Compartir a través de

Habilitación y validación del cifrado de red virtual con Azure Managed Lustre

Azure Managed Lustre admite el cifrado de red virtual para cifrar los datos en tránsito entre Managed Lustre y las máquinas virtuales cliente (VM). Esta característica es valiosa para los clientes de sectores regulados, como finanzas, atención sanitaria y administración pública, donde la confidencialidad de los datos es fundamental.

Funcionamiento del cifrado de red virtual

El cifrado de red virtual en Azure usa la seguridad de la capa de transporte de datagramas (DTLS) 1.2 para proteger el tráfico en la capa de red. Entre las características clave se incluyen las siguientes:

  • Protocolo de cifrado: DTLS 1.2 con cifrado AES-GCM-256.
  • Intercambio de claves: las claves de sesión se negocian mediante certificados ECDSA.
  • Rendimiento: el cifrado se descarga en inline field-programmable gate arrays (FPGAs) en el host de la máquina virtual para ayudar a garantizar un alto rendimiento y una latencia baja.

Habilitación del cifrado de red virtual para Managed Lustre

Para habilitar el cifrado de red virtual con Managed Lustre:

  1. Habilitación del cifrado de red virtual en la red virtual: para habilitar el cifrado de red virtual donde se implementa Managed Lustre, use la CLI de Azure o Azure Portal.

    Ejemplo de comando de la CLI de Azure:

    az network vnet update --name <virtual-network-name> --resource-group <resource-group-name> --enable-encryption true

  2. Asegúrese de la compatibilidad de máquinas virtuales cliente: Azure solo admite series de máquinas virtuales específicas para el cifrado de red virtual. Las máquinas virtuales no admitidas no cifran el tráfico, incluso si la red virtual está cifrada. Para conocer los requisitos y una lista de las SKU de máquina virtual que admiten el cifrado, consulte Requisitos de cifrado de red virtual de Azure.

    Las máquinas virtuales existentes deben reiniciarse para que se habilite el cifrado.

  3. Implementación de Managed Lustre en una red virtual cifrada: puede implementar Managed Lustre en:

    • Una red virtual cifrada
    • Una red virtual emparejada que también tiene habilitado el cifrado

    Nota:

    Si habilita el cifrado de red virtual en una red virtual después de implementar Managed Lustre, el clúster no admite inmediatamente el tráfico cifrado. La funcionalidad de cifrado solo se activa después de un evento de mantenimiento y un reinicio del clúster. Para obtener más información sobre cómo programar y administrar actualizaciones, consulte Ventana de mantenimiento para Managed Lustre.

Modo de cumplimiento

Actualmente, Azure solo admite el modo de aplicación: AllowUnencrypted

  • Todavía se permite el tráfico sin cifrar, incluso cuando está habilitado el cifrado de red virtual.
  • El modo más DropUnencrypted estricto no está disponible con carácter general y requiere un registro de características especial.

Validación del tráfico cifrado

Para confirmar que el tráfico entre Managed Lustre y las máquinas virtuales cliente están cifradas:

  1. Use Azure Network Watcher.

    • Habilite Network Watcher en la región.
    • Para inspeccionar los encabezados de tráfico, use la captura de paquetes en la máquina virtual cliente.
    • El tráfico cifrado muestra la encapsulación DTLS.

  2. Ejecutar informes de diagnóstico.

    • Use Azure Monitor o scripts personalizados para validar rutas de tráfico cifradas.
    • Compruebe las métricas y los registros de la máquina virtual para ver los indicadores de estado de cifrado .

  3. Compruebe las funcionalidades de la máquina virtual.

    Use el comando siguiente para determinar si una máquina virtual admite el cifrado de red virtual:

    az vm show --name <vm-name> --resource-group <rg-name> --query "storageProfile.osDisk.managedDisk.encryptionSettingsCollection"

    Sugerencia

    Para más información sobre cómo comprobar el cifrado, comprender el impacto en el rendimiento y administrar el control de certificados, consulte las preguntas más frecuentes sobre el cifrado de Azure Virtual Network.

Advertencias y limitaciones

  • Cumplimiento del cifrado: Managed Lustre no aplica el cifrado. Se basa en la configuración de la red virtual y la máquina virtual.
  • Máquinas virtuales no admitidas: el tráfico de la serie de máquinas virtuales no admitidas permanece sin cifrar, incluso si el cifrado de red virtual está habilitado.
  • Visibilidad del firewall: Azure Firewall no puede inspeccionar el tráfico cifrado en la capa de red.
  • Modo de cumplimiento: DropUnencrypted el modo no está disponible con carácter general y debe habilitarse explícitamente a través del registro de características.

Contenido relacionado

  • Last updated on