Partilhar via

Habilitar e validar a criptografia de rede virtual com o Azure Managed Lustre

O Azure Managed Lustre dá suporte à criptografia de rede virtual para criptografar dados em trânsito entre o Managed Lustre e as máquinas virtuais (VMs) cliente. Esse recurso é valioso para clientes em setores regulamentados, como finanças, saúde e governo, onde a confidencialidade de dados é fundamental.

Como funciona a criptografia de rede virtual

A criptografia de rede virtual no Azure usa o Datagram Transport Layer Security (DTLS) 1.2 para proteger o tráfego na camada de rede. As principais características incluem:

  • Protocolo de encriptação: DTLS 1.2 com encriptação AES-GCM-256.
  • Troca de chaves: As chaves de sessão são negociadas usando certificados ECDSA.
  • Desempenho: a criptografia é descarregada para FPGAs (field-programmable gate arrays) em linha no host da VM para ajudar a garantir alta taxa de transferência e baixa latência.

Habilite a criptografia de rede virtual para o Managed Lustre

Para habilitar a criptografia de rede virtual com o Managed Lustre:

  1. Habilitar a criptografia de rede virtual na rede virtual: para habilitar a criptografia de rede virtual onde o Managed Lustre é implantado, use a CLI do Azure ou o portal do Azure.

    Exemplo de comando da CLI do Azure:

    az network vnet update --name <virtual-network-name> --resource-group <resource-group-name> --enable-encryption true

  2. Garantir a compatibilidade da VM do cliente: o Azure dá suporte apenas a séries de VM específicas para criptografia de rede virtual. As VMs sem suporte não criptografam o tráfego, mesmo que a rede virtual esteja criptografada. Para obter os requisitos e uma lista de SKUs de VM que dão suporte à criptografia, consulte Requisitos de criptografia de rede virtual do Azure.

    As VMs existentes devem ser reinicializadas para que a criptografia seja habilitada.

  3. Implantar o Managed Lustre em uma rede virtual criptografada: você pode implantar o Managed Lustre em:

    • Uma rede virtual encriptada
    • Uma rede virtual emparelhada que também tem criptografia habilitada

    Observação

    Se você habilitar a criptografia de rede virtual em uma rede virtual depois de implantar o Managed Lustre, o cluster não suportará imediatamente o tráfego criptografado. A capacidade de criptografia é ativada somente após um evento de manutenção e a reinicialização do cluster. Para obter mais informações sobre como agendar e gerenciar atualizações, consulte Janela de manutenção do Managed Lustre.

Modo de imposição

Atualmente, o Azure suporta apenas AllowUnencrypted modo de fiscalização.

  • O tráfego não criptografado ainda é permitido, mesmo quando a criptografia de rede virtual está habilitada.
  • O modo DropUnencrypted mais rigoroso não está geralmente disponível e requer registo de funcionalidade especial.

Validar tráfego criptografado

Para confirmar se o tráfego entre o Managed Lustre e as VMs do cliente está criptografado:

  1. Use Azure Network Watcher.

    • Habilite o Observador de Rede na região.
    • Para inspecionar cabeçalhos de tráfego, use a captura de pacotes na VM cliente.
    • O tráfego criptografado mostra o encapsulamento DTLS.

  2. Executar relatórios de diagnóstico.

    • Use o Azure Monitor ou scripts personalizados para validar caminhos de tráfego criptografados.
    • Verifique as métricas e os logs da VM para obter indicadores de status de criptografia .

  3. Verifique os recursos da VM.

    Use o seguinte comando para determinar se uma VM oferece suporte à criptografia de rede virtual:

    az vm show --name <vm-name> --resource-group <rg-name> --query "storageProfile.osDisk.managedDisk.encryptionSettingsCollection"

    Sugestão

    Para obter mais informações sobre como verificar a criptografia, compreender o impacto no desempenho e gerenciar o tratamento de certificados, consulte as Perguntas frequentes sobre a criptografia da Rede Virtual do Azure.

Advertências e limitações

  • Aplicação da criptografia: o Managed Lustre não impõe a criptografia. Ele depende da configuração da rede virtual e da VM.
  • VMs sem suporte: o tráfego de séries de VMs sem suporte permanece não criptografado, mesmo que a criptografia de rede virtual esteja habilitada.
  • Visibilidade do firewall: o Firewall do Azure não pode inspecionar o tráfego criptografado na camada de rede.
  • Modo de imposição: DropUnencrypted o modo não está geralmente disponível e deve ser explicitamente ativado por meio do registro de recursos.

Conteúdo relacionado

  • Last updated on