Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le chiffrement du réseau virtuel Microsoft Azure est une fonctionnalité des réseaux virtuels Azure. Le chiffrement de réseau virtuel vous permet de chiffrer et de déchiffrer en toute transparence le trafic entre machines virtuelles Azure en créant un tunnel DTLS.
Le chiffrement de réseau virtuel vous permet de chiffrer le trafic entre Machines Virtuelles et Virtual Machine Scale Sets au sein du même réseau virtuel. Le chiffrement de réseau virtuel chiffre le trafic entre des réseaux virtuels appairés régionalement et globalement. Pour plus d’informations sur le peering de réseaux virtuels, consultez Peering de réseaux virtuels.
Le chiffrement de réseau virtuel améliore le chiffrement existant dans les fonctionnalités de transit dans Azure. Pour plus d’informations sur le chiffrement dans Azure, consultez la vue d’ensemble du chiffrement Azure.
Spécifications
Le chiffrement de réseau virtuel a les exigences suivantes :
Le chiffrement de réseau virtuel est pris en charge sur les tailles d’instance de machine virtuelle suivantes :
Catégorie Série de machines virtuelles Référence SKU de machine virtuelle Charges de travail à usage général Série D V4
série D V5
série-D V6Série Dv4 et Dsv4
Série Ddv4 et Ddsv4
Série Dav4 et Dasv4
Série Dv5 et Dsv5
Série Ddv5 et Ddsv5
Série Dlsv5 et Dldsv5
Série Dasv5 et Dadsv5
Série Dasv6 et Dadsv6
Série Dalsv6 et Daldsv6
Série Dsv6
Série Dplsv6 et Dpldsv6
Série Dpsv6 et Dpdsv6Charges de travail d’utilisation intensive de la mémoire Série E4
série E V5
série E V6
série M V2
série M V3Série Ev4 et Esv4
Série Edv4 et Edsv4
Série Eav4 et Easv4
Série Ev5 et Esv5
Série Edv5 et Edsv5
Série Easv5 et Eadsv5
Série Easv6 et Eadsv6
Série Epsv6 et Epdsv6
Série Mv2
Série Msv2 et Mdsv2 Medium Memory
Série Msv3 et Mdsv3 Medium MemoryCharges de travail d’utilisation intensive du stockage Série L, V3 Série LSv3 Optimisé pour le calcul Série F, V6 Série Falsv6
Série Famsv6
Série Fasv6La mise en réseau accélérée doit être activée sur l’interface réseau de la machine virtuelle. Pour plus d’informations sur la mise en réseau accélérée, consultez Qu’est-ce que la mise en réseau accélérée ?
Le chiffrement est appliqué uniquement au trafic entre les machines virtuelles d’un réseau virtuel. Le trafic est chiffré d’une adresse IP privée vers une adresse IP privée.
Le trafic vers des Machines Virtuelles non prises en charge n’est pas chiffré. Utilisez les journaux de flux de réseau virtuel pour confirmer le chiffrement de flux entre les machines virtuelles. Pour plus d’informations, consultez les journaux de flux de réseau virtuel.
Le démarrage/l’arrêt des machines virtuelles existantes est nécessaire après l’activation du chiffrement dans un réseau virtuel.
Disponibilité
Le chiffrement de réseau virtuel Azure est généralement disponible dans toutes les régions publiques Azure et est actuellement en préversion publique dans Azure Government et Microsoft Azure géré par 21Vianet.
Limites
Le chiffrement du réseau virtuel Azure a les limitations suivantes :
Dans les scénarios où un PaaS est impliqué, la machine virtuelle sur laquelle le PaaS est hébergé détermine si le chiffrement de réseau virtuel est pris en charge. La machine virtuelle doit répondre aux exigences répertoriées.
Pour l'équilibreur de charge interne, toutes les machines virtuelles derrière l'équilibreur de charge doivent utiliser une SKU de machine virtuelle compatible.
AllowUnencrypted est la seule mise en œuvre des principes de protection des informations personnelles prise en charge dans la version en disponibilité générale. La mise en application de DropUnencrypted sera prise en charge à l’avenir.
Les réseaux virtuels avec chiffrement activé ne prennent pas en charge azure DNS Private Resolver, Application Gateway et pare-feu Azure.
Le chiffrement de réseau virtuel ne doit pas être activé dans les réseaux virtuels dotés de passerelles Azure ExpressRoute.
Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.
Les réseaux virtuels configurés avec le service Azure Private Link ne prennent pas en charge le chiffrement de réseau virtuel. Par conséquent, le chiffrement de réseau virtuel ne doit pas être activé sur ces réseaux virtuels.
Le pool backend d'un équilibreur de charge interne ne doit inclure aucune configuration IPv4 secondaire d'interface réseau pour éviter les échecs de connexion à l'équilibreur de charge.
Le chiffrement de réseau virtuel ne doit pas être activé dans les réseaux virtuels qui ont des références SKU de machine virtuelle d’informatique confidentielle Azure. Si vous souhaitez utiliser des machines virtuelles d’informatique confidentielle Azure dans des réseaux virtuels où le chiffrement de réseau virtuel est activé, effectuez ces étapes :
- Activez les performances réseau accélérées sur la carte réseau de la machine virtuelle, si elles sont prises en charge.
- Si les performances réseau accélérées ne sont pas prises en charge, remplacez la référence SKU de machine virtuelle par une référence SKU qui prend en charge les performances réseau accélérées ou le chiffrement de réseau virtuel.
N’activez pas le chiffrement du réseau virtuel si la référence SKU de machine virtuelle ne prend pas en charge les performances réseau accélérées ou le chiffrement de réseau virtuel.
Scénarios pris en charge
Le chiffrement de réseau virtuel est pris en charge dans les scénarios suivants :
| Scénario | Prise en charge |
|---|---|
| Machines virtuelles du même réseau virtuel (y compris les ensembles de machines virtuelles à mise à l'échelle et leur répartiteur de charge interne) | Pris en charge sur le trafic entre des machines virtuelles de ces références SKU. |
| Appairage de réseaux virtuels | Prise en charge du trafic entre machines virtuelles dans l’appairage régional. |
| Appairage de réseaux virtuels global | Prise en charge du trafic entre machines virtuelles dans l’appairage global. |
| Azure Kubernetes Service (AKS) | - Pris en charge sur AKS à l’aide d’Azure CNI (mode standard ou de superposition), Kubenet ou BYOCNI : le trafic de nœud et de pod est chiffré. - Partiellement pris en charge sur AKS en utilisant l’affectation dynamique d’adresses IP de pod d’Azure CNI (spécifié par podSubnetId) : le trafic des nœuds est chiffré, mais le trafic des pods ne l’est pas. - Le trafic vers le plan de contrôle managé AKS sort du réseau virtuel et n’est donc pas inclus dans le cadre du chiffrement du réseau virtuel. Toutefois, ce trafic est toujours chiffré via TLS. |
Remarque
D’autres services qui ne prennent actuellement pas en charge le chiffrement de réseau virtuel sont inclus dans notre feuille de route future.