Was ist Azure Virtual Network-Verschlüsselung?
Die Azure Virtual Network-Verschlüsselung ist ein Feature von Azure Virtual Network. Mit der Verschlüsselung virtueller Netzwerke können Sie den Datenverkehr zwischen Azure Virtual Machines nahtlos ver- und entschlüsseln.
Mit der Verschlüsselung virtueller Netzwerke können Sie Datenverkehr zwischen Microsoft Azure Virtual Machines und Microsoft Azure Virtual Machine Scale Sets innerhalb desselben virtuellen Netzwerks verschlüsseln. Durch die Verschlüsselung virtueller Netzwerke wird der Datenverkehr zwischen regionalen und globalen virtuellen Peernetzwerken verschlüsselt. Weitere Informationen zum Peering virtueller Netzwerke finden Sie unter Peering in virtuellen Netzwerken.
Die Verschlüsselung virtueller Netzwerke verbessert die in Azure vorhandenen Verschlüsselungsfunktionen für die Übertragung. Weitere Informationen zur Verschlüsselung in Azure finden Sie unter Übersicht über die Azure-Verschlüsselung.
Anforderungen
Für die Verschlüsselung virtueller Netzwerke gelten die folgenden Anforderungen:
Die Verschlüsselung virtueller Netzwerke wird bei allgemeinen und arbeitsspeicheroptimierten VM-Instanzen folgender Größen unterstützt:
type VM-Serien VM-SKU Universelle Workloads D-Serie V4 D-Serie V5 Dv4- und Dsv4-Serie Ddv4- und Ddsv4-Serie Dav4- und Dasv4-Serie Dv5- und Dsv5-Serie Ddv5- und Ddsv5-Serie Dlsv5- und Dldsv5-Serie Dasv5- und Dadsv5-Serie Allgemeine und arbeitsspeicherintensive Workloads E-Serie V4 E-Serie V5 Ev4- und Esv4-Serie Edv4- und Edsv4-Serie Eav4- und Easv4-Serie Ev5- und Esv5-Serie Edv5- und Edsv5-Serie Easv5- und Eadsv5-Serie Speicherintensive Workloads LSv3 LSv3-Serie E/A-intensive Workloads M-Serie Mv2-Serie Msv2- und Mdsv2-Serie mit mittlerem Arbeitsspeicher Msv3- und Mdsv3-Serie mit mittlerem Arbeitsspeicher Der beschleunigte Netzwerkbetrieb muss für die Netzwerkschnittstelle des virtuellen Computers aktiviert sein. Weitere Informationen zum beschleunigten Netzwerkbetrieb finden Sie unter Was ist der beschleunigte Netzwerkbetrieb?.
Die Verschlüsselung wird nur auf den Datenverkehr zwischen den virtuellen Computern in einem virtuellen Netzwerk angewendet. Der Datenverkehr von einer privaten IP-Adresse an eine private IP-Adresse wird verschlüsselt.
Datenverkehr zu nicht unterstützten Virtual Machines ist unverschlüsselt. Verwenden Sie Virtual Network-Datenflussprotokolle, um sich von der Verschlüsselung der Datenflüsse zwischen virtuellen Computern zu überzeugen. Weitere Informationen finden Sie unter Datenflussprotokolle von virtuellen Netzwerken.
Nach dem Aktivieren der Verschlüsselung in einem virtuellen Netzwerk müssen vorhandene virtuelle Computer gestartet/beendet werden.
Verfügbarkeit
Die Microsoft Azure Virtual Network-Verschlüsselung ist in allen öffentlichen Azure-Regionen allgemein verfügbar.
Begrenzungen
Die Azure Virtual Network-Verschlüsselung hat die folgenden Einschränkungen:
In Szenarien, in denen ein PaaS beteiligt ist, bestimmt der virtuelle Computer, auf dem PaaS gehostet wird, ob die Verschlüsselung virtueller Netzwerke unterstützt wird. Der virtuelle Computer muss die aufgeführten Anforderungen erfüllen.
Für den internen Lastenausgleich müssen alle virtuellen Computer hinter dem Lastenausgleichsmodul eine unterstützte VM-SKU sein.
AllowUnencrypted ist die einzige unterstützte Erzwingung bei allgemeiner Verfügbarkeit. Die DropUnencrypted-Erzwingung wird in Zukunft unterstützt.
Virtuelle Netzwerke mit aktivierter Verschlüsselung unterstützen Azure DNS Private Resolver nicht.
Unterstützte Szenarios
Die Verschlüsselung virtueller Netzwerke wird in folgenden Szenarien unterstützt:
| Szenario | Unterstützung |
|---|---|
| VMs im selben virtuellen Netzwerk (einschließlich VM-Skalierungsgruppen und ihr interner Lastenausgleich) | Wird für den Datenverkehr zwischen VMs mit diesen SKUs unterstützt. |
| Peering in virtuellen Netzwerken | Wird für den Datenverkehr zwischen VMs über regionales Peering unterstützt. |
| Globales Peering virtueller Netzwerke | Wird für den Datenverkehr zwischen VMs über globales Peering unterstützt. |
| Azure Kubernetes Service (AKS) | - Wird unter AKS mit Azure CNI (regulär oder Überlagerungsmodus), Kubenet oder BYOCNI unterstützt: Knoten- und Poddatenverkehr wird verschlüsselt. - Teilweise unterstützt unter AKS mit dynamischer Pod-IP-Zuweisung von Azure CNI (podSubnetId angegeben): Knotendatenverkehr wird verschlüsselt, Poddatenverkehr hingegen nicht. - Der ausgehende Datenverkehr zur verwalteten AKS-Steuerungsebene erfolgt über das virtuelle Netzwerk und unterliegt daher nicht der Verschlüsselung virtueller Netzwerke. Dieser Datenverkehr wird jedoch immer über TLS verschlüsselt. |
Hinweis
Andere Dienste, die derzeit keine Verschlüsselung virtueller Netzwerke unterstützen, sind in unserer zukünftigen Roadmap enthalten.
Zugehöriger Inhalt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für