Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Virtual Network titkosítása az Azure Virtual Networks egyik funkciója. A virtuális hálózat titkosításával zökkenőmentesen titkosíthatja és visszafejtheti az Azure-beli virtuális gépek közötti forgalmat egy DTLS-alagút létrehozásával.
A virtuális hálózat titkosítása lehetővé teszi a virtuális gépek és a virtuálisgép-méretezési csoportok közötti forgalom titkosítását ugyanazon a virtuális hálózaton belül. A virtuális hálózat titkosítása titkosítja a regionális és a globálisan társviszonyban található virtuális hálózatok közötti forgalmat. A virtuális hálózatok közötti társviszony-létesítéssel kapcsolatos további információkért lásd a virtuális hálózatok közötti társviszony-létesítést ismertető témakört.
A virtuális hálózati titkosítás javítja a meglévő titkosítást az Azure átviteli képességeiben. Az Azure-beli titkosítással kapcsolatos további információkért tekintse meg az Azure-titkosítás áttekintését.
Követelmények
A virtuális hálózat titkosítása a következő követelményekkel rendelkezik:
A virtuális hálózat titkosítása a következő virtuálisgép-példányméreteken támogatott:
típus Virtuális gép-sorozat Virtuálisgép SKU Általános célú számítási feladatok D-sorozat V4
D sorozat V5
D sorozat V6Dv4 és Dsv4-sorozat
Ddv4 és Ddsv4-sorozat
Dav4 és Dasv4-sorozat
Dv5 és Dsv5-sorozat
Ddv5 és Ddsv5-sorozat
Dlsv5 és Dldsv5-sorozat
Dasv5 és Dadsv5-sorozat
Dasv6 és Dadsv6-sorozat
Dalsv6 és Daldsv6-sorozat
Dsv6-sorozat
Dplsv6 és Dpldsv6-sorozat
Dpsv6 és Dpdsv6-sorozatMemóriaigényes számítási feladatok E-sorozat V4
E-sorozat V5
E-sorozat V6
M sorozat V2
M sorozat V3Ev4 és Esv4 sorozat
Edv4 és Edsv4 sorozat
Eav4 és Easv4 sorozat
Ev5 és Esv5 sorozat
Edv5 és Edsv5 sorozat
Easv5 és Eadsv5 sorozat
Easv6 és Eadsv6 sorozat
Epsv6 és Epdsv6 sorozat
Mv2-sorozat
Msv2 és Mdsv2 Közepes memória sorozat
Msv3 és Mdsv3 közepes memória sorozatTárterület-igényes számítási feladatok L-sorozat V3 LSv3-sorozat Számításokhoz optimalizált F sorozatú V6 Falsv6-sorozat
Famsv6-sorozat
Fasv6-sorozatA gyorsított hálózatkezelést engedélyezni kell a virtuális gép hálózati adapterén. További információ a gyorsított hálózatkezelésről: Mi a gyorsított hálózatkezelés?
A titkosítás csak a virtuális hálózat virtuális gépei közötti forgalomra vonatkozik. A forgalom titkos IP-címről privát IP-címre van titkosítva.
A nem támogatott virtuális gépekre történő forgalom titkosítatlan. Virtuális hálózati folyamatnaplók használatával erősítse meg a virtuális gépek közötti forgalomtitkosítást. További információ: Virtuális hálózati folyamatnaplók.
A virtuális hálózat titkosításának engedélyezése után a meglévő virtuális gépek indítására/leállítására van szükség.
Elérhetőség
Az Azure Virtual Network-titkosítás általánosan elérhető minden nyilvános Azure-régióban, és jelenleg nyilvános előzetes verzióban érhető el az Azure Governmentben és a 21Vianet által üzemeltetett Microsoft Azure-ban.
Korlátozások
Az Azure Virtual Network titkosítása a következő korlátozásokkal rendelkezik:
Olyan helyzetekben, ahol PaaS-t használnak, az a virtuális gép, amelyben a PaaS üzemel, azt diktálja, hogy támogatott-e a virtuális hálózati titkosítás. A virtuális gépnek meg kell felelnie a felsorolt követelményeknek.
Belső terheléselosztó esetén a terheléselosztó mögötti összes virtuális gépnek támogatott virtuálisgép-termékváltozaton kell lennie.
Az AllowUnencrypted az egyetlen támogatott kényszerítés, amely általánosan elérhető. A DropUnencrypted érvényesítése a jövőben támogatva lesz.
A titkosítást engedélyező virtuális hálózatok nem támogatják az Azure DNS Private Resolvert, az Application Gatewayt és az Azure Firewallt.
A virtuális hálózati titkosítás nem engedélyezhető az Azure ExpressRoute-átjárókkal rendelkező virtuális hálózatokban.
Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.
Az Azure Private Link szolgáltatással konfigurált virtuális hálózatok nem támogatják a virtuális hálózatok titkosítását, ezért ezeken a virtuális hálózatokon nem szabad engedélyezni a virtuális hálózatok titkosítását.
A belső terheléselosztó háttércsoportja nem tartalmazhat hálózati interfész másodlagos IPv4-konfigurációkat, hogy elkerüljék a terheléselosztóhoz kapcsolódási hibákat.
A virtuális hálózatok titkosítását nem szabad engedélyezni olyan virtuális hálózatokban, amelyek azure-beli bizalmas számítási virtuálisgép-termékváltozatokkal rendelkeznek. Ha azure-beli bizalmas számítási virtuális gépeket szeretne használni olyan virtuális hálózatokban, amelyeken engedélyezve van a virtuális hálózat titkosítása, akkor:
- Ha támogatott, engedélyezze a gyorsított hálózatkezelést a virtuális gép hálózati adapterén.
- Ha a gyorsított hálózatkezelés nem támogatott, módosítsa a virtuálisgép-termékváltozatot olyanra, amely támogatja a gyorsított hálózatkezelést vagy a virtuális hálózat titkosítását.
Ne engedélyezze a virtuális hálózat titkosítását, ha a virtuálisgép-termékváltozat nem támogatja a gyorsított hálózatkezelést vagy a virtuális hálózat titkosítását.
Támogatott esetek
A virtuális hálózat titkosítása a következő esetekben támogatott:
| Forgatókönyv | Támogatás |
|---|---|
| Virtuális gépek ugyanabban a virtuális hálózaton (beleértve a virtuálisgép-méretezési csoportokat és azok belső terheléselosztóját) | Támogatott az ezen termékváltozatokból származó virtuális gépek közötti forgalom. |
| Virtuális hálózati összekapcsolás | Támogatott a virtuális gépek közötti forgalom a régiók közti összekapcsolás során. |
| Virtuális hálózatok közötti társviszony létesítése globálisan | Támogatott a virtuális gépek közötti forgalom globális összekapcsoltság esetén. |
| Azure Kubernetes Service (AKS) | – Az AKS-ben az Azure CNI (normál vagy átfedéses mód), a Kubenet vagy a BYOCNI használatával támogatott: a csomópont- és podforgalom titkosítva van. - Részben támogatott az AKS-ben az Azure CNI dinamikus pod IP-hozzárendelése (podSubnetId megadva): a csomópontforgalom titkosítva van, de a podforgalom nincs titkosítva. - Az AKS által felügyelt vezérlősík felé irányuló forgalom kiesik a virtuális hálózatról, így nincs hatóköre a virtuális hálózat titkosításának. Ez a forgalom azonban mindig TLS-en keresztül van titkosítva. |
Megjegyzés
A virtuális hálózat titkosítását jelenleg nem támogató egyéb szolgáltatások is bekerülnek a jövőbeli ütemtervbe.