什麼是 Azure 虛擬網路加密?
Azure 虛擬網路加密是 Azure 虛擬網路的一項功能。 虛擬網路加密可讓您透過建立 DTLS 通道來順暢地加密和解密 Azure 虛擬機器之間的流量。
虛擬網路加密可讓您加密相同虛擬網路內的虛擬機器與虛擬機器擴展集之間的流量。 虛擬網路加密也會加密區域與全域對等互連虛擬網路之間的流量。 如需關於虛擬網路對等互連的詳細資訊,請參閱虛擬網路對等互連。
虛擬網路加密可增強 Azure 中傳輸功能中的現有加密。 如需 Azure 中加密的詳細資訊,請參閱 Azure 加密概觀。
需求
虛擬網路加密具有下列需求:
下列虛擬機器實例大小支援 虛擬網絡 加密:
類型 VM 系列 VM SKU 一般用途工作負載 D 系列 V4
D 系列 V5
D 系列 V6Dv4 和 Dsv4 系列
Ddv4 和 Ddsv4 系列
Dav4 和 Dasv4 系列
Dv5 和 Dsv5
系列 Ddv5 和 Ddsv5
系列 Dlsv5 和 Dldsv5
系列 Dasv5 和 Dadsv5
系列 Dasv6 和 Dadsv6 系列 Dalsv6 和 Daldsv6 系列
Dsv6 系列
需要大量記憶體的工作負載 E 系列 V4
E 系列 V5
E 系列 V6
M 系列 V2
M 系列 V3Ev4 和 Esv4 系列
Edv4 和 Edsv4
系列 Eav4 和 Easv4 系列
Ev5 和 Esv5 系列 Edv5 和 Edsv5
系列 Easv5 和 Eadsv5
系列 Easv6 和 Eadsv6
系列 Mv2 系列 Msv2
和 Mdsv2 中型記憶體系列
Msv3 和 Mdsv3 中型記憶體系列需要大量儲存體的工作負載 L 系列 V3 Lsv3 系列 計算最佳化 F 系列 V6 Falsv6 系列
Famsv6 系列
Fasv6 系列必須在虛擬機器的網路介面上啟用加速網路。 如需有關加速網路的詳細資訊,請參閱什麼是加速網路?
加密只會套用至虛擬網路中虛擬機器之間的流量。 流量會從私人 IP 位址加密至私人 IP 位址。
不支援虛擬機器的流量未加密。 使用虛擬網路流量記錄來確認虛擬機器之間的流量加密。 如需詳細資訊,請參閱 虛擬網路流量記錄。
在虛擬網路中啟用加密之後,需要啟用/停用現有的虛擬機器。
可用性
Azure 虛擬網路加密已在所有 Azure 公用區域中正式推出,目前在 Azure Government 和世紀互聯營運的 Microsoft Azure 中處於公開預覽狀態。
限制
Azure 虛擬網路加密具有下列限制:
在涉及 PaaS 的案例中,裝載 PaaS 的虛擬機器會決定是否支援虛擬網路加密。 虛擬機器必須符合列出的需求。
針對內部負載平衡器,負載平衡器後方的所有虛擬機器都必須是支援的虛擬機器 SKU。
AllowUnencrypted 是正式發行時唯一支援的強制執行。 未來將支援 DropUnencrypted 強制執行。
已啟用加密的虛擬網路不支援 Azure DNS 私人解析器。
使用 Azure Private Link 服務設定的虛擬網路不支援 虛擬網絡 加密,因此不應在這些虛擬網路上啟用 虛擬網絡 加密。
虛擬網絡 加密不應在具有 Azure 機密運算 VM SKU 的虛擬網路中啟用。 如果您想要在已啟用 虛擬網絡 加密的虛擬網路中使用 Azure 機密運算 VM,則:
- 如果支援,請在 VM 的 NIC 上啟用加速網路。
- 如果不支援加速網路,請將 VM SKU 變更為支援加速網路或 虛擬網絡 加密的 VM SKU。
如果 VM SKU 不支援加速網路或 虛擬網絡 加密,請勿啟用 虛擬網絡 加密。
支援的案例
在下列案例中支援虛擬網路加密:
| 案例 | 支援 |
|---|---|
| 相同虛擬網路中的虛擬機器(包括虛擬機擴展集及其內部負載平衡器) | 支援來自這些 SKU 的虛擬機之間的流量。 |
| 虛擬網路對等互連 | 支援跨區域對等互連的虛擬機之間的流量。 |
| 全域虛擬網路對等互連 | 支援跨全域對等互連的虛擬機之間的流量。 |
| Azure Kubernetes Service (AKS) | - 在使用 Azure CNI (一般或重疊模式)、Kubenet 或 BYOCNI 的 AKS 上受支援:節點和 Pod 流量已加密。 - 在使用 Azure CNI 動態 Pod IP 指派 (指定 podSubnetId) 的 AKS 上部分受支援:節點流量已加密,但 Pod 流量未加密。 流向 AKS 受控控制平面的流量從虛擬網路輸出,因此不在虛擬網路加密範圍內。 不過,此流量始終會透過 TLS 加密。 |
注意
目前不支援虛擬網路加密的其他服務包含在我們未來的藍圖中。