Azure 仮想ネットワーク暗号化とは?

Azure 仮想ネットワーク暗号化は、Azure 仮想ネットワークの機能です。 仮想ネットワーク暗号化を使用すると、DTLS トンネルを作成することで、Azure 仮想マシン間のトラフィックをシームレスに暗号化および復号化できます。

仮想ネットワーク暗号化を使用すると、同じ仮想ネットワーク内の仮想マシンと仮想マシン スケール セット間のトラフィックを暗号化できます。 仮想ネットワーク暗号化により、リージョンとグローバルでピアリングされた仮想ネットワーク間のトラフィックが暗号化されます。 仮想ネットワーク ピアリングの詳細については、「仮想ネットワーク ピアリング」をご覧ください。

仮想ネットワーク暗号化により、Azure の既存の転送中の暗号化機能が強化されます。 Azure の暗号化の詳細については、「Azure 暗号化の概要」を参照してください。

要件

仮想ネットワーク暗号化には、次の要件があります。

• Virtual Network 暗号化は、次の仮想マシン インスタンス サイズでサポートされています。

  Type	VM シリーズ	VM の SKU
  汎用ワークロード	D シリーズ V4 D シリーズ V5 D シリーズ V6	Dv4 と Dsv4 シリーズ Ddv4 と Ddsv4 シリーズ Dav4 と Dasv4 シリーズ Dv5 と Dsv5 シリーズ Ddv5 と Ddsv5 シリーズ Dlsv5 と Dldsv5 シリーズ Dasv5 と Dadsv5 シリーズ Dasv6 と Dadsv6 シリーズ Dalsv6 と Daldsv6 シリーズ Dsv6 シリーズ
  メモリ集中型ワークロード	E シリーズ V4 E シリーズ V5 E シリーズ V6 M シリーズ V2 M シリーズ V3	Ev4 と Esv4 シリーズ Edv4 と Edsv4 シリーズ Eav4 と Easv4 シリーズ Ev5 と Esv5 シリーズ Edv5 と Edsv5 シリーズ Easv5 と Eadsv5 シリーズ Easv6 と Eadsv6 シリーズ Mv2 シリーズ Msv2 および Mdsv2 ミディアム メモリ シリーズ Msv3 および Mdsv3 ミディアム メモリ シリーズ
  ストレージ集中型ワークロード	L シリーズ V3	LSv3 シリーズ
  コンピューティングの最適化	F シリーズ V6	Falsv6 シリーズ Famsv6 シリーズ Fasv6 シリーズ

• 高速ネットワークを仮想マシンのネットワーク インターフェイスで有効にする必要があります。 高速ネットワークの詳細については、「高速ネットワークとは?」を参照してください。

• 暗号化は、仮想ネットワーク内の仮想マシン間のトラフィックにのみ適用されます。 トラフィックは、プライベート IP アドレス間で暗号化されます。

• サポートされていない仮想マシンへのトラフィックは暗号化されません。 仮想ネットワーク フロー ログを使用して、仮想マシン間のフロー暗号化を確認します。 詳細については、Virtual Network フロー ログに関する記事を参照してください。

• 仮想ネットワークで暗号化を有効にした後、既存の仮想マシンの開始/停止が必要になります。

可用性

Azure Virtual Network 暗号化は、すべての Azure パブリック リージョンで一般提供されており、現在、21Vianet が運営する Azure Government と Microsoft Azure ではパブリック プレビュー段階です。

制限事項

Azure Virtual Network 暗号化には、次の制限があります。

• PaaS が関係するシナリオでは、PaaS がホストされている仮想マシンによって、仮想ネットワーク暗号化がサポートされているかどうかが決まります。 仮想マシンは、一覧表示されている要件を満たしている必要があります。

• 内部ロード バランサーについては、ロード バランサーの背後にあるすべての仮想マシンは、サポートされている仮想マシン SKU である必要があります。

• AllowUnencrypted は、一般提供時にサポートされている唯一の強制です。 DropUnencrypted の強制は、今後サポートされる予定です。

• 暗号化が有効な仮想ネットワークでは、Azure DNS Private Resolver はサポートされていません。

サポートされるシナリオ

仮想ネットワーク暗号化がサポートされているのは以下のシナリオにおいてです。

シナリオ	サポート
同じ仮想ネットワーク内の仮想マシン (仮想マシン スケール セットとその内部ロード バランサーを含む)	これらの SKU の仮想マシン間のトラフィックでサポートされます。
仮想ネットワーク ピアリング	リージョン ピアリングを介した仮想マシン間のトラフィックでサポートされます。
グローバル仮想ネットワーク ピアリング	グローバル ピアリングを介した仮想マシン間のトラフィックでサポートされます。
Azure Kubernetes Service (AKS)	- Azure CNI (通常またはオーバーレイ モード)、kubenet、または BYOCNI を使用する AKS でサポートされます。ノードとポッドのトラフィックが暗号化されます。 - Azure CNI 動的ポッド IP 割り当て (podSubnetId を指定) を使用する AKS で部分的にサポートされます。ノード トラフィックは暗号化されますが、ポッド トラフィックは暗号化されません。 - AKS マネージド コントロール プレーンへのトラフィックは仮想ネットワークから送信されるため、仮想ネットワーク暗号化の対象外です。 ただし、このトラフィックは常に TLS 経由で暗号化されます。

Note

現在仮想ネットワーク暗号化をサポートしていないその他のサービスは、今後のロードマップに含まれています。

関連するコンテンツ

• Azure portal を使用して暗号化有りの仮想ネットワークを作成する。
• 仮想ネットワーク暗号化に関してよくあるご質問 (FAQ)。
• Azure Virtual Network とは