Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A criptografia da Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar facilmente o tráfego entre as Máquinas Virtuais do Azure criando um túnel DTLS.
A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.
A criptografia de rede virtual aprimora os recursos de criptografia existentes em trânsito no Azure. Para obter mais informações sobre criptografia no Azure, consulte Visão geral da criptografia do Azure.
Requisitos
A criptografia de rede virtual tem os seguintes requisitos:
A criptografia de Rede Virtual é suportada nos seguintes tamanhos de instância de máquina virtual:
tipo Série de VMs SKU da Máquina Virtual Cargas de trabalho de uso geral Série D V4
Série D V5
Série D V6Séries Séries
Séries
Séries Séries
Séries
Dasv5 e Dadsv5-series
Dasv6 e Dadsv6-series
Séries Série
Séries
Séries Dpsv6 e Dpdsv6Cargas de trabalho com uso intensivo de memória Série E V4
Série E V5
Série E V6
Série M V2
Série M V3Séries Séries
Séries
Séries Séries
Séries
Séries Séries
Série
Série de memóriaCargas de trabalho de armazenamento intensivo Série L V3 Série LSv3 Otimizado para Computação Série F V6 Série Falsv6
Série Famsv6
Série Fasv6A Rede Acelerada deve ser habilitada na interface de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é rede acelerada?
A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é encriptado de um endereço IP privado para um endereço IP privado.
O tráfego para Máquinas Virtuais não suportadas não está encriptado. Utilize os Logs de Fluxo de Redes Virtuais para confirmar a encriptação do fluxo entre máquinas virtuais. Para obter mais informações, consulte Logs de fluxo de rede virtual.
O início/parada de máquinas virtuais existentes é necessário depois de habilitar a criptografia em uma rede virtual.
Disponibilidade
A encriptação da Rede Virtual do Azure está geralmente disponível em todas as regiões públicas do Azure e está atualmente em pré-visualização pública no Azure Government e no Microsoft Azure operado pela 21Vianet.
Limitações
A criptografia da Rede Virtual do Azure tem as seguintes limitações:
Em cenários em que um PaaS está envolvido, a máquina virtual onde o PaaS está hospedado dita se a criptografia de rede virtual é suportada. A máquina virtual deve atender aos requisitos listados.
Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem estar em uma SKU de máquina virtual suportada.
AllowUnencrypted é a única imposição suportada na disponibilidade geral. A aplicação da política DropUnencrypted será suportada no futuro.
As redes virtuais com criptografia ativada não oferecem suporte ao Resolvedor Privado de DNS do Azure, ao Gateway de Aplicativo e ao Firewall do Azure.
A Criptografia de Rede Virtual não deve ser habilitada em redes virtuais que tenham Gateways de Rota Expressa do Azure.
Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.
As redes virtuais configuradas com o serviço Azure Private Link não dão suporte à criptografia de Rede Virtual, portanto, a criptografia de Rede Virtual não deve ser habilitada nessas redes virtuais.
O pool de back-end de um balanceador de carga interno não deve incluir nenhuma configuração IPv4 secundária da interface de rede para evitar falhas de conexão com o balanceador de carga.
A criptografia de Rede Virtual não deve ser habilitada em redes virtuais que tenham SKUs de VM de computação confidencial do Azure. Se você quiser usar VMs de computação confidenciais do Azure em redes virtuais onde a criptografia de Rede Virtual está habilitada, então:
- Habilite a Rede Acelerada na NIC da VM, se houver suporte.
- Se a Rede Acelerada não for suportada, altere a SKU da VM para uma que ofereça suporte à Rede Acelerada ou à criptografia de Rede Virtual.
Não habilite a criptografia de Rede Virtual se a SKU da VM não oferecer suporte à Rede Acelerada ou à criptografia de Rede Virtual.
Cenários suportados
A criptografia de rede virtual é suportada nos seguintes cenários:
| Cenário | Suporte |
|---|---|
| Máquinas virtuais na mesma rede virtual (incluindo conjuntos de dimensionamento de máquinas virtuais e seu balanceador de carga interno) | Compatível com o tráfego entre máquinas virtuais destas SKUs. |
| Emparelhamento de rede virtual | Suportado no tráfego entre máquinas virtuais através do emparelhamento regional |
| Peering de redes virtuais globais | Suporte ao tráfego entre as máquinas virtuais através do emparelhamento global. |
| Serviço Kubernetes do Azure (AKS) | - Compatível com AKS usando Azure CNI (modo normal ou de sobreposição), Kubenet ou BYOCNI: o tráfego entre os nós e pods é criptografado. - Parcialmente suportado no AKS usando o Azure CNI Dynamic Pod IP Assignment (podSubnetId especificado): o tráfego do nó é criptografado, mas o tráfego do pod não é criptografado. - O tráfego para o plano de controlo gerido do AKS sai da rede virtual e, por isso, não está abrangido pela criptografia da rede virtual. No entanto, esse tráfego é sempre criptografado via TLS. |
Nota
Outros serviços que atualmente não suportam criptografia de rede virtual estão incluídos em nosso roteiro futuro.
Conteúdos relacionados
- Crie uma rede virtual com criptografia usando o portal do Azure.
- Perguntas frequentes (FAQ) sobre encriptação de rede virtual.
- O que é a Rede Virtual do Azure?