Co je šifrování služby Azure Virtual Network?

Šifrování virtuální sítě Azure je funkce virtuálních sítí Azure. Šifrování virtuální sítě umožňuje bezproblémově šifrovat a dešifrovat provoz mezi virtuálními počítači Azure vytvořením tunelu DTLS.

Šifrování virtuální sítě umožňuje šifrovat provoz mezi virtuálními počítači a škálovacími sadami virtuálních počítačů ve stejné virtuální síti. Šifrování virtuální sítě šifruje provoz mezi regionálními a globálně partnerskými virtuálními sítěmi. Další informace o partnerském vztahu virtuálních sítí najdete v tématu Partnerské vztahy virtuálních sítí.

Šifrování virtuální sítě vylepšuje stávající šifrování v možnostech přenosu v Azure. Další informace o šifrování v Azure najdete v přehledu služby Azure Encryption.

Požadavky

Šifrování virtuální sítě má následující požadavky:

• Šifrování virtuální sítě se podporuje v následujících velikostech instancí virtuálních počítačů:

  Typ	Řada VM	SKU virtuálního stroje
  Úlohy pro obecné účely	D-series V4 D-series V5 D-series V6	Řada Dv4 a Dsv4 Řada Ddv4 a Ddsv4 Řada Dav4 a Dasv4 Řada Dv5 a Dsv5 Řada Ddv5 a Ddsv5 Řada Dlsv5 a Dldsv5 Řada Dasv5 a Dadsv5 Řada Dasv6 a Dadsv6 Řada Dalsv6 a Daldsv6 Řada Dsv6 Řada Dplsv6 a Dpldsv6 Řada Dpsv6 a Dpdsv6
  Úlohy náročné na paměť	Řada E V4 řada E V5 řada E V6 řada M V2 řada M V3	Řada Ev4 a Esv4 Řada Edv4 a Edsv4 Řada Eav4 a Easv4 Řada Ev5 a Esv5 Řada Edv5 a Edsv5 Řada Easv5 a Eadsv5 Řada Easv6 a Eadsv6 Řada Epsv6 a Epdsv6 Řada Mv2 Řada střední paměti Msv2 a Mdsv2 Řada střední paměti Msv3 a Mdsv3
  Úlohy náročné na úložiště	L-series V3	Řada LSv3
  Optimalizované pro výpočty	F-series V6	Řada Falsv6 Řada Famsv6 Řada Fasv6

• Akcelerované síťové služby musí být povolené v síťovém rozhraní virtuálního počítače. Další informace o akcelerovaných síťových služeb najdete v tématu Co je akcelerované síťové služby?

• Šifrování se použije jenom na provoz mezi virtuálními počítači ve virtuální síti. Provoz se šifruje z privátní IP adresy na privátní IP adresu.

• Provoz do nepodporovaných virtuálních počítačů je nešifrovaný. K potvrzení šifrování toku mezi virtuálními počítači použijte protokoly toku virtuální sítě. Prohlédněte si protokoly toku virtuální sítě, chcete-li více informací.

• Po povolení šifrování ve virtuální síti se vyžaduje spuštění/zastavení existujících virtuálních počítačů.

Dostupnost

Šifrování virtuální sítě Azure je obecně dostupné ve všech veřejných oblastech Azure a aktuálně je ve verzi Public Preview ve službě Azure Government a Microsoft Azure provozované společností 21Vianet.

Omezení

Šifrování virtuální sítě Azure má následující omezení:

• Ve scénářích, ve kterých je součástí PaaS, určuje virtuální počítač, ve kterém je paaS hostovaný, jestli se podporuje šifrování virtuální sítě. Virtuální počítač musí splňovat uvedené požadavky.

• V případě interního vyrovnávače zatížení musí být všechny virtuální počítače za vyrovnávačem zatížení na podporovaném SKU virtuálního počítače.

• AllowUnencrypted je jediné podporované vynucování při obecné dostupnosti. V budoucnu se bude podporovat vynucení DropUnencrypted.

• Virtuální sítě s povoleným šifrováním nepodporují privátní překladač Azure DNS, službu Application Gateway a bránu Azure Firewall.

• Šifrování virtuální sítě by nemělo být povolené ve virtuálních sítích, které mají brány Azure ExpressRoute.

  • Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.

• Virtuální sítě nakonfigurované pomocí služby Azure Private Link nepodporují šifrování virtuální sítě, takže v těchto virtuálních sítích by nemělo být povolené šifrování virtuální sítě.

• Back-endový fond interního nástroje pro vyrovnávání zatížení nesmí obsahovat žádné konfigurace sekundárního síťového rozhraní IPv4, aby se zabránilo selhání připojení k nástroji pro vyrovnávání zatížení.

• Šifrování virtuální sítě by nemělo být povolené ve virtuálních sítích s důvěrnými výpočetními skladovými jednotkami virtuálních počítačů Azure. Pokud chcete používat důvěrné výpočetní virtuální počítače Azure ve virtuálních sítích, kde je povolené šifrování virtuální sítě, postupujte takto:

  • Pokud se podporuje, povolte akcelerované síťové služby na síťové kartě virtuálního počítače.
  • Pokud akcelerované síťové služby nejsou podporované, změňte skladovou položku virtuálního počítače na skladovou položku, která podporuje akcelerované síťové služby nebo šifrování virtuální sítě.

  Nepovolujte šifrování virtuální sítě, pokud skladová položka virtuálního počítače nepodporuje akcelerované síťové služby ani šifrování virtuální sítě.

Podporované scénáře

Šifrování virtuální sítě se podporuje v následujících scénářích:

Scénář	Technická podpora
Virtuální počítače ve stejné virtuální síti (včetně škálovacích sad virtuálních počítačů a jejich interního nástroje pro vyrovnávání zatížení)	Podporuje se provoz mezi virtuálními počítači z těchto SKUs.
Propojování virtuálních sítí	Podporován je provoz mezi virtuálními počítači v rámci regionálního propojení.
Globální propojování virtuálních sítí	Je podporován provoz mezi virtuálními počítači napříč globálním vzájemným propojením.
Azure Kubernetes Service (AKS)	– Podporováno v AKS pomocí Azure CNI (běžný nebo překryvný režim), Kubenet nebo BYOCNI: provoz uzlů a podů je šifrovaný. – Částečně podporované v AKS pomocí dynamického přiřazení IP podu Azure CNI (zadané 'podSubnetId'): provoz uzlu je šifrovaný, ale provoz podů není šifrovaný. – Provoz do spravovaného kontrolního rozhraní AKS odchází z virtuální sítě, a proto nespadají do rozsahu šifrování virtuální sítě. Tento provoz se ale vždy šifruje přes protokol TLS.

Poznámka:

Další služby, které v současné době nepodporují šifrování virtuální sítě, jsou součástí našeho budoucího plánu.

Související obsah

• Vytvořte virtuální síť s šifrováním pomocí webu Azure Portal.
• Nejčastější dotazy k šifrování virtuální sítě
• Co je Azure Virtual Network?