Что такое шифрование azure виртуальная сеть?

Шифрование виртуальная сеть Azure — это функция виртуальная сеть Azure. Шифрование виртуальной сети позволяет легко шифровать и расшифровывать трафик между Azure Виртуальные машины путем создания туннеля DTLS.

Шифрование виртуальной сети позволяет шифровать трафик между Виртуальные машины и масштабируемыми наборами Виртуальные машины в одной виртуальной сети. Шифрование виртуальной сети шифрует трафик между региональным и глобально пиринговым виртуальными сетями. Дополнительные сведения о пиринге виртуальных сетей см. в этой статье.

Шифрование виртуальной сети повышает существующую возможность передачи данных в Azure. Дополнительные сведения о шифровании в Azure см. в обзоре шифрования Azure.

Требования

Шифрование виртуальной сети имеет следующие требования:

• виртуальная сеть шифрование поддерживается в следующих размерах экземпляров виртуальной машины:

  Тип	Серия виртуальной машины	SKU виртуальной машины
  Рабочие нагрузки общего назначения	Серия D версии 4 D серии V5 D серии V6	Dv4 и Dsv4-series Ddv4 и Ddsv4-series Dav4 и Dasv4-series Dv5 и Dsv5-series Ddv5 и Ddsv5-series Dlsv5 и Dldsv5-series Dasv5 и Dadsv5-series Dasv6 и Dadsv6-series Dalsv6 и Daldsv6-series Dsv6
  Рабочая нагрузка с интенсивным объемом памяти	E-series V4 E-series V5 E-series V6 M-series V2 M-series V3	Ev4 и Esv4-series Edv4 и Edsv4 серии Eav4 и Easv4-series Ev5 и Esv5-series Edv5 и Edsv5-series Easv5 и Eadsv5-series Easv6 и Eadsv6-series Mv2-series Msv2 и Mdsv2 Medium Memory series Серия средней памяти Msv3 и Mdsv3
  Интенсивные рабочие нагрузки хранилища	Серия L версии 3	Серия LSv3
  Оптимизированные для вычислений	F-серия V6	Famsv6 серии Famsv6 серии Fasv6 серии Fasv6

• Ускорение сети должно быть включено в сетевом интерфейсе виртуальной машины. Дополнительные сведения об ускоренной сети см. в разделе "Что такое ускоренная сеть"?

• Шифрование применяется только к трафику между виртуальными машинами в виртуальной сети. Трафик шифруется с частного IP-адреса на частный IP-адрес.

• Трафик к неподдерживаемой Виртуальные машины незашифрован. Используйте журналы потоков виртуальная сеть для подтверждения шифрования потока между виртуальными машинами. Дополнительные сведения см . в журналах потоков виртуальной сети.

• Запуск и остановка существующих виртуальных машин требуется после включения шифрования в виртуальной сети.

Availability

Шифрование azure виртуальная сеть обычно доступно во всех общедоступных регионах Azure и в настоящее время находится в общедоступной предварительной версии в Azure для государственных организаций и Microsoft Azure, управляемых 21Vianet.

Ограничения

Шифрование azure виртуальная сеть имеет следующие ограничения:

• В сценариях, когда используется PaaS, виртуальная машина, в которой размещена PaaS, определяет, поддерживается ли шифрование виртуальной сети. Виртуальная машина должна соответствовать указанным требованиям.

• Для внутренней подсистемы балансировки нагрузки все виртуальные машины за подсистемой балансировки нагрузки должны быть поддерживаемым номером SKU виртуальной машины.

• AllowUnencrypted является единственным поддерживаемым применением в общедоступной версии. Принудительное применение DropUnencrypted будет поддерживаться в будущем.

• Виртуальные сети с включенным шифрованием не поддерживают частный сопоставитель Azure DNS.

• Виртуальные сети, настроенные с помощью службы Приватный канал Azure, не поддерживают шифрование виртуальная сеть, поэтому виртуальная сеть шифрование не должно быть включено в этих виртуальных сетях.

• виртуальная сеть шифрование не должно быть включено в виртуальных сетях с SKU конфиденциальных вычислений Azure. Если вы хотите использовать виртуальные машины конфиденциальных вычислений Azure в виртуальных сетях, где включено шифрование виртуальная сеть, выполните следующие действия.

  • Включите ускоренную сеть в сетевом адаптере виртуальной машины, если она поддерживается.
  • Если ускорение сети не поддерживается, измените номер SKU виртуальной машины на один, поддерживающий ускорение сети или шифрование виртуальная сеть.

  Не включите виртуальная сеть шифрование, если номер SKU виртуальной машины не поддерживает ускорение сети или шифрование виртуальная сеть.

Поддерживаемые сценарии

Шифрование виртуальной сети поддерживается в следующих сценариях:

Сценарий	Поддержка
Виртуальные машины в одной виртуальной сети (включая масштабируемые наборы виртуальных машин и внутреннюю подсистему балансировки нагрузки)	Поддерживается для трафика между виртуальными машинами из этих номеров SKU.
Пиринг между виртуальными сетями	Поддерживается для трафика между виртуальными машинами между региональным пирингом.
Глобальный пиринг между виртуальными сетями	Поддерживается для трафика между виртуальными машинами между глобальным пирингом.
Служба Azure Kubernetes (AKS)	— Поддерживается в AKS с помощью Azure CNI (обычный или наложенный режим), Kubenet или BYOCNI: трафик узла и pod шифруется. — Частично поддерживается в AKS с помощью динамического назначения IP-адресов Pod Azure CNI (podSubnetId, указанный): трафик узла шифруется, но трафик pod не шифруется. — трафик к исходящего трафика управляемой плоскости управления AKS из виртуальной сети и поэтому не является областью шифрования виртуальной сети. Однако этот трафик всегда шифруется через TLS.

Примечание.

Другие службы, которые в настоящее время не поддерживают шифрование виртуальной сети, включены в нашу будущую стратегию.

Связанный контент

• Создайте виртуальную сеть с шифрованием с помощью портал Azure.
• Часто задаваемые вопросы о шифровании виртуальной сети (часто задаваемые вопросы)
• Что такое виртуальная сеть Azure?