsspiegelungsquellen.
- Gespiegelter Datenverkehr kann nur an einen Load Balancer oder eine VM-Netzwerkschnittstelle weitergeleitet werden.
- VMs hinter einem Basic-Load Balancer können nicht als Spiegelungsquelle konfiguriert werden. Basic Load Balancer ist veraltet.
- Eingehender Datenverkehr aus dem Private Link Service wird zum Spiegeln nicht unterstützt.
- Virtuelle Computer in einem virtuellen Netzwerk mit aktivierter Verschlüsselung können nicht als Spiegelungsquellen konfiguriert werden.
- Virtual Network TAP unterstützt IPv6 oder SWIFT nicht.
- Virtual WAN (vWAN)-Peering wird zwischen den virtuellen Quell- und Zielnetzwerken, die mit VTAP verwendet werden, nicht unterstützt. Es muss stattdessen direktes Peering virtueller Netzwerke verwendet werden.
Einschränkungen bei der öffentlichen Vorschau
- V6-VM-SKUs werden nicht als Quell-VMs unterstützt.
- Bevor Sie einen virtuellen Computer als Quelle hinzufügen, müssen Sie zuerst eine Virtual Network TAP-Ressource bereitstellen und dann beenden (Deallocate) und die Quell-VM starten. Dies ist nur einmal pro VM erforderlich, die als Quelle verwendet wird. Wenn dieser Schritt nicht abgeschlossen ist, erhalten Sie möglicherweise einen Fehler, der angibt, dass sich die NIC nicht auf fastpath befindet.
- Wenn eine VM als Quelle hinzugefügt oder entfernt wird, kann es bei der VM zu Netzwerkausfällen von bis zu 60 Sekunden kommen.
- Livemigration wird für Quell-VMs nicht unterstützt. Die Live-Migration wird für jede VM deaktiviert, die als Quelle konfiguriert ist.
Unterstützte Regionen
- Asien, Osten
- Southeast Asia
- Canada Central
- West Europe
- Deutschland West Central
- Central India
- Korea Central
- UAE North
- UK South
- USA (Mitte)
- Zentral-USA (EUAP)
- East US
- Ost-USA 2
- Ost-USA 2 EUAP
- Westliches USA 3
Partnerlösungen für TAPs von virtuellen Netzwerken
Netzwerkpaketbroker
| Partner | Product |
|---|---|
| Gigamon | GigaVUE Cloud Suite für Azure |
| Keysight | CloudLens |
Sicherheitsanalyse und Verwalten der Netzwerk-/Anwendungsleistung
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Corelight Open NDR Platform |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate-VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ Network Security |
| Extrahop | Reveal(x) |
| Progress | Flowmon |
| Bitdefender | GravityZone Extended Detection and Response für Netzwerke |
| eSentire | eSentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |
Nächste Schritte
Erfahren Sie, wie Sie mit CLI oder dem Azure-Portal ein virtuelles Netzwerk TAP erstellen.