Azure Virtual Network 暗号化とは
Azure 仮想ネットワーク暗号化は、Azure 仮想ネットワークの機能です。 仮想ネットワーク暗号化を使用すると、データグラム トランスポート層セキュリティ (DTLS) トンネルを作成することで、Azure Virtual Machines 間のトラフィックをシームレスに暗号化および復号化できます。
仮想ネットワーク暗号化を使用すると、同じ仮想ネットワーク内の仮想マシンと仮想マシン スケール セット間のトラフィックを暗号化できます。 仮想ネットワーク暗号化により、リージョンとグローバルでピアリングされた仮想ネットワーク間のトラフィックが暗号化されます。 仮想ネットワーク ピアリングの詳細については、「仮想ネットワーク ピアリング」を参照してください。
仮想ネットワーク暗号化により、Azure の既存の転送中の暗号化機能が強化されます。 Azure の暗号化の詳細については、「Azure 暗号化の概要」を参照してください。
要求事項
仮想ネットワーク暗号化には、次の要件があります。
- 仮想ネットワーク暗号化は、次の仮想マシン インスタンス サイズでサポートされています。
| タイプ | VM シリーズ | VM SKU |
|---|---|---|
| 汎用ワークロード | D シリーズ V4 D シリーズ V5 D シリーズ V6 |
Dv4 および Dsv4 シリーズ Ddv4 および Ddsv4 シリーズ Dav4 および Dasv4 シリーズ Dv5 シリーズと Dsv5 シリーズ Ddv5 シリーズと Ddsv5 シリーズ Dlsv5 シリーズと Dldsv5 シリーズ Dasv5 シリーズと Dadsv5 シリーズ Dasv6 および Dadsv6 シリーズ Dalsv6 シリーズと Daldsv6 シリーズ Dsv6 シリーズ |
| メモリ集中型ワークロード | E シリーズ V4 E シリーズ V5 E シリーズ V6 M シリーズ V2 M シリーズ V3 |
Ev4 および Esv4 シリーズ Edv4 および Edsv4 シリーズ Eav4 および Easv4 シリーズ Ev5 シリーズと Esv5 シリーズ Edv5 シリーズと Edsv5 シリーズ Easv5 シリーズと Eadsv5 シリーズ Easv6 シリーズと Eadsv6 シリーズ Mv2 シリーズ Msv2 および Mdsv2 Medium Memory シリーズ Msv3 および Mdsv3 Medium Memory シリーズ |
| ストレージ集中型ワークロード | L シリーズ V3 | LSv3 シリーズ |
| コンピューティング最適化 | F シリーズ V6 | Falsv6 シリーズ Famsv6 シリーズ Fasv6 シリーズ |
- 高速ネットワークを仮想マシンのネットワーク インターフェイスで有効にする必要があります。 高速ネットワークの詳細については、「高速ネットワークとは?」を参照してください。
- 暗号化は、仮想ネットワーク内の仮想マシン間のトラフィックにのみ適用されます。 トラフィックは、プライベート IP アドレス間で暗号化されます。
- サポートされていない仮想マシンへのトラフィックは暗号化されません。 仮想ネットワーク フロー ログを使用して、仮想マシン間のフロー暗号化を確認します。 詳細については、Virtual Network フロー ログに関する記事を参照してください。
- 仮想ネットワークで暗号化を有効にした後、既存の仮想マシンの開始/停止が必要になります。
可用性
Azure Virtual Network 暗号化は、すべての Azure パブリック リージョンで一般提供されており、現在、21Vianet が運営する Azure Government と Microsoft Azure ではパブリック プレビュー段階です。
制限事項
.Azure Virtual Network 暗号化には、次の制限があります。
PaaS が関係するシナリオでは、PaaS がホストされている仮想マシンによって、仮想ネットワーク暗号化がサポートされているかどうかが決まります。 仮想マシンは、一覧表示されている要件を満たしている必要があります。
内部ロード バランサーの場合、ロード バランサーの背後にあるすべての仮想マシンは、サポートされている仮想マシン SKU である必要があります。
AllowUnencrypted のみが、一般提供時にサポートされている適用です。 DropUnencrypted の適用は、今後サポートされる予定です。
暗号化が有効な仮想ネットワークでは、Azure DNS Private Resolver はサポートされません。
Azure Private Link サービスを使って構成された仮想ネットワークでは仮想ネットワーク暗号化がサポートされていないため、これらの仮想ネットワークで仮想ネットワーク暗号化を有効にしないでください。
Azure 機密コンピューティング VM SKU を使用する仮想ネットワークでは、仮想ネットワーク暗号化を有効にしないでください。 仮想ネットワーク暗号化が有効になっている仮想ネットワークで Azure 機密コンピューティング VM を使いたい場合は、次のようにします。
- サポートされている場合は、VM の NIC で高速ネットワークを有効にします。
- 高速ネットワークがサポートされていない場合は、VM SKU を、高速ネットワークまたは仮想ネットワーク暗号化をサポートする SKU に変更します。
注
VM SKU が高速ネットワークまたは仮想ネットワーク暗号化をサポートしていない場合は、仮想ネットワーク暗号化を有効にしないでください。
サポートされているシナリオ
仮想ネットワーク暗号化がサポートされているのは以下のシナリオにおいてです。
| シナリオ | サポート |
|---|---|
| 同じ仮想ネットワーク内の仮想マシン (仮想マシン スケール セットとその内部ロード バランサーを含む) | これらの SKU の仮想マシン間のトラフィックでサポートされます。 |
| 仮想ネットワークピアリング | リージョン ピアリングを介した仮想マシン間のトラフィックでサポートされます。 |
| グローバル仮想ネットワーク ピアリング | グローバル ピアリングを介した仮想マシン間のトラフィックでサポートされます。 |
| Azure Kubernetes Service (AKS) | - Azure Container Network Interface (標準またはオーバーレイ モード)、Kubenet、または BYOCNI を使用する AKS でサポート: ノードとポッドのトラフィックが暗号化されます。 - Azure CNI 動的ポッド IP 割り当て (podSubnetId を指定) を使用する AKS で部分的にサポートされます。ノード トラフィックは暗号化されますが、ポッド トラフィックは暗号化されません。 - AKS マネージド コントロール プレーンへのトラフィックは仮想ネットワークから送信されるため、仮想ネットワーク暗号化の対象外です。 ただし、このトラフィックは常にトランスポート層セキュリティ (TLS) を介して暗号化されます。 |