O que é a criptografia de Rede Virtual do Azure?

A criptografia de Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar perfeitamente o tráfego entre as Máquinas Virtuais do Microsoft Azure criando um túnel DTLS.

A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre o emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.

A criptografia de rede virtual aprimora a criptografia existente em recursos de trânsito no Azure. Para obter mais informações sobre criptografia no Azure, confira Visão geral da criptografia do Azure.

Requisitos

A criptografia de rede virtual tem os seguintes requisitos:

• A criptografia de Rede Virtual tem suporte nos seguintes tamanhos de instância de máquina virtual:

  Tipo	Série da VM	SKU da VM
  Cargas de trabalho de uso geral	D-series V4 D-series V5 D-series V6	Séries Dv4 e Dsv4 Séries Ddv4 e Ddsv4 Séries Dav4 e Dasv4 Séries Dv5 e Dsv5 Séries Ddv5 e Ddsv5 Séries Dlsv5 e Dldsv5 Séries Dasv5 e Dadsv5 Séries Dasv6 e Dadsv6 Séries Dalsv6 e Daldsv6 Séries Dsv6
  Cargas de trabalho com uso intensivo de memória	Série E V4 Série E V5 Série E V6 Série M V2 Série M V3	Séries Ev4 e Esv4 Séries Edv4 e Edsv4 Séries Eav4 e Easv4- Séries Ev5 e Esv5 Séries Edv5 e Edsv5 Séries Easv5 e Eadsv5 Séries Easv6 e Eadsv6 série Mv2 Séries Msv2 e Mdsv2 Medium Memory Séries Msv3 e Mdsv3 Medium Memory
  Cargas de trabalho com uso intensivo de armazenamento	Série L V3	Série LSv3
  Computação otimizada	Série F V6	Série Falsv6 Série Famsv6 Série Fasv6

• A Rede Acelerada deve ser habilitada no adaptador de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é Rede Acelerada?

• A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é criptografado de um endereço IP privado para um endereço IP privado.

• O tráfego para Máquinas Virtuais sem suporte não é criptografado. Use os Logs de Fluxo da Rede Virtual para confirmar a criptografia de fluxo entre máquinas virtuais. Para obter mais informações, confira Logs de fluxo de rede virtual.

• O início/parada de máquinas virtuais existentes pode ser necessário após habilitar a criptografia em uma rede virtual.

Disponibilidade

A criptografia de Rede Virtual do Azure está geralmente disponível em todas as regiões públicas do Azure e está atualmente em versão prévia pública no Azure Governamental e no Microsoft Azure operado pela 21Vianet.

Limitações

A encriptação da Rede Virtual Azure tem as seguintes limitações:

• Em cenários em que um PaaS está envolvido, a máquina virtual em que o PaaS está hospedado determina se há suporte para a criptografia de rede virtual. A máquina virtual deve atender aos requisitos listados.

• Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem ser um SKU de máquina virtual com suporte.

• AllowUnencrypted é a única imposição com suporte em disponibilidade geral. A imposição DropUnencrypted terá suporte no futuro.

• Redes virtuais com criptografia habilitada não dão suporte ao Resolvedor Privado de DNS do Azure.

Cenários com suporte

Há suporte para a criptografia de rede virtual nos seguintes cenários:

Cenário	Suporte
Máquinas virtuais na mesma rede virtual (incluindo conjuntos de dimensionamento de máquinas virtuais e seus balanceadores de carga internos)	Com suporte no tráfego entre máquinas virtuais desses SKUs.
Emparelhamento de rede virtual	Com suporte no tráfego entre máquinas virtuais em todo o peering regional.
Emparelhamento de rede virtual global	Com suporte no tráfego entre máquinas virtuais em todo o peering global.
AKS (Serviço de Kubernetes do Azure)	– Com suporte no AKS usando a CNI do Azure (modo regular ou de sobreposição), Kubenet ou BYOCNI: o tráfego de nós e pods é criptografado. – Parcialmente compatível com o AKS usando a Atribuição de IP do Pod Dinâmico da CNI do Azure (podSubnetId especificado): o tráfego de nó é criptografado, mas o tráfego de pod não. – O tráfego para o plano de controle gerenciado do AKS é oriundo da rede virtual e, portanto, não está no escopo da criptografia de rede virtual. No entanto, esse tráfego é sempre criptografado via TLS.

Observação

No nosso roteiro futuro, estão presentes outros serviços que, no momento, não dão suporte à criptografia de rede virtual.

Conteúdo relacionado

• Criar uma rede virtual com criptografia usando o portal do Azure.
• Perguntas frequentes sobre criptografia de rede virtual.
• O que é a Rede Virtual do Azure?