Wat is Azure Virtual Network-versleuteling?
Azure Virtual Network-versleuteling is een functie van Azure Virtual Networks. Met versleuteling van virtuele netwerken kunt u verkeer naadloos versleutelen en ontsleutelen tussen virtuele Azure-machines door een DTLS-tunnel te maken.
Met versleuteling van virtuele netwerken kunt u verkeer tussen virtuele machines en virtuele-machinesschaalsets binnen hetzelfde virtuele netwerk versleutelen. Met versleuteling van virtueel netwerk versleutelt u verkeer tussen regionale en wereldwijd gekoppelde virtuele netwerken. Zie Peering van virtuele netwerken voor meer informatie over peering van virtuele netwerken.
Versleuteling van virtuele netwerken verbetert bestaande versleuteling in transitmogelijkheden in Azure. Zie het overzicht van Azure-versleuteling voor meer informatie over versleuteling in Azure.
Vereisten
Versleuteling van virtueel netwerk heeft de volgende vereisten:
Versleuteling van virtueel netwerk wordt ondersteund voor algemeen gebruik en voor geheugen geoptimaliseerde vm-exemplaargrootten, waaronder:
Type VM-serie VM-SKU Workloads voor algemeen gebruik D-serie V4
D-serie V5Dv4- en Dsv4-serie
Ddv4- en Ddsv4-serie
Dav4- en Dasv4-serie
Dv5- en Dsv5-serie
Ddv5- en Ddsv5-serie
Dlsv5- en Dldsv5-serie Dasv5 en Dadsv5-serie
Algemene en geheugenintensieve workloads E-serie V4
E-serie V5Ev4- en Esv4-serie
Edv4 en Edsv4-serie
Eav4 en Easv4-serie
Ev5 en Esv5-serie
Edv5 en Edsv5-serie
Easv5 en Eadsv5-serieOpslagintensieve workloads LSv3 LSv3-serie Geheugenintensieve workloads M-serie Mv2-serie Msv2- en Mdsv2-serie
Medium Memory Msv3 en Mdsv3 Medium Memory Series
Versneld netwerken moet zijn ingeschakeld op de netwerkinterface van de virtuele machine. Zie Wat is Versneld netwerken?voor meer informatie over versneld netwerken.
Versleuteling wordt alleen toegepast op verkeer tussen virtuele machines in een virtueel netwerk. Verkeer wordt versleuteld van een privé-IP-adres naar een privé-IP-adres.
Verkeer naar niet-ondersteunde virtuele machines wordt niet versleuteld. Gebruik stroomlogboeken voor virtuele netwerken om stroomversleuteling tussen virtuele machines te bevestigen. Zie Stroomlogboeken voor virtuele netwerken voor meer informatie.
Het starten/stoppen van bestaande virtuele machines is vereist na het inschakelen van versleuteling in een virtueel netwerk.
Beschikbaarheid
Azure Virtual Network-versleuteling is algemeen beschikbaar in alle openbare Azure-regio's.
Beperkingen
Azure Virtual Network-versleuteling heeft de volgende beperkingen:
In scenario's waarin een PaaS is betrokken, bepaalt de virtuele machine waarop paaS wordt gehost, of versleuteling van virtuele netwerken wordt ondersteund. De virtuele machine moet voldoen aan de vermelde vereisten.
Voor interne load balancer moeten alle virtuele machines achter de load balancer een ondersteunde SKU voor virtuele machines zijn.
AllowUnencrypted is de enige ondersteunde afdwinging bij algemene beschikbaarheid. DropUnencrypted afdwinging wordt in de toekomst ondersteund.
Virtuele netwerken waarvoor versleuteling is ingeschakeld, bieden geen ondersteuning voor privé-resolver van Azure DNS.
Ondersteunde scenario's
Versleuteling van virtueel netwerk wordt ondersteund in de volgende scenario's:
| Scenario | Ondersteuning |
|---|---|
| VM's in hetzelfde virtuele netwerk (inclusief virtuele-machineschaalsets en hun interne load balancer) | Ondersteund voor verkeer tussen VM's vanuit deze SKU's. |
| Peering op virtueel netwerk | Ondersteund voor verkeer tussen VM's via regionale peering. |
| Wereldwijde VNET-peering | Ondersteund voor verkeer tussen VM's via wereldwijde peering. |
| Azure Kubernetes Service (AKS) | - Ondersteund op AKS met behulp van Azure CNI (normale modus of overlaymodus), Kubenet of BYOCNI: knooppunt- en podverkeer wordt versleuteld. - Gedeeltelijk ondersteund op AKS met behulp van Azure CNI Dynamic Pod IP Assignment (podSubnetId opgegeven): knooppuntverkeer wordt versleuteld, maar podverkeer wordt niet versleuteld. - Verkeer naar het beheerde besturingsvlak van AKS vanuit het virtuele netwerk en valt dus niet binnen het bereik voor versleuteling van virtuele netwerken. Dit verkeer wordt echter altijd versleuteld via TLS. |
Notitie
Andere services die momenteel geen ondersteuning bieden voor versleuteling van virtuele netwerken, worden opgenomen in onze toekomstige roadmap.
Gerelateerde inhoud
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor