Qu’est-ce que le chiffrement du réseau virtuel Microsoft Azure ?
Le chiffrement du réseau virtuel Microsoft Azure est une fonctionnalité des réseaux virtuels Azure. Le chiffrement de réseau virtuel vous permet de chiffrer et de déchiffrer en toute transparence le trafic entre machines virtuelles Azure en créant un tunnel DTLS.
Le chiffrement de réseau virtuel vous permet de chiffrer le trafic entre Machines Virtuelles et Virtual Machine Scale Sets au sein du même réseau virtuel. Le chiffrement de réseau virtuel chiffre également le trafic entre réseaux virtuels appairés régionalement et globalement. Pour plus d’informations sur le peering du réseau virtuel, consultez Peering de réseaux virtuels.
Le chiffrement de réseau virtuel améliore le chiffrement existant dans les fonctionnalités de transit dans Azure. Pour plus d’informations sur le chiffrement dans Azure, consultez Vue d’ensemble du chiffrement Azure.
Spécifications
Le chiffrement de réseau virtuel a les exigences suivantes :
Le chiffrement de réseau virtuel est pris en charge sur les tailles d’instance de machine virtuelle suivantes :
Type Série de machine virtuelle Référence de la machine virtuelle Charges de travail à usage général Série D V4
série D V5
série-D V6Dv4 et Dsv4-series
Ddv4 and Ddsv4-series
Dav4 et Dasv4-series
Dv5 et Dsv5-series
Ddv5 et Ddsv5-series
Dlsv5 et Dldsv5-series
Dasv5 et Dadsv5-series
Dasv6 et Dadsv6-series
Dalsv6 et Daldsv6-series
Dsv6-seriesCharges de travail d’utilisation intensive de la mémoire Série E4
série E V5
série E V6
série M V2
série M V3Ev4 and Esv4-series
Edv4 and Edsv4-series
Eav4 and Easv4-series
Ev5 and Esv5-series
Edv5 and Edsv5-series
Easv5 and Eadsv5-series
Easv6 and Eadsv6-series
Mv2-series
Msv2 and Mdsv2 Medium Memory series
Msv3 and Mdsv3 Medium Memory seriesCharges de travail d’utilisation intensive du stockage Série L, V3 Séries LSv3 Optimisé pour le calcul Série F, V6 Série Falsv6
série Famsv6
série Fasv6La mise en réseau accélérée doit être activée sur l’interface réseau de la machine virtuelle. Pour plus d’informations sur les performances réseau accélérées, consultez Présentation des performances réseau accélérées.
Le chiffrement est appliqué uniquement au trafic entre les machines virtuelles d’un réseau virtuel. Le trafic est chiffré d’une adresse IP privée vers une adresse IP privée.
Le trafic vers des Machines Virtuelles non prises en charge n’est pas chiffré. Utilisez les journaux de flux de réseau virtuel pour confirmer le chiffrement de flux entre les machines virtuelles. Pour en savoir plus, consultez Journaux de flux de réseau virtuel.
Le démarrage/l’arrêt des machines virtuelles existantes est nécessaire après l’activation du chiffrement dans un réseau virtuel.
Disponibilité
Le chiffrement de réseau virtuel Azure est généralement disponible dans toutes les régions publiques Azure et est actuellement en préversion publique dans Azure Government et Microsoft Azure géré par 21Vianet.
Limites
Le chiffrement du réseau virtuel Azure a les limitations suivantes :
Dans les scénarios où un PaaS est impliqué, la machine virtuelle sur laquelle le PaaS est hébergé détermine si le chiffrement de réseau virtuel est pris en charge. La machine virtuelle doit répondre aux exigences répertoriées.
Pour l’équilibreur de charge interne, toutes les machines virtuelles derrière l’équilibreur de charge doivent être une référence SKU de machine virtuelle prise en charge.
AllowUncrypted est la seule application prise en charge au niveau de la disponibilité générale. L’application de DropUnencrypted sera prise en charge dans le futur.
Les réseaux virtuels avec chiffrement activé ne prennent pas en charge Azure DNS Private Resolver.
Les réseaux virtuels configurés avec le service Azure Private Link ne prennent pas en charge le chiffrement de réseau virtuel. Par conséquent, le chiffrement de réseau virtuel ne doit pas être activé sur ces réseaux virtuels.
Le chiffrement de réseau virtuel ne doit pas être activé dans les réseaux virtuels qui ont des références SKU de machine virtuelle d’informatique confidentielle Azure. Si vous souhaitez utiliser des machines virtuelles d’informatique confidentielle Azure dans des réseaux virtuels où le chiffrement de réseau virtuel est activé, effectuez ces étapes :
- Activez les performances réseau accélérées sur la carte réseau de la machine virtuelle, si elles sont prises en charge.
- Si les performances réseau accélérées ne sont pas prises en charge, remplacez la référence SKU de machine virtuelle par une référence SKU qui prend en charge les performances réseau accélérées ou le chiffrement de réseau virtuel.
N’activez pas le chiffrement du réseau virtuel si la référence SKU de machine virtuelle ne prend pas en charge les performances réseau accélérées ou le chiffrement de réseau virtuel.
Scénarios pris en charge
Le chiffrement de réseau virtuel est pris en charge dans les scénarios suivants :
| Scénario | Support |
|---|---|
| Machines virtuelles du même réseau virtuel (y compris les groupes de machines virtuelles identiques et leur équilibreur de charge interne) | Pris en charge sur le trafic entre les machines virtuelles à partir de ces références SKU. |
| Appairage de réseaux virtuels | Prise en charge du trafic entre machines virtuelles entre le peering régional. |
| Appairage global de réseaux virtuels | Prise en charge du trafic entre machines virtuelles entre le peering global. |
| Azure Kubernetes Service (AKS) | - Pris en charge sur AKS à l’aide d’Azure CNI (mode standard ou de superposition), Kubenet ou BYOCNI : le trafic de nœud et de pod est chiffré. - Partiellement pris en charge sur AKS à l’aide de l’attribution IP de pod dynamique Azure CNI (podSubnetId spécifié) : le trafic de nœud est chiffré, mais le trafic de pod n’est pas chiffré. - Le trafic vers le plan de contrôle managé AKS sort du réseau virtuel et n’est donc pas dans l’étendue du chiffrement du réseau virtuel. Toutefois, ce trafic est toujours chiffré via TLS. |
Remarque
D’autres services qui ne prennent actuellement pas en charge le chiffrement de réseau virtuel sont inclus dans notre feuille de route future.