Что такое шифрование виртуальной сети Azure?

Шифрование виртуальной сети Azure — это функция виртуальных сетей Azure. Шифрование виртуальной сети позволяет легко шифровать и расшифровывать трафик между виртуальными машинами Azure, создавая туннель DTLS.

Шифрование виртуальной сети позволяет шифровать трафик между виртуальными машинами и масштабируемыми наборами виртуальных машин в одной виртуальной сети. Шифрование виртуальной сети шифрует трафик между региональным и глобально пиринговым виртуальными сетями. Дополнительные сведения о пиринге виртуальных сетей см. в этой статье.

Шифрование виртуальной сети улучшает существующие возможности шифрования данных в процессе передачи в Azure. Дополнительные сведения о шифровании в Azure см. в обзоре шифрования Azure.

Требования

Шифрование виртуальной сети имеет следующие требования:

• Шифрование виртуальной сети поддерживается в следующих размерах экземпляров виртуальной машины:

  Тип	Серия ВМ	SKU виртуальной машины
  Рабочие нагрузки общего назначения	Серия D версии 4 D серии V5 D серии V6	Серия
  Рабочая нагрузка с интенсивным объемом памяти	E-series V4 E-series V5 E-series V6 M-series V2 M-series V3	Серия Ev4 и Esv4 Серия Edv4 и Edsv4 Серия Eav4 и Easv4 Серия Ev5 и Esv5 Серия Edv5 и Edsv5 Серия Easv5 и Eadsv5 Серия Easv6 и Eadsv6 Серия Epsv6 и Epdsv6 Серия Mv2 Серия Msv2 и Mdsv2 Medium Memory Серия Msv3 и Mdsv3 Medium Memory
  Интенсивные рабочие нагрузки хранилища	Серия L версии 3	Серия LSv3
  Оптимизировано для вычислений	F-серия V6	Серия Falsv6 Серия Famsv6 Серия Fasv6

• Ускорение сети должно быть включено в сетевом интерфейсе виртуальной машины. Дополнительные сведения об ускоренной сети см. в разделе "Что такое ускоренная сеть"?

• Шифрование применяется только к трафику между виртуальными машинами в виртуальной сети. Трафик шифруется с частного IP-адреса на частный IP-адрес.

• Трафик на неподдерживаемые виртуальные машины незашифрован. Используйте журналы потоков виртуальной сети для подтверждения шифрования потоков между виртуальными машинами. Для получения дополнительной информации см. Журналы потоков виртуальной сети.

• Запуск и остановка существующих виртуальных машин требуется после включения шифрования в виртуальной сети.

Доступность

Шифрование виртуальной сети Azure обычно доступно во всех общедоступных регионах Azure и в настоящее время находится в общедоступной предварительной версии в Azure для государственных организаций и Microsoft Azure, управляемых 21Vianet.

Ограничения

Шифрование виртуальной сети Azure имеет следующие ограничения:

• В сценариях, когда используется PaaS, виртуальная машина, в которой размещена PaaS, определяет, поддерживается ли шифрование виртуальной сети. Виртуальная машина должна соответствовать указанным требованиям.

• Для внутреннего балансировщика нагрузки все виртуальные машины за балансировщиком нагрузки должны находиться на поддерживаемом типе виртуальной машины SKU.

• AllowUnencrypted является единственным поддерживаемым применением в общедоступной версии. Принудительное применение DropUnencrypted будет поддерживаться в будущем.

• Виртуальные сети с включенным шифрованием не поддерживают частный сопоставитель Azure DNS, шлюз приложений и брандмауэр Azure.

• Шифрование виртуальной сети не должно быть включено в виртуальных сетях с шлюзами Azure ExpressRoute.

  • Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.

• Виртуальные сети, настроенные со службой Приватного канала Azure, не поддерживают шифрование виртуальной сети, поэтому шифрование виртуальной сети не должно быть включено в этих виртуальных сетях.

• Внутренний пул внутренней подсистемы балансировки нагрузки не должен включать вторичные конфигурации сетевого интерфейса IPv4, чтобы предотвратить сбои подключения к подсистеме балансировки нагрузки.

• Шифрование виртуальной сети не должно быть включено в виртуальных сетях, которые содержат SKU виртуальных машин для конфиденциальных вычислений Azure. Если вы хотите использовать виртуальные машины конфиденциальных вычислений Azure в виртуальных сетях, где включено шифрование виртуальной сети, то выполните следующие действия.

  • Включите ускоренную сеть в сетевом адаптере виртуальной машины, если она поддерживается.
  • Если ускорение сети не поддерживается, измените номер SKU виртуальной машины на один, поддерживающий ускоренное сетевое шифрование или шифрование виртуальной сети.

  Не включите шифрование виртуальной сети, если номер SKU виртуальной машины не поддерживает ускоренное сетевое шифрование или шифрование виртуальной сети.

Поддерживаемые сценарии

Шифрование виртуальной сети поддерживается в следующих сценариях:

Сценарий	Поддержка
Виртуальные машины в одной виртуальной сети (включая масштабируемые наборы виртуальных машин и внутреннюю подсистему балансировки нагрузки)	Поддерживается для трафика между виртуальными машинами из этих SKU.
Пиринг между виртуальными сетями	Поддерживается для трафика между виртуальными машинами через региональный пиринг.
Глобальный пиринг между виртуальными сетями	Поддерживается трафик между виртуальными машинами через глобальный пиринг.
Служба Azure Kubernetes (AKS)	— Поддерживается шифрование трафика узла и контейнеров в AKS с помощью Azure CNI (обычный или наложенный режим), Kubenet или BYOCNI. — Частично поддерживается в AKS с помощью Azure CNI при динамическом назначении IP-адресов пода (при указании podSubnetId): трафик узла шифруется, но трафик пода не шифруется. — Трафик к управляемой плоскости управления AKS выходит из виртуальной сети и, следовательно, не подпадает под действие шифрования виртуальной сети. Однако этот трафик всегда шифруется через TLS.

Замечание

Другие службы, которые в настоящее время не поддерживают шифрование виртуальной сети, включены в нашу будущую стратегию.

Связанный контент

• Создайте виртуальную сеть с шифрованием с помощью портала Azure.
• Часто задаваемые вопросы о шифровании виртуальной сети (часто задаваемые вопросы)
• Что такое виртуальная сеть Azure?