你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
什么是 Azure 虚拟网络加密?
Azure 虚拟网络加密是 Azure 虚拟网络的一项功能。 借助虚拟网络加密,能够通过创建 DTLS 隧道无缝加密和解密 Azure 虚拟机之间的流量。
通过虚拟网络加密,可以加密同一虚拟网络中虚拟机和虚拟机规模集之间的流量。 虚拟网络加密可对区域对等互连虚拟网络与全局对等互连虚拟网络之间的流量进行加密。 有关虚拟网络对等互连的详细信息,请参阅虚拟网络对等互连。
虚拟网络加密增强了 Azure 中现有的传输中加密功能。 有关 Azure 中加密的详细信息,请参阅 Azure 加密概述。
要求
虚拟网络加密具有以下要求:
常规用途和内存优化虚拟机实例大小支持虚拟网络加密,包括:
类型 VM 系列 VM SKU 常规用途工作负载 D 系列 V4 和 D 系列 V5 Dv4 和 Dsv4 系列
Ddv4 和 Ddsv4 系列
Dav4 和 Dasv4 系列
Dv5 和 Dsv5 系列
Ddv5 和 Ddsv5 系列
Dlsv5 和 Dldsv5 系列
Dasv5 和 Dadsv5 系列常规用途和内存密集型工作负载 E 系列 V4 和 E 系列 V5 Ev4 和 Esv4 系列
Edv4 和 Edsv4 系列
Eav4 和 Easv4 系列
Ev5 和 Esv5 系列
Edv5 和 Edsv5 系列
Easv5 和 Eadsv5 系列存储密集型工作负载 LSv3 LSv3 系列 内存密集型工作负载 M 系列 Mv2 系列
Msv2 和 Mdsv2 系列中型内存
Msv3 和 Mdsv3 中型内存系列必须在虚拟机的网络接口上启用加速网络。 有关加速网络的详细信息,请参阅什么是加速网络?。
加密仅适用于虚拟网络中虚拟机之间的流量。 从专用 IP 地址到专用 IP 地址加密流量。
不加密流向不受支持的虚拟机的流量。 使用虚拟网络流日志确认虚拟机之间的流加密。 有关详细信息,请参阅虚拟网络流日志。
在虚拟网络中启用加密后,需要启动/停止现有虚拟机。
可用性
Azure 虚拟网络加密已在所有公共 Azure 区域中正式发布。
限制
Azure 虚拟网络加密具有以下限制:
在涉及 PaaS 的方案中,托管 PaaS 的虚拟机会决定是否支持虚拟网络加密。 虚拟机必须满足列出的要求。
对于内部负载均衡器,负载均衡器背后的所有虚拟机都必须是受支持的虚拟机 SKU。
AllowUnencrypted 是正式发布时唯一受支持的强制实施。 DropUnencrypted 强制实施将在未来得到支持。
后续步骤
- 有关 Azure 虚拟网络的详细信息,请参阅什么是 Azure 虚拟网络?