¿Qué es el cifrado de Azure Virtual Network?
El cifrado de Azure Virtual Network es una característica de las instancias de Azure Virtual Network. El cifrado de red virtual permite cifrar y descifrar el tráfico sin problemas entre Azure Virtual Machines mediante la creación de un túnel de seguridad de la capa de transporte de datagramas (DTLS).
El cifrado de red virtual permite cifrar el tráfico entre Virtual Machines y Virtual Machine Scale Sets dentro de la misma red virtual. El cifrado de red virtual cifra el tráfico entre redes virtuales emparejadas de forma regional y global. Para más información sobre el emparejamiento de redes virtuales, consulte Emparejamiento de redes virtuales.
El cifrado de red virtual mejora el cifrado existente en las funcionalidades de tránsito en Azure. Para más información sobre el cifrado en Azure, consulte Introducción al cifrado de Azure.
Requisitos
El cifrado de Virtual Network tiene los siguientes requisitos:
- El cifrado de red virtual se admite en los siguientes tamaños de instancia de máquina virtual:
| Tipo | Serie VM | SKU de la máquina virtual |
|---|---|---|
| Cargas de trabajo de uso general | Serie D V4 Serie D V5 Serie D V6 |
Serie Dv4 y Dsv4 Series Ddv4 y Ddsv4 Serie Dav4 y Dasv4 Series Dv5 y Dsv5 Series Ddv5 y Ddsv5 Series Dlsv5 y Dldsv5 Series Dasv5 y Dadsv5 Series Dasv6 y Dadsv6 Series Dalsv6 y Daldsv6 Serie Dsv6 |
| Cargas de trabajo de uso intensivo de memoria | Serie E V4 Serie E V5 Serie E V6 Serie M V2 Serie M V3 |
Serie Ev4 y Esv4 Series Edv4 y Edsv4 Serie Eav4 y Easv4 Series Ev5 y Esv5 Series Edv5 y Edsv5 Series Easv5 y Eadsv5 Series Easv6 y Eadsv6 Series Mv2 Serie msv2 y mdsv2 de memoria media Serie msv3 y mdsv3 de memoria media |
| Cargas de trabajo de uso intensivo de almacenamiento | Serie L V3 | Serie LSv3 |
| Optimización informática | Serie F V6 | Serie Falsv6 Serie Famsv6 Serie Fasv6 |
- Las redes aceleradas deben estar habilitadas en la interfaz de red de la máquina virtual. Para obtener más información sobre las redes aceleradas, consulte ¿En qué consisten las redes aceleradas?
- El cifrado solo se aplica al tráfico entre máquinas virtuales de una red virtual. El tráfico se cifra desde una dirección IP privada a una dirección IP privada.
- El tráfico a máquinas virtuales no admitidas no está cifrado. Use los registros de flujo de Virtual Network para confirmar el cifrado de flujo entre máquinas virtuales. Para obtener más información, consulte Registros de flujo de red virtual.
- Es necesario iniciar o detener las máquinas virtuales existentes después de habilitar el cifrado en una red virtual.
Disponibilidad
El cifrado de Azure Virtual Network está disponible con carácter general en todas las regiones públicas de Azure y actualmente está en versión preliminar pública en Azure Government y Microsoft Azure operado por 21Vianet.
Limitaciones
. El cifrado de Azure Virtual Network tiene las siguientes limitaciones:
En escenarios en los que interviene PaaS, la máquina virtual en la que se hospeda PaaS determina si se admite el cifrado de red virtual. La máquina virtual debe cumplir los requisitos enumerados.
Para el equilibrador de carga interno, todas las máquinas virtuales detrás del equilibrador de carga deben ser un SKU de máquina virtual compatible.
AllowUnencrypted es la única aplicación admitida en disponibilidad general. La aplicación de DropUnencrypted se admitirá en el futuro.
Las redes virtuales con cifrado habilitado no admiten Azure DNS Private Resolver.
Las redes virtuales configuradas con el servicio Azure Private Link no admiten el cifrado de red virtual, por lo que el cifrado de red virtual no debe estar habilitado en estas redes virtuales.
El cifrado de red virtual no debe estar habilitado en redes virtuales que tengan SKU de máquina virtual de informática confidencial de Azure. Si desea usar máquinas virtuales de informática confidencial de Azure en redes virtuales en las que está habilitado el cifrado de red virtual, haga lo siguiente:
- Habilite Redes aceleradas en el NIC de la máquina virtual si se admite.
- Si no se admiten redes aceleradas, cambie la SKU de máquina virtual a una que admita redes aceleradas o cifrado de red virtual.
Nota:
No habilite el cifrado de red virtual si la SKU de máquina virtual no admite redes aceleradas ni cifrado de red virtual.
Escenarios admitidos
El cifrado de red virtual se admite en los escenarios siguientes:
| Escenario | Apoyo |
|---|---|
| Máquinas virtuales de la misma red virtual (incluidos los conjuntos de escalado de máquinas virtuales y su equilibrador de carga interno) | Se admite el tráfico entre máquinas virtuales de estas SKU. |
| Emparejamiento de redes virtuales de Azure | Se admite en el tráfico entre máquinas virtuales a través del emparejamiento regional. |
| Emparejamiento global de redes virtuales | Se admite en el tráfico entre máquinas virtuales en el emparejamiento global. |
| Azure Kubernetes Service (AKS) | - Compatible con AKS mediante la interfaz de red de contenedor de Azure (modo normal o de superposición), Kubenet o BYOCNI: el tráfico de nodos y pods está cifrado. - Parcialmente compatible con AKS mediante la Asignación Dinámica de IP para Pods de Azure CNI (podSubnetId especificado): el tráfico del nodo está cifrado, pero el tráfico del pod no lo está. - El tráfico dirigido al plano de control administrado de AKS sale de la red virtual y, por lo tanto, no está dentro del alcance del cifrado de la red virtual. Sin embargo, este tráfico siempre se cifra a través de seguridad de la capa de transporte (TLS). |