Azure 虛擬網路加密的常見問題集

以下是有關使用 Azure 虛擬網路加密的常見問題的一些解答。

我可以在現有的虛擬網路、虛擬機器、網路介面或 NSG 上啟用虛擬網路加密嗎？

是的。 如需在現有虛擬網路上啟用虛擬網路加密的詳細資訊，請參閱 啟用加密。

如何驗證我的資料是否已加密？

加密驗證僅限於公開預覽期間的網路介面資源、vnetEncryptionSupported 和加速網路的狀態。 在公開預覽之後，虛擬網路流程記錄可用來查看虛擬機器之間的加密和未加密流程。

為什麼封包會在加密的虛擬網路中丟棄，以及如何防止這種情況發生？

UDP分段資料包不會卸載到硬體，因此會被丟棄。 若要避免這種情況，請確保已設定「不要分段」（DF） 旗標，並且封包不會分段離開虛擬機器。 超過 MTU 限制的資料包將被丟棄，而不是分段。

Azure 主機上的 DTLS 建立會使用什麼憑證？

Microsoft 會管理並建立每個區域的憑證。 客戶提供的憑證是路線圖上的一項功能。

效能效果如何？

對輸送量/頻寬的效能影響最小。 加密操作被卸載到加密專用 FPGA。 兩個虛擬機器之間的初始連線影響最小，因為需要建立通道。

是否支援 VPN 閘道、應用程式閘道、Azure 防火牆或 PaaS？

這取決於 PaaS 使用的基礎 VM 大小，而且需要啟用加速網路。

加密在哪裡終止？

加密會在 Azure 主機上的 SmartNIC/FPGA 終止。

虛擬網路加密是否支援 FIPS-140 合規性？

FIPS-140 是 Azure 範圍內對 FedRAMP 認證的承諾。 所有 Azure 的 FedRAMP 認證涵蓋 Azure 中加密使用的證明點，包括 Azure 虛擬網路加密。 如需 FIPS-140 的 Azure 公開指引的詳細資訊，請參閱 聯邦資訊處理標準 （FIPS） 140。 如需 Azure 內容中 PCI、HIPAA 和 FedRAMP 的詳細資訊，請參閱 服務信任入口網站。

虛擬網路加密如何定價？

Azure 虛擬網路加密是 Azure 虛擬網路內 Azure 訂用帳戶下提供的免費功能。 標準費用適用於資源，例如虛擬機器 （VM） 和您使用的其他產品。

是否支援一個方向啟用加密而反方向停用加密的情境中的非對稱加密？

當存在非對稱路由且流量在一個方向上加密，在另一個方向上未加密時，可能會發生非對稱加密。 不支援非對稱加密，也不建議使用。

以下是有關使用 Azure 虛擬網路加密的常見問題的一些解答。

是的。 如需在現有虛擬網路上啟用虛擬網路加密的詳細資訊，請參閱 啟用加密。

加密驗證僅限於公開預覽期間的網路介面資源、vnetEncryptionSupported 和加速網路的狀態。 在公開預覽之後，虛擬網路流程記錄可用來查看虛擬機器之間的加密和未加密流程。

UDP分段資料包不會卸載到硬體，因此會被丟棄。 若要避免這種情況，請確保已設定「不要分段」（DF） 旗標，並且封包不會分段離開虛擬機器。 超過 MTU 限制的資料包將被丟棄，而不是分段。

Microsoft 會管理並建立每個區域的憑證。 客戶提供的憑證是路線圖上的一項功能。

對輸送量/頻寬的效能影響最小。 加密操作被卸載到加密專用 FPGA。 兩個虛擬機器之間的初始連線影響最小，因為需要建立通道。

這取決於 PaaS 使用的基礎 VM 大小，而且需要啟用加速網路。

加密會在 Azure 主機上的 SmartNIC/FPGA 終止。

FIPS-140 是 Azure 範圍內對 FedRAMP 認證的承諾。 所有 Azure 的 FedRAMP 認證涵蓋 Azure 中加密使用的證明點，包括 Azure 虛擬網路加密。 如需 FIPS-140 的 Azure 公開指引的詳細資訊，請參閱 聯邦資訊處理標準 （FIPS） 140。 如需 Azure 內容中 PCI、HIPAA 和 FedRAMP 的詳細資訊，請參閱 服務信任入口網站。

Azure 虛擬網路加密是 Azure 虛擬網路內 Azure 訂用帳戶下提供的免費功能。 標準費用適用於資源，例如虛擬機器 （VM） 和您使用的其他產品。

當存在非對稱路由且流量在一個方向上加密，在另一個方向上未加密時，可能會發生非對稱加密。 不支援非對稱加密，也不建議使用。