你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

什么是 Azure 虚拟网络加密？

Azure 虚拟网络加密是 Azure 虚拟网络的一项功能。 借助虚拟网络加密，能够通过创建 DTLS 隧道无缝加密和解密 Azure 虚拟机之间的流量。

通过虚拟网络加密，可以加密同一虚拟网络中虚拟机和虚拟机规模集之间的流量。 虚拟网络加密可对区域对等互连虚拟网络与全局对等互连虚拟网络之间的流量进行加密。 有关虚拟网络对等互连的详细信息，请参阅虚拟网络对等互连。

虚拟网络加密增强了 Azure 中现有的传输中加密功能。 有关 Azure 中加密的详细信息，请参阅 Azure 加密概述。

要求

虚拟网络加密具有以下要求：

• 常规用途和内存优化虚拟机实例大小支持虚拟网络加密，包括：

  类型	VM 系列	VM SKU
  常规用途工作负载	D 系列 V4 D 系列 V5 D 系列 V6	Dv4 和 Dsv4 系列 Ddv4 和 Ddsv4 系列 Dav4 和 Dasv4 系列 Dv5 和 Dsv5 系列 Ddv5 和 Ddsv5 系列 Dlsv5 和 Dldsv5 系列 Dasv5 和 Dadsv5 系列 Dasv6 和 Dadsv6 系列 Dalsv6 和 Daldsv6 系列
  常规用途和内存密集型工作负载	E 系列 V4 E 系列 V5 E 系列 V6	Ev4 和 Esv4 系列 Edv4 和 Edsv4 系列 Eav4 和 Easv4 系列 Ev5 和 Esv5 系列 Edv5 和 Edsv5 系列 Easv5 和 Eadsv5 系列 Easv6 和 Eadsv6 系列
  存储密集型工作负载	LSv3	LSv3 系列
  内存密集型工作负载	M 系列	Mv2 系列 Msv2 和 Mdsv2 系列中型内存 Msv3 和 Mdsv3 中型内存系列

• 必须在虚拟机的网络接口上启用加速网络。 有关加速网络的详细信息，请参阅什么是加速网络？。

• 加密仅适用于虚拟网络中虚拟机之间的流量。 从专用 IP 地址到专用 IP 地址加密流量。

• 不加密流向不受支持的虚拟机的流量。 使用虚拟网络流日志确认虚拟机之间的流加密。 有关详细信息，请参阅虚拟网络流日志。

• 在虚拟网络中启用加密后，需要启动/停止现有虚拟机。

可用性

Azure 虚拟网络加密已在所有公共 Azure 区域中正式发布。

限制

Azure 虚拟网络加密具有以下限制：

• 在涉及 PaaS 的方案中，托管 PaaS 的虚拟机会决定是否支持虚拟网络加密。 虚拟机必须满足列出的要求。

• 对于内部负载均衡器，负载均衡器背后的所有虚拟机都必须是受支持的虚拟机 SKU。

• AllowUnencrypted 是正式发布时唯一受支持的强制实施。 DropUnencrypted 强制实施将在未来得到支持。

• 启用了加密的虚拟网络不支持 Azure DNS 专用解析程序。

支持的方案

在以下场景中，支持虚拟网络加密：

场景	支持
同一虚拟网络中的 VM（包括虚拟机规模集及其内部负载均衡器）	支持用于来自这些 SKU 的 VM 之间的流量。
虚拟网络对等	支持用于跨区域对等互连的 VM 之间的流量。
全局虚拟网络对等互连	支持用于跨全球对等互连的 VM 之间的流量。
Azure Kubernetes 服务 (AKS)	- 在使用 Azure CNI（常规或覆盖模式）、Kubenet 或 BYOCNI 的 AKS 上受支持：节点和 Pod 流量已加密。 - 在使用 Azure CNI 动态 Pod IP 分配（指定的 podSubnetId）的 AKS 上部分受支持：节点流量已加密，但 Pod 流量未加密。 - 流向 AKS 托管的控制平面的流量从虚拟网络流出，因此不在虚拟网络加密的范围内。 但是，此流量始终通过 TLS 进行加密。

注意

我们未来的路线图中包含了当前不支持虚拟网络加密的其他服务。

相关内容

• 使用 Azure 门户创建加密的虚拟网络。
• 虚拟网络加密常见问题解答 (FAQ)。
• 什么是 Azure 虚拟网络？