Sdílet prostřednictvím


Co je šifrování služby Azure Virtual Network?

Šifrování virtuální sítě Azure je funkce virtuálních sítí Azure. Šifrování virtuální sítě umožňuje bezproblémově šifrovat a dešifrovat provoz mezi virtuálními počítači Azure vytvořením tunelu DTLS.

Šifrování virtuální sítě umožňuje šifrovat provoz mezi virtuálními počítači a škálovacími sadami virtuálních počítačů ve stejné virtuální síti. Šifrování virtuální sítě šifruje provoz mezi regionálními a globálně partnerskými virtuálními sítěmi. Další informace o partnerském vztahu virtuálních sítí najdete v tématu Partnerské vztahy virtuálních sítí.

Šifrování virtuální sítě vylepšuje stávající šifrování v možnostech přenosu v Azure. Další informace o šifrování v Azure najdete v přehledu služby Azure Encryption.

Požadavky

Šifrování virtuální sítě má následující požadavky:

Dostupnost

Šifrování virtuální sítě Azure je obecně dostupné ve všech veřejných oblastech Azure a aktuálně je ve verzi Public Preview ve službě Azure Government a Microsoft Azure provozované společností 21Vianet.

Omezení

Šifrování virtuální sítě Azure má následující omezení:

  • Ve scénářích, ve kterých je součástí PaaS, určuje virtuální počítač, ve kterém je paaS hostovaný, jestli se podporuje šifrování virtuální sítě. Virtuální počítač musí splňovat uvedené požadavky.

  • V případě interního nástroje pro vyrovnávání zatížení musí být všechny virtuální počítače za nástrojem pro vyrovnávání zatížení podporovanou skladovou jednotkou virtuálního počítače.

  • AllowUnencrypted je jediné podporované vynucování v obecné dostupnosti. V budoucnu se bude podporovat vynucení dropUnencrypted .

  • Virtuální sítě s povoleným šifrováním nepodporují privátní překladač Azure DNS.

  • Virtuální sítě nakonfigurované pomocí služby Azure Private Link nepodporují šifrování virtuální sítě, takže v těchto virtuálních sítích by nemělo být povolené šifrování virtuální sítě.

  • Šifrování virtuální sítě by nemělo být povolené ve virtuálních sítích s důvěrnými výpočetními skladovými jednotkami virtuálních počítačů Azure. Pokud chcete používat důvěrné výpočetní virtuální počítače Azure ve virtuálních sítích, kde je povolené šifrování virtuální sítě, postupujte takto:

    • Pokud se podporuje, povolte akcelerované síťové služby na síťové kartě virtuálního počítače.
    • Pokud akcelerované síťové služby nejsou podporované, změňte skladovou položku virtuálního počítače na skladovou položku, která podporuje akcelerované síťové služby nebo šifrování virtuální sítě.

    Nepovolujte šifrování virtuální sítě, pokud skladová položka virtuálního počítače nepodporuje akcelerované síťové služby ani šifrování virtuální sítě.

Podporované scénáře

Šifrování virtuální sítě se podporuje v následujících scénářích:

Scénář Technická podpora
Virtuální počítače ve stejné virtuální síti (včetně škálovacích sad virtuálních počítačů a jejich interního nástroje pro vyrovnávání zatížení) Podporuje se provoz mezi virtuálními počítači z těchto skladových položek.
Peering virtuálních sítí Podporuje se provoz mezi virtuálními počítači napříč regionálními partnerskými vztahy.
Globální partnerský vztah virtuální sítě Podporuje se provoz mezi virtuálními počítači napříč globálním partnerským vztahem.
Azure Kubernetes Service (AKS) – Podporováno v AKS pomocí Azure CNI (běžný nebo překryvný režim), Kubenet nebo BYOCNI: provoz uzlů a podů je šifrovaný.
– Částečně podporovaná v AKS pomocí přiřazení dynamického podu Azure CNI (zadané podSubnetId): provoz uzlu je šifrovaný, ale provoz podů není šifrovaný.
– Přenosy do roviny řízení spravované AKS se odesílají z virtuální sítě, a proto nejsou v rozsahu šifrování virtuální sítě. Tento provoz se ale vždy šifruje přes protokol TLS.

Poznámka:

Další služby, které v současné době nepodporují šifrování virtuální sítě, jsou součástí našeho budoucího plánu.