Che cos'è la crittografia della rete virtuale di Azure?

La crittografia della rete virtuale di Azure è una funzionalità delle reti virtuali di Azure. La crittografia della rete virtuale consente di eseguire la crittografia e la decrittografia del traffico senza problemi tra macchine virtuali di Azure creando un tunnel DTLS.

La crittografia della rete virtuale abilita la crittografia del traffico tra macchine virtuali e set di scalabilità di macchine virtuali all'interno della stessa rete virtuale. La crittografia della rete virtuale esegue la crittografia del traffico tra reti virtuali con peering a livello di area e globale. Per altre informazioni sul peering delle reti virtuali, vedere Peering di rete virtuale.

La crittografia di rete virtuale migliora la crittografia esistente nelle funzionalità in transito in Azure. Per altre informazioni sulla crittografia in Azure, vedere Panoramica della crittografia di Azure.

Requisiti

La crittografia della rete virtuale presenta i requisiti seguenti:

• La crittografia della rete virtuale è supportata nelle dimensioni dell'istanza di macchina virtuale ottimizzata per la memoria e l'utilizzo generico, tra cui:

  Type	Serie di VM	SKU di VM
  Carichi di lavoro per utilizzo generico	Serie D V4 Serie D V5 Serie D V6	Serie Dv4 e Dsv4 Serie Ddv4 e Ddsv4 SerieDav4 e Dasv4 Serie Dv5 e Dsv5 Serie Ddv5 e Ddsv5 Serie Dlsv5 e Dldsv5 Serie Dasv5 e Dadsv5 Serie Dasv6 e Dadsv6 Serie Dalsv6 e Daldsv6
  Carichi di lavoro per utilizzo generico e intensivo della memoria	Serie E4 Serie E V5 Serie E V6	Serie Ev4 e Esv4 Serie Edv4 e Edsv4 Serie Eav4 e Easv4 Serie Ev5 e Esv5 Serie Edv5 e Edsv5 Serie Easv5 e Eadsv5 Serie Easv6 e Eadsv6
  Carichi di lavoro a elevato utilizzo di archiviazione	LSv3	Serie LSv3
  Carichi di lavoro a elevato utilizzo di memoria	Serie M	Serie Mv2 Memoria media serie Msv2 e Mdsv2 Memoria media serie Msv3 e Mdsv3

• La rete accelerata deve essere abilitata nell'interfaccia di rete della macchina virtuale. Per altre informazioni sulla rete accelerata, vedere Che cos'è la rete accelerata?.

• La crittografia viene applicata solo al traffico tra macchine virtuali in una rete virtuale. Il traffico viene crittografato da un indirizzo IP privato a un indirizzo IP privato.

• Il traffico verso macchine virtuali non supportate non è crittografato. Usare i log del flusso di rete virtuale per confermare la crittografia del flusso tra macchine virtuali. Per altre informazioni, vedere Log dei flussi della rete virtuale.

• L'avvio/arresto delle macchine virtuali esistenti è richiesto dopo avere abilitato la crittografia in una rete virtuale.

Disponibilità

La crittografia della rete virtuale di Microsoft Azure è disponibile a livello generale in tutte le aree pubbliche di Azure.

Limiti

La crittografia della rete virtuale di Microsoft Azure presenta le limitazioni seguenti:

• Negli scenari in cui è coinvolto un PaaS, la macchina virtuale in cui è ospitato PaaS determina se la crittografia della rete virtuale è supportata. La macchina virtuale deve soddisfare i requisiti elencati.

• Per il servizio di bilanciamento del carico interno, tutte le macchine virtuali dietro il servizio di bilanciamento del carico devono essere uno SKU di macchina virtuale supportato.

• AllowUnencrypted è l'unica applicazione supportata per la disponibilità generale. La tutela DropUnencrypted sarà supportata in futuro.

• Le reti virtuali con crittografia abilitata non supportano il Resolver privato DNS di Azure.

Scenari supportati

La crittografia di rete virtuale è supportata negli scenari seguenti:

Scenario	Supporto tecnico
Macchine virtuali nella stessa rete virtuale (inclusi i set di scalabilità di macchine virtuali e il servizio di bilanciamento del carico interno)	Supportato sul traffico tra macchine virtuali da questi SKU.
Peering di rete virtuale	Supportato sul traffico tra macchine virtuali tra peering a livello di area.
Peering di rete virtuale globale	Supportato sul traffico tra macchine virtuali attraverso il peering globale.
Servizio Azure Kubernetes (AKS)	- Supportato nel servizio Azure Kubernetes usando Azure CNI (modalità normale o sovrapposta), Kubenet o BYOCNI: il traffico del nodo e del pod è crittografato. - Parzialmente supportato nel servizio Azure Kubernetes usando l'assegnazione di IP pod dinamici CNI (podSubnetId specificato): il traffico del nodo viene crittografato, ma il traffico dei pod non è crittografato. - Traffico verso il piano di controllo gestito del servizio Azure Kubernetes in uscita dalla rete virtuale e pertanto non rientra nell'ambito della crittografia della rete virtuale. Tuttavia, questo traffico viene sempre crittografato tramite TLS.

Nota

Altri servizi che attualmente non supportano la crittografia della rete virtuale sono inclusi nella roadmap futura.

Contenuto correlato

• Creare una rete virtuale con crittografia usando il portale di Azure.
• Domande frequenti sulla crittografia della rete virtuale.
• Che cos'è Rete virtuale di Azure?