Udostępnij za pośrednictwem

Co to jest szyfrowanie usługi Azure Virtual Network?

Szyfrowanie usługi Azure Virtual Network to funkcja sieci wirtualnych platformy Azure. Szyfrowanie sieci wirtualnej umożliwia bezproblemowe szyfrowanie i odszyfrowywanie ruchu między usługą Azure Virtual Machines przez utworzenie tunelu DTLS.

Szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu między maszynami wirtualnymi i zestawami skalowania maszyn wirtualnych w tej samej sieci wirtualnej. Szyfrowanie sieci wirtualnej szyfruje ruch między regionalnymi i globalnie równorzędnymi sieciami wirtualnymi. Aby uzyskać więcej informacji na temat komunikacji równorzędnej sieci wirtualnych, zobacz Komunikacja równorzędna sieci wirtualnych.

Szyfrowanie sieci wirtualnej zwiększa istniejące możliwości szyfrowania podczas przesyłania na platformie Azure. Aby uzyskać więcej informacji na temat szyfrowania na platformie Azure, zobacz Omówienie usługi Azure Encryption.

Wymagania

Szyfrowanie sieci wirtualnej ma następujące wymagania:

  • Szyfrowanie sieci wirtualnej jest obsługiwane w następujących wielkościach wystąpień wirtualnych maszyn:

    Typ Seria maszyn wirtualnych SKU VM
    Obciążenia ogólnego przeznaczenia Seria D V4
    Seria D V5
    Seria D V6    		 Seria Dv4 i Dsv4
    Seria Ddv4 i Ddsv4
    Seria Dav4 i Dasv4
    Seria Dv5 i Dsv5
    Seria Ddv5 i Ddsv5
    Seria Dlsv5 i Dldsv5
    Dasv5 i Dadsv5
    Seria Dasv6 i Dadsv6
    Seria Dalsv6 i Daldsv6
    Seria Dsv6
    Seria Dplsv6 i Dpldsv6
    Seria Dpsv6 i Dpdsv6
    Obciążenia intensywnie korzystające z pamięci Seria E V4
    Seria E V5
    Seria E V6
    Seria M V2
    Seria M V3    		 Seria Seria
    Seria
    Seria Seria
    Seria Seria
    Seria
    Seria Seria
    Seria
    Obciążenia robocze intensywnie korzystające z pamięci masowej Seria L V3 Seria LSv3
    Optymalizacja obliczeniowa Seria F V6 Falsv6-serii
    Famsv6-serii
    Fasv6-serii

  • Przyspieszona sieć musi być włączona w interfejsie sieciowym maszyny wirtualnej. Aby uzyskać więcej informacji na temat przyspieszonej sieci, zobacz Co to jest przyspieszona sieć?

  • Szyfrowanie jest stosowane tylko do ruchu między maszynami wirtualnymi w sieci wirtualnej. Ruch jest szyfrowany od prywatnego adresu IP do prywatnego adresu IP.

  • Ruch do nieobsługiwanych maszyn wirtualnych jest niezaszyfrowany. Użyj dzienników przepływu sieci wirtualnej, aby potwierdzić szyfrowanie przepływu między maszynami wirtualnymi. Aby uzyskać więcej informacji, zobacz Dzienniki przepływu sieci wirtualnej.

  • Uruchamianie/zatrzymywanie istniejących maszyn wirtualnych jest wymagane po włączeniu szyfrowania w sieci wirtualnej.

Dostępność

Szyfrowanie usługi Azure Virtual Network jest ogólnie dostępne we wszystkich regionach publicznych platformy Azure i jest obecnie w publicznej wersji zapoznawczej na platformie Azure Government i platformie Microsoft Azure obsługiwanej przez firmę 21Vianet.

Ograniczenia

Szyfrowanie usługi Azure Virtual Network ma następujące ograniczenia:

  • W scenariuszach, w których występuje usługa PaaS, maszyna wirtualna, na której jest hostowana usługa PaaS, określa, czy szyfrowanie sieci wirtualnej jest obsługiwane. Maszyna wirtualna musi spełniać wymienione wymagania.

  • W przypadku wewnętrznego modułu równoważenia obciążenia, wszystkie maszyny wirtualne znajdujące się za nim muszą być na obsługiwanej maszynie wirtualnej SKU.

  • AllowUnencrypted to jedyne obsługiwane wymuszanie podczas ogólnej dostępności. DropUnencrypted będzie obsługiwane w przyszłości.

  • Sieci wirtualne z włączonym szyfrowaniem nie obsługują usługi Azure DNS Private Resolver, Application Gateway i Azure Firewall.

  • Szyfrowanie sieci wirtualnej nie powinno być włączone w sieciach wirtualnych, które mają bramy usługi Azure ExpressRoute.

    • Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.

  • Sieci wirtualne skonfigurowane za pomocą usługi Azure Private Link nie obsługują szyfrowania sieci wirtualnej, dlatego szyfrowanie sieci wirtualnej nie powinno być włączone w tych sieciach wirtualnych.

  • Pula zaplecza wewnętrznego modułu równoważenia obciążenia nie powinna zawierać konfiguracji wtórnych adresów IPv4 interfejsu sieciowego, aby zapobiec awariom połączenia z modułem równoważenia obciążenia.

  • Szyfrowanie sieci wirtualnej nie powinno być włączone w sieciach wirtualnych, które mają poufne jednostki SKU maszyn wirtualnych przetwarzania na platformie Azure. Jeśli chcesz używać maszyn wirtualnych do przetwarzania poufnego platformy Azure w sieciach wirtualnych, w których włączono szyfrowanie sieci wirtualnej, wykonaj:

    • Włącz przyspieszoną sieć na karcie sieciowej maszyny wirtualnej, jeśli jest obsługiwana.
    • Jeśli przyspieszona sieć nie jest obsługiwana, zmień jednostkę SKU maszyny wirtualnej na taką, która obsługuje przyspieszoną sieć lub szyfrowanie sieci wirtualnej.

    Nie włączaj szyfrowania sieci wirtualnej, jeśli jednostka SKU maszyny wirtualnej nie obsługuje przyspieszonej sieci ani szyfrowania sieci wirtualnej.

Obsługiwane scenariusze

Szyfrowanie sieci wirtualnej jest obsługiwane w następujących scenariuszach:

Scenariusz Wsparcie
Maszyny wirtualne w tej samej sieci wirtualnej (w tym zestawy skalowania maszyn wirtualnych i ich wewnętrzny moduł równoważenia obciążenia) Obsługiwane w przypadku ruchu między maszynami wirtualnymi tych jednostek SKU.
Peerowanie sieci wirtualnej Obsługiwane dla ruchu sieciowego między maszynami wirtualnymi poprzez połączenia regionalnego peerowania.
Globalne wirtualne peering sieciowy Obsługa ruchu między maszynami wirtualnymi przez globalne kojarzenie.
Azure Kubernetes Service (AKS) — Obsługiwane w usłudze AKS przy użyciu Azure CNI (w trybie zwykłym lub nakładkowym), Kubenet lub BYOCNI: ruch węzłów i podów jest szyfrowany.
— Częściowo obsługiwane na AKS przy użyciu dynamicznego przypisywania adresu IP dla podów w Azure CNI (ze wskazanym podSubnetId): ruch węzła jest szyfrowany, ale ruch podów nie jest szyfrowany.
— Ruch sieciowy do zarządzanej płaszczyzny sterowania usługi AKS wychodzi z sieci wirtualnej, i w związku z tym nie stanowi elementu obszaru szyfrowania sieci wirtualnej. Jednak ten ruch jest zawsze szyfrowany za pośrednictwem protokołu TLS.

Uwaga

Inne usługi, które obecnie nie obsługują szyfrowania sieci wirtualnej, są uwzględnione w naszym przyszłym planie działania.

Powiązana zawartość