Co to jest szyfrowanie usługi Azure Virtual Network
Szyfrowanie usługi Azure Virtual Network to funkcja sieci wirtualnych platformy Azure. Szyfrowanie sieci wirtualnej umożliwia bezproblemowe szyfrowanie i odszyfrowywanie ruchu między usługą Azure Virtual Machines przez utworzenie tunelu Datagram Transport Layer Security (DTLS).
Szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu między maszynami wirtualnymi i zestawami skalowania maszyn wirtualnych w tej samej sieci wirtualnej. Szyfrowanie sieci wirtualnej szyfruje ruch między regionalnymi i globalnie równorzędnymi sieciami wirtualnymi. Aby uzyskać więcej informacji na temat komunikacji równorzędnej sieci wirtualnych, zobacz Komunikacja równorzędna sieci wirtualnych.
Szyfrowanie sieci wirtualnej zwiększa istniejące możliwości szyfrowania podczas przesyłania na platformie Azure. Aby uzyskać więcej informacji na temat szyfrowania na platformie Azure, zobacz Omówienie usługi Azure Encryption.
Wymagania
Szyfrowanie sieci wirtualnej ma następujące wymagania:
- Szyfrowanie sieci wirtualnej jest obsługiwane w następujących wielkościach wystąpień wirtualnych maszyn:
| Typ | Seria VM | Jednostka SKU maszyny wirtualnej |
|---|---|---|
| Obciążenia ogólnego przeznaczenia | Seria D V4 Seria D V5 Seria D V6 |
Serie Dv4 i Dsv4 Seria Ddv4 i Ddsv4 Serie Dav4 i Dasv4 Serie Dv5 i Dsv5 Seria Ddv5 i Ddsv5 Serie Dlsv5 i Dldsv5 serii Dasv5 i Dadsv5 seria Dasv6 i Dadsv6 Serie Dalsv6 i Daldsv6 Seria Dsv6 |
| Obciążenia intensywnie korzystające z pamięci | Seria E V4 Seria E V5 Seria E V6 Seria M V2 Seria M V3 |
Serie Ev4 i Esv4 Seria Edv4 i Edsv4 Seria Eav4 i Easv4 Seria Ev5 i Esv5 Seria Edv5 i Edsv5 Seria Easv5 i Eadsv5 Seria Easv6 i Eadsv6 Seria Mv2 Seria Msv2 i Mdsv2 o średniej pamięci Seria pamięci Msv3 i Mdsv3 Medium |
| Obciążenia robocze intensywnie korzystające z pamięci masowej | Seria L V3 | Seria LSv3 |
| Optymalizacja obliczeniowa | Seria F V6 |
Seria Falsv6 Seria Famsv6 Seria Fasv6 |
- Przyspieszona sieć musi być włączona w interfejsie sieciowym maszyny wirtualnej. Aby uzyskać więcej informacji na temat przyspieszonej sieci, zobacz Co to jest przyspieszona sieć?
- Szyfrowanie jest stosowane tylko do ruchu między maszynami wirtualnymi w sieci wirtualnej. Ruch jest szyfrowany od prywatnego adresu IP do prywatnego adresu IP.
- Ruch do nieobsługiwanych maszyn wirtualnych jest niezaszyfrowany. Użyj dzienników przepływu sieci wirtualnej, aby potwierdzić szyfrowanie przepływu między maszynami wirtualnymi. Aby uzyskać więcej informacji, zobacz Dzienniki przepływu sieci wirtualnej.
- Uruchamianie/zatrzymywanie istniejących maszyn wirtualnych jest wymagane po włączeniu szyfrowania w sieci wirtualnej.
Dostępność
Szyfrowanie usługi Azure Virtual Network jest ogólnie dostępne we wszystkich regionach publicznych platformy Azure i jest obecnie w publicznej wersji zapoznawczej na platformie Azure Government i platformie Microsoft Azure obsługiwanej przez firmę 21Vianet.
Ograniczenia
. Szyfrowanie usługi Azure Virtual Network ma następujące ograniczenia:
W scenariuszach, w których występuje usługa PaaS, maszyna wirtualna, na której jest hostowana usługa PaaS, określa, czy szyfrowanie sieci wirtualnej jest obsługiwane. Maszyna wirtualna musi spełniać wymienione wymagania.
W przypadku wewnętrznego modułu równoważenia obciążenia wszystkie maszyny wirtualne za modułem równoważenia obciążenia muszą być obsługiwaną jednostkę SKU maszyny wirtualnej.
AllowUnencrypted to jedyne obsługiwane wymuszanie w ogólnej dostępności. Obsługa wymuszania DropUnencrypted będzie dostępna w przyszłości.
Sieci wirtualne z włączonym szyfrowaniem nie obsługują Azure DNS Private Resolver.
Sieci wirtualne skonfigurowane za pomocą usługi Azure Private Link nie obsługują szyfrowania sieci wirtualnej, dlatego szyfrowanie sieci wirtualnej nie powinno być włączone w tych sieciach wirtualnych.
Szyfrowanie sieci wirtualnej nie powinno być włączone w sieciach wirtualnych, które mają poufne jednostki SKU maszyn wirtualnych przetwarzania na platformie Azure. Jeśli chcesz używać maszyn wirtualnych do przetwarzania poufnego platformy Azure w sieciach wirtualnych, w których włączono szyfrowanie sieci wirtualnej, wykonaj:
- Włącz przyspieszoną sieć na karcie sieciowej maszyny wirtualnej, jeśli jest obsługiwana.
- Jeśli przyspieszona sieć nie jest obsługiwana, zmień jednostkę SKU maszyny wirtualnej na taką, która obsługuje przyspieszoną sieć lub szyfrowanie sieci wirtualnej.
Uwaga / Notatka
Nie włączaj szyfrowania sieci wirtualnej, jeśli jednostka SKU maszyny wirtualnej nie obsługuje przyspieszonej sieci ani szyfrowania sieci wirtualnej.
Obsługiwane scenariusze
Szyfrowanie sieci wirtualnej jest obsługiwane w następujących scenariuszach:
| Scenariusz | Pomoc |
|---|---|
| Maszyny wirtualne w tej samej sieci wirtualnej (w tym zestawy skalowania maszyn wirtualnych i ich wewnętrzny moduł równoważenia obciążenia) | Obsługiwane w przypadku ruchu między maszynami wirtualnymi tych jednostek SKU. |
| Peerowanie sieci wirtualnej | Obsługiwane dla ruchu sieciowego między maszynami wirtualnymi poprzez połączenia regionalnego peerowania. |
| Globalne wirtualne peering sieciowy | Obsługa ruchu między maszynami wirtualnymi przez globalne kojarzenie. |
| Azure Kubernetes Service (AKS) | — Obsługiwane w usłudze AKS przy użyciu Azure Container Networking Interface (zwykłego lub trybu nakładki), Kubenet lub BYOCNI: ruch węzłów i zasobników jest szyfrowany. — Częściowo obsługiwane na AKS przy użyciu dynamicznego przypisywania adresu IP dla podów w Azure CNI (ze wskazanym podSubnetId): ruch węzła jest szyfrowany, ale ruch podów nie jest szyfrowany. — Ruch sieciowy do zarządzanej płaszczyzny sterowania usługi AKS wychodzi z sieci wirtualnej, i w związku z tym nie stanowi elementu obszaru szyfrowania sieci wirtualnej. Jednak ten ruch jest zawsze szyfrowany za pośrednictwem protokołu Transport Layer Security (TLS). |