O que é a encriptação da Rede Virtual do Azure?
A criptografia da Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar facilmente o tráfego entre as Máquinas Virtuais do Azure criando um túnel DTLS.
A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.
A criptografia de rede virtual aprimora os recursos de criptografia existentes em trânsito no Azure. Para obter mais informações sobre criptografia no Azure, consulte Visão geral da criptografia do Azure.
Requisitos
A criptografia de rede virtual tem os seguintes requisitos:
A criptografia de Rede Virtual é suportada em tamanhos de instância de máquina virtual de uso geral e otimizados para memória, incluindo:
Type Série das VMs SKU da VM Cargas de trabalho de uso geral Série D V4
Série D V5
Série D V6Séries
Dv4 e Dsv4 Séries Ddv4 e Ddsv4
Séries
Dav4 e Dasv4 Séries
Dv5 e Dsv5 Séries Ddv5
e Dldsv5
Dasv5 e Dadsv5-series
Dasv6 e Dadsv6-series
Dalsv6 e Daldsv6-seriesCargas de trabalho de uso geral e com uso intensivo de memória Série E V4
Série E V5
Série E V6Séries
Ev4 e Esv4 Séries Edv4 e Edsv4
Séries
Eav4 e Easv4 Séries
Ev5 e Esv5 Séries
Edv5 e Edsv5 Séries Easv5 e Eadsv5 Séries
Easv6 e Eadsv6Cargas de trabalho de armazenamento intensivo LSv3 Série LSv3 Cargas de trabalho com uso intensivo de memória Série M Série Mv2 Msv2
e Mdsv2-series Memória
média Msv3 e Mdsv3 Série de memória médiaA Rede Acelerada deve ser habilitada na interface de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é rede acelerada?.
A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é encriptado de um endereço IP privado para um endereço IP privado.
O tráfego para Máquinas Virtuais não suportadas não está encriptado. Use os Logs de Fluxo de Rede Virtual para confirmar a criptografia de fluxo entre máquinas virtuais. Para obter mais informações, consulte Logs de fluxo de rede virtual.
O início/parada de máquinas virtuais existentes é necessário depois de habilitar a criptografia em uma rede virtual.
Disponibilidade
A criptografia da Rede Virtual do Azure está disponível em geral em todas as regiões públicas do Azure.
Limitações
A criptografia da Rede Virtual do Azure tem as seguintes limitações:
Em cenários em que um PaaS está envolvido, a máquina virtual onde o PaaS está hospedado dita se a criptografia de rede virtual é suportada. A máquina virtual deve atender aos requisitos listados.
Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem ser uma SKU de máquina virtual suportada.
AllowUnencrypted é a única imposição suportada na disponibilidade geral. A aplicação DropUnencrypted será suportada no futuro.
As redes virtuais com encriptação ativada não suportam o Azure DNS Private Resolver.
Cenários suportados
A criptografia de rede virtual é suportada nos seguintes cenários:
Cenário | Suporte |
---|---|
VMs na mesma rede virtual (incluindo conjuntos de dimensionamento de máquina virtual e seu balanceador de carga interno) | Suportado no tráfego entre VMs dessas SKUs. |
Peering de rede virtual | Suportado no tráfego entre VMs em emparelhamento regional. |
Peering de redes virtuais global | Suportado no tráfego entre VMs no emparelhamento global. |
Azure Kubernetes Service (AKS) | - Suportado no AKS usando o Azure CNI (modo regular ou de sobreposição), Kubenet ou BYOCNI: o tráfego de nós e pods é criptografado. - Parcialmente suportado no AKS usando o Azure CNI Dynamic Pod IP Assignment (podSubnetId especificado): o tráfego do nó é criptografado, mas o tráfego do pod não é criptografado. - O tráfego para o plano de controle gerenciado AKS sai da rede virtual e, portanto, não está no escopo para criptografia de rede virtual. No entanto, esse tráfego é sempre criptografado via TLS. |
Nota
Outros serviços que atualmente não suportam criptografia de rede virtual estão incluídos em nosso roteiro futuro.
Conteúdos relacionados
- Crie uma rede virtual com criptografia usando o portal do Azure.
- Perguntas frequentes (FAQ) sobre encriptação de rede virtual.
- O que é a Rede Virtual do Azure?