O que é a criptografia da Rede Virtual do Azure
A criptografia de Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar o tráfego entre máquinas virtuais do Azure criando um túnel DTLS (Segurança de Camada de Transporte de Datagrama).
A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre o emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.
A criptografia de rede virtual aprimora as capacidades de criptografia em trânsito existentes no Azure. Para obter mais informações sobre criptografia no Azure, confira Visão geral da criptografia do Azure.
Requisitos
A criptografia de rede virtual tem os seguintes requisitos:
- A criptografia de Rede Virtual tem suporte nos seguintes tamanhos de instância de máquina virtual:
| Tipo | Série VM | SKU de VM |
|---|---|---|
| Cargas de trabalho de uso geral | Série D V4 Série D V5 Série D V6 |
Séries Dv4 e Dsv4 Séries Ddv4 e Ddsv4 Séries Dav4 e Dasv4 Séries-Dv5 e Dsv5 Ddv5 e Ddsv5-series Dlsv5 e Dldsv5-series Séries-Dasv5 e Dadsv5 Dasv6 e Dadsv6-series Dalsv6 e Daldsv6-series Série Dsv6 |
| Cargas de trabalho com uso intensivo de memória | Série E V4 Série E V5 Série E V6 Série M V2 Série M V3 |
SérieS Ev4 e Esv4 Séries Edv4 e Edsv4 Séries Eav4 e Easv4 Séries-Ev5 e Esv5 Edv5 e Edsv5-series Séries-Easv5 e Eadsv5 Easv6 e Eadsv6-series Série Mv2 Séries de Memória Média msv2 e Mdsv2 Séries de Memórias Médias Msv3 e Mdsv3 |
| Cargas de trabalho com uso intensivo de armazenamento | Série L V3 | Série LSv3 |
| Computação otimizada | Série F V6 |
Série Falsv6 Famsv6-series Série Fasv6 |
- A Rede Acelerada deve ser habilitada no adaptador de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é Rede Acelerada?
- A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é criptografado de um endereço IP privado para um endereço IP privado.
- O tráfego para Máquinas Virtuais sem suporte não é criptografado. Utilize os registros de fluxo da rede virtual para confirmar a criptografia do fluxo entre máquinas virtuais. Para obter mais informações, confira Logs de fluxo de rede virtual.
- O início/parada de máquinas virtuais existentes pode ser necessário após habilitar a criptografia em uma rede virtual.
Disponibilidade
A criptografia de Rede Virtual do Azure está geralmente disponível em todas as regiões públicas do Azure e está atualmente em versão prévia pública no Azure Governamental e no Microsoft Azure operado pela 21Vianet.
Limitações
. A criptografia de Rede Virtual do Azure tem as seguintes limitações:
Em cenários em que um PaaS está envolvido, a máquina virtual em que o PaaS está hospedado determina se há suporte para a criptografia de rede virtual. A máquina virtual deve atender aos requisitos listados.
Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem ser um SKU de máquina virtual com suporte.
AllowUnencrypted é a única imposição com suporte em disponibilidade geral. A imposição dropUnencrypted terá suporte no futuro.
Redes virtuais com criptografia habilitada não dão suporte ao Resolvedor Privado de DNS do Azure.
As redes virtuais configuradas com o serviço de Link Privado do Azure não dão suporte à criptografia de rede virtual, portanto, a criptografia de rede virtual não deve ser habilitada nessas redes virtuais.
A criptografia de rede virtual não deve ser habilitada em redes virtuais que tenham SKUs de VM de computação confidencial do Azure. Se você quiser usar VMs de computação confidencial do Azure em redes virtuais onde a criptografia de rede virtual esteja habilitada, então siga estas instruções:
- Habilite a rede acelerada na NIC da VM se houver suporte.
- Se não houver suporte para rede acelerada, altere a SKU da VM para uma que dê suporte à rede acelerada ou à criptografia de rede virtual.
Observação
Não habilite a criptografia de rede virtual se a SKU da VM não der suporte à rede acelerada ou à criptografia de rede virtual.
Cenários com suporte
Há suporte para a criptografia de rede virtual nos seguintes cenários:
| Cenário | Apoio |
|---|---|
| Máquinas virtuais na mesma rede virtual (incluindo conjuntos de dimensionamento de máquinas virtuais e seus balanceadores de carga internos) | Com suporte no tráfego entre máquinas virtuais desses SKUs. |
| Emparelhamento de rede virtual | Com suporte no tráfego entre máquinas virtuais em todo o emparelhamento regional. |
| Emparelhamento de rede virtual global | Com suporte no tráfego entre máquinas virtuais em todo o emparelhamento global. |
| AKS (Serviço de Kubernetes do Azure) | – Com suporte no AKS usando a Interface de Rede de Contêiner do Azure (modo regular ou de sobreposição), Kubenet ou BYOCNI: o tráfego de nós e pods é criptografado. - Suporte parcial no AKS com a Atribuição de IP do Pod Dinâmico da CNI do Azure (podSubnetId especificado): o tráfego de nó é criptografado, mas o tráfego de pod não. – O tráfego para o plano de controle gerenciado do AKS é oriundo da rede virtual e, portanto, não está no escopo da criptografia de rede virtual. No entanto, esse tráfego é sempre criptografado por meio do TLS (Transport Layer Security). |