Dela via


Vad är Azure Virtual Network-kryptering?

Azure Virtual Network-kryptering är en funktion i Azure Virtual Networks. Med kryptering av virtuella nätverk kan du sömlöst kryptera och dekryptera trafik mellan virtuella Azure-datorer genom att skapa en DTLS-tunnel.

Med kryptering av virtuella nätverk kan du kryptera trafik mellan virtuella datorer och vm-skalningsuppsättningar i samma virtuella nätverk. Kryptering av virtuella nätverk krypterar trafik mellan regionala och globalt peer-kopplade virtuella nätverk. Mer information om peering för virtuella nätverk finns i Peering för virtuella nätverk.

Kryptering av virtuella nätverk förbättrar befintlig kryptering i överföringsfunktioner i Azure. Mer information om kryptering i Azure finns i Översikt över Azure-kryptering.

Krav

Kryptering av virtuella nätverk har följande krav:

Tillgänglighet

Azure Virtual Network-kryptering är allmänt tillgängligt i alla offentliga Azure-regioner och är för närvarande i offentlig förhandsversion i Azure Government och Microsoft Azure som drivs av 21Vianet.

Begränsningar

Azure Virtual Network-kryptering har följande begränsningar:

  • I scenarier där en PaaS är involverad avgör den virtuella dator där PaaS finns om kryptering för virtuella nätverk stöds. Den virtuella datorn måste uppfylla de angivna kraven.

  • För intern lastbalanserare måste alla virtuella datorer bakom lastbalanseraren vara en SKU för virtuella datorer som stöds.

  • AllowUnencrypted är det enda som stöds vid allmän tillgänglighet. DropUnencrypted-tillämpning kommer att stödjas i framtiden.

  • Virtuella nätverk med kryptering aktiverat stöder inte azure DNS Private Resolver.

  • Virtuella nätverk som konfigurerats med Azure Private Link-tjänsten stöder inte kryptering av virtuella nätverk, så kryptering i virtuella nätverk bör inte aktiveras i dessa virtuella nätverk.

  • Kryptering av virtuella nätverk bör inte aktiveras i virtuella nätverk som har azure confidential computing VM SKU:er. Om du vill använda virtuella Azure-datorer för konfidentiell databehandling i virtuella nätverk där kryptering för virtuellt nätverk är aktiverat:

    • Aktivera accelererat nätverk på den virtuella datorns nätverkskort om det stöds.
    • Om accelererat nätverk inte stöds ändrar du den virtuella datorns SKU till en som stöder accelererat nätverk eller kryptering av virtuella nätverk.

    Aktivera inte kryptering för virtuellt nätverk om vm-SKU:n inte stöder accelererat nätverk eller kryptering av virtuella nätverk.

Stödda scenarier

Kryptering av virtuella nätverk stöds i följande scenarier:

Scenario Support
Virtuella datorer i samma virtuella nätverk (inklusive vm-skalningsuppsättningar och deras interna lastbalanserare) Stöds för trafik mellan virtuella datorer från dessa SKU:er.
Virtuell nätverkspeering Stöds för trafik mellan virtuella datorer över regional peering.
Global peering för virtuella nätverk Stöds för trafik mellan virtuella datorer över global peering.
Azure Kubernetes Service (AKS) – Stöds i AKS med Azure CNI (vanligt läge eller överläggsläge), Kubenet eller BYOCNI: nod- och poddtrafik krypteras.
– Stöds delvis på AKS med azure CNI Dynamic Pod IP-tilldelning (podSubnetId angivet): nodtrafik krypteras, men poddtrafik krypteras inte.
– Trafik till det AKS-hanterade kontrollplanet går ut från det virtuella nätverket och är därför inte i omfånget för kryptering av virtuella nätverk. Den här trafiken krypteras dock alltid via TLS.

Kommentar

Andra tjänster som för närvarande inte stöder kryptering av virtuella nätverk ingår i vår framtida översikt.