Compartir por


¿Qué es el cifrado de Azure Virtual Network?

El cifrado de Azure Virtual Network es una característica de las instancias de Azure Virtual Network. El cifrado de red virtual permite cifrar y descifrar el tráfico sin problemas entre Azure Virtual Machines mediante la creación de un túnel DTLS.

El cifrado de red virtual permite cifrar el tráfico entre Virtual Machines y Virtual Machine Scale Sets dentro de la misma red virtual. El cifrado de red virtual cifra el tráfico entre redes virtuales emparejadas de forma regional y global. Para más información sobre el emparejamiento de redes virtuales, consulte Emparejamiento de redes virtuales.

El cifrado de red virtual mejora el cifrado existente en las funcionalidades de tránsito en Azure. Para más información sobre el cifrado en Azure, consulte Introducción al cifrado de Azure.

Requisitos

El cifrado de Virtual Network tiene los siguientes requisitos:

Disponibilidad

El cifrado de Azure Virtual Network está disponible con carácter general en todas las regiones públicas de Azure y actualmente está en versión preliminar pública en Azure Government y Microsoft Azure operado por 21Vianet.

Limitaciones

El cifrado de Virtual Network tiene las siguientes limitaciones:

  • En escenarios en los que interviene PaaS, la máquina virtual en la que se hospeda PaaS determina si se admite el cifrado de red virtual. La máquina virtual debe cumplir los requisitos enumerados.

  • Para el equilibrador de carga interno, todas las máquinas virtuales detrás del equilibrador de carga deben ser un SKU de máquina virtual compatible.

  • AllowUnencrypted es la única aplicación admitida en disponibilidad general. El cumplimiento de DropUnencrypted se admitirá en el futuro.

  • Las redes virtuales con cifrado habilitado no admiten Azure DNS Private Resolver.

  • Las redes virtuales configuradas con el servicio Azure Private Link no admiten el cifrado de red virtual, por lo que el cifrado de red virtual no debe estar habilitado en estas redes virtuales.

  • El cifrado de red virtual no debe estar habilitado en redes virtuales que tengan SKU de máquina virtual de informática confidencial de Azure. Si desea usar máquinas virtuales de informática confidencial de Azure en redes virtuales en las que está habilitado el cifrado de red virtual, haga lo siguiente:

    • Habilite Redes aceleradas en el NIC de la máquina virtual si se admite.
    • Si no se admiten redes aceleradas, cambie la SKU de máquina virtual a una que admita redes aceleradas o cifrado de red virtual.

    No habilite el cifrado de red virtual si la SKU de máquina virtual no admite redes aceleradas ni cifrado de red virtual.

Escenarios admitidos

El cifrado de red virtual se admite en los escenarios siguientes:

Escenario Soporte técnico
Máquinas virtuales de la misma red virtual (incluidos los conjuntos de escalado de máquinas virtuales y su equilibrador de carga interno) Se admite el tráfico entre máquinas virtuales de estas SKU.
Emparejamiento de redes virtuales Se admite en el tráfico entre máquinas virtuales a través del emparejamiento regional.
Emparejamiento global de redes virtuales Se admite en el tráfico entre máquinas virtuales en el emparejamiento global.
Azure Kubernetes Service (AKS) - Compatible con AKS utilizando Azure CNI (modo normal o superpuesto), Kubenet o BYOCNI: el tráfico de nodos y pods está cifrado.
- Se admite parcialmente en AKS mediante la asignación de IP de pod dinámico de Azure CNI (podSubnetId especificado): el tráfico del nodo está cifrado, pero el tráfico del pod no está cifrado.
- Tráfico a la salida del plano de control administrado de AKS desde la red virtual y, por tanto, no está en el ámbito del cifrado de red virtual. Sin embargo, este tráfico siempre se cifra a través de TLS.

Nota:

Otros servicios que actualmente no admiten el cifrado de red virtual se incluyen en nuestro plan de desarrollo futuro.