Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un TAP (Terminal Access Point) di rete virtuale di Azure consente di trasmettere il traffico di rete della macchina virtuale come flusso continuo a un agente di raccolta di pacchetti di rete o a uno strumento di analisi. L'agente di raccolta o lo strumento di analisi viene fornito da un partner appliance virtuale di rete. Per un elenco delle soluzioni dei partner convalidate per l'uso con un TAP di rete virtuale, vedere le soluzioni dei partner.
Important
Il TAP della rete virtuale è ora disponibile in anteprima pubblica nelle aree di Azure selezionate. Per altre informazioni, vedere la sezione Area supportata in questo articolo.
Il diagramma seguente illustra come funziona un punto di accesso terminale di rete virtuale. È possibile aggiungere una configurazione TAP in un'interfaccia di rete collegata a una macchina virtuale distribuita nella rete virtuale. La destinazione è un indirizzo IP in rete virtuale che si trova nella stessa rete virtuale dell'interfaccia di rete sotto monitoraggio o di una rete virtuale connessa tramite peering. La soluzione dell'agente di raccolta per il punto di accesso terminale di rete virtuale può essere distribuita dietro un bilanciamento del carico interno di Azure per garantire disponibilità elevata.
Prerequisites
È necessario avere una o più macchine virtuali create con Azure Resource Manager e una soluzione partner per aggregare il traffico TAP nella stessa area di Azure. Se non si ha una soluzione partner nella rete virtuale, vedere Soluzioni partner per distribuirne una.
È possibile usare la stessa risorsa TAP di rete virtuale per aggregare il traffico da più interfacce di rete nella stessa sottoscrizione o in sottoscrizioni diverse. Se le interfacce di rete monitorate si trovano in sottoscrizioni diverse, le sottoscrizioni devono essere associate allo stesso tenant di Microsoft Entra. Inoltre, le interfacce di rete monitorate e l'endpoint di destinazione per l'aggregazione del traffico TAP possono trovarsi in reti virtuali con peering nella stessa area. Se si usa questo modello di distribuzione, assicurarsi che il peering di reti virtuali sia abilitato prima di configurare il punto di accesso terminale di rete virtuale.
Permissions
Gli account usati per applicare la configurazione TAP nelle interfacce di rete devono essere assegnati al ruolo collaboratore di rete o a un ruolo personalizzato assegnato come azioni necessarie dalla tabella seguente:
| Action | Name |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | Obbligatorio per creare, aggiornare, leggere ed eliminare una risorsa TAP di rete virtuale |
| Microsoft.Network/networkInterfaces/read | Necessaria per leggere la risorsa dell'interfaccia di rete in cui viene configurato il punto di accesso terminale |
| Microsoft.Network/tapConfigurations/* | Obbligatorio per creare, aggiornare, leggere ed eliminare la configurazione TAP in un'interfaccia di rete |
Limitations
- Rete virtuale TAP supporta solo le interfacce di rete di macchine virtuali (VM) come origini per il mirroring del traffico.
- Il traffico con mirroring può essere inviato solo a un servizio di bilanciamento del carico o a un'interfaccia di rete vm.
- Le macchine virtuali dietro un Load Balancer Basic non possono essere configurate come origine del mirroring. Load Balancer Basic è deprecato.
- Il traffico in ingresso da collegamento privato Service non è supportato per il mirroring.
- Le macchine virtuali in una rete virtuale con crittografia abilitata non possono essere configurate come origini di mirroring.
- Rete virtuale TAP non supporta IPv6 o SWIFT.
- Il peering di rete WAN virtuale (vWAN) non è supportato tra le reti virtuali di origine e di destinazione utilizzate con VTAP. È necessario utilizzare invece il peering diretto della rete virtuale.
Limitazioni dell'anteprima pubblica
- Le SKU di macchine virtuali v6 non sono supportate come VM di origine.
- Prima di aggiungere una macchina virtuale come origine, è prima necessario distribuire una risorsa TAP Rete virtuale e quindi arrestare (deallocare) e avviare la macchina virtuale di origine. Questa operazione è necessaria una sola volta per ogni macchina virtuale che verrà usata come origine. Se questo passaggio non viene completato, è possibile che venga visualizzato un errore che indica che la scheda di interfaccia di rete non è in fastpath.
- Quando una macchina virtuale viene aggiunta o rimossa come origine, la macchina virtuale può riscontrare tempi di inattività di rete fino a 60 secondi.
- Live Migration non è supportato per le macchine virtuali di origine. Live Migration verrà disabilitato per qualsiasi macchina virtuale configurata come origine.
Regioni supportate
- Asia orientale
- Southeast Asia
- Canada Central
- West Europe
- Germania centro-occidentale
- Central India
- Korea Central
- UAE North
- UK South
- Central US
- Stati Uniti centrali (EUAP)
- East US
- Stati Uniti orientali 2
- Stati Uniti orientali 2 EUAP
- Stati Uniti occidentali 3
Soluzioni dei partner per TAP di rete virtuale
Broker pacchetti di rete
| Partner | Product |
|---|---|
| Gigamon | GigaVUE Cloud Suite per Azure |
| Keysight | CloudLens |
Analisi della sicurezza, gestione delle prestazioni di rete/applicazioni
| Partner | Product |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Piattaforma NDR Open Corelight |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ Network Security |
| Extrahop | Reveal(x) |
| Progress | Flowmon |
| Bitdefender | Funzionalità di rilevamento e reazione estese di GravityZone per la rete |
| eSentire | ESentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence Rilevazione e risposta di rete |
| Arista Networks | Arista NDR |
Passaggi successivi
Informazioni su come creare un punto di accesso terminale di rete virtuale usando l'interfaccia della riga di comando o il portale di Azure.