O que é a encriptação da Rede Virtual do Azure?

A criptografia da Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar facilmente o tráfego entre as Máquinas Virtuais do Azure criando um túnel DTLS.

A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.

A criptografia de rede virtual aprimora os recursos de criptografia existentes em trânsito no Azure. Para obter mais informações sobre criptografia no Azure, consulte Visão geral da criptografia do Azure.

Requisitos

A criptografia de rede virtual tem os seguintes requisitos:

• A criptografia de Rede Virtual é suportada em tamanhos de instância de máquina virtual de uso geral e otimizados para memória, incluindo:

  Type	Série das VMs	SKU da VM
  Cargas de trabalho de uso geral	Série D V4 Série D V5 Série D V6	Séries Dv4 e Dsv4 Séries Ddv4 e Ddsv4 Séries Dav4 e Dasv4 Séries Dv5 e Dsv5 Séries Ddv5 e Dldsv5 Dasv5 e Dadsv5-series Dasv6 e Dadsv6-series Dalsv6 e Daldsv6-series
  Cargas de trabalho de uso geral e com uso intensivo de memória	Série E V4 Série E V5 Série E V6	Séries Ev4 e Esv4 Séries Edv4 e Edsv4 Séries Eav4 e Easv4 Séries Ev5 e Esv5 Séries Edv5 e Edsv5 Séries Easv5 e Eadsv5 Séries Easv6 e Eadsv6
  Cargas de trabalho de armazenamento intensivo	LSv3	Série LSv3
  Cargas de trabalho com uso intensivo de memória	Série M	Série Mv2 Msv2 e Mdsv2-series Memória média Msv3 e Mdsv3 Série de memória média

• A Rede Acelerada deve ser habilitada na interface de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é rede acelerada?.

• A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é encriptado de um endereço IP privado para um endereço IP privado.

• O tráfego para Máquinas Virtuais não suportadas não está encriptado. Use os Logs de Fluxo de Rede Virtual para confirmar a criptografia de fluxo entre máquinas virtuais. Para obter mais informações, consulte Logs de fluxo de rede virtual.

• O início/parada de máquinas virtuais existentes é necessário depois de habilitar a criptografia em uma rede virtual.

Disponibilidade

A criptografia da Rede Virtual do Azure está disponível em geral em todas as regiões públicas do Azure.

Limitações

A criptografia da Rede Virtual do Azure tem as seguintes limitações:

• Em cenários em que um PaaS está envolvido, a máquina virtual onde o PaaS está hospedado dita se a criptografia de rede virtual é suportada. A máquina virtual deve atender aos requisitos listados.

• Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem ser uma SKU de máquina virtual suportada.

• AllowUnencrypted é a única imposição suportada na disponibilidade geral. A aplicação DropUnencrypted será suportada no futuro.

• As redes virtuais com encriptação ativada não suportam o Azure DNS Private Resolver.

Cenários suportados

A criptografia de rede virtual é suportada nos seguintes cenários:

Cenário	Suporte
VMs na mesma rede virtual (incluindo conjuntos de dimensionamento de máquina virtual e seu balanceador de carga interno)	Suportado no tráfego entre VMs dessas SKUs.
Peering de rede virtual	Suportado no tráfego entre VMs em emparelhamento regional.
Peering de redes virtuais global	Suportado no tráfego entre VMs no emparelhamento global.
Azure Kubernetes Service (AKS)	- Suportado no AKS usando o Azure CNI (modo regular ou de sobreposição), Kubenet ou BYOCNI: o tráfego de nós e pods é criptografado. - Parcialmente suportado no AKS usando o Azure CNI Dynamic Pod IP Assignment (podSubnetId especificado): o tráfego do nó é criptografado, mas o tráfego do pod não é criptografado. - O tráfego para o plano de controle gerenciado AKS sai da rede virtual e, portanto, não está no escopo para criptografia de rede virtual. No entanto, esse tráfego é sempre criptografado via TLS.

Nota

Outros serviços que atualmente não suportam criptografia de rede virtual estão incluídos em nosso roteiro futuro.

Conteúdos relacionados

• Crie uma rede virtual com criptografia usando o portal do Azure.
• Perguntas frequentes (FAQ) sobre encriptação de rede virtual.
• O que é a Rede Virtual do Azure?