O que é a criptografia da Rede Virtual do Azure
A criptografia da Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar facilmente o tráfego entre as Máquinas Virtuais do Azure criando um túnel DTLS (Datagram Transport Layer Security).
A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.
A criptografia de rede virtual aprimora os recursos de criptografia existentes em trânsito no Azure. Para obter mais informações sobre criptografia no Azure, consulte Visão geral da criptografia do Azure.
Requerimentos
A criptografia de rede virtual tem os seguintes requisitos:
- A criptografia de Rede Virtual é suportada nos seguintes tamanhos de instância de máquina virtual:
| Tipo | Série VM | VM SKU |
|---|---|---|
| Cargas de trabalho de uso geral | Série D V4 Série D V5 Série D V6 |
Séries Dv4 e Dsv4 Séries Ddv4 e Ddsv4 Séries Dav4 e Dasv4 Séries Dv5 e Dsv5 Séries Ddv5 e Ddsv5 Séries Dlsv5 e Dldsv5 Dasv5 e Dadsv5-série Dasv6 e Dadsv6-series Séries Dalsv6 e Daldsv6 Série Dsv6 |
| Cargas de trabalho com uso intensivo de memória | Série E V4 Série E V5 Série E V6 Série M V2 Série M V3 |
Séries Ev4 e Esv4 Séries Edv4 e Edsv4 Séries Eav4 e Easv4 Séries Ev5 e Esv5 Séries Edv5 e Edsv5 Séries Easv5 e Eadsv5 Séries Easv6 e Eadsv6 Série Mv2 Série Msv2 e Mdsv2 de Memória de Tamanho Médio Séries de Memória de Médio Porte Msv3 e Mdsv3 |
| Cargas de trabalho de armazenamento intensivo | Série L V3 | Série LSv3 |
| Computação otimizada | Série F V6 |
Série Falsv6 Série Famsv6 Série Fasv6 |
- A Rede Acelerada deve ser habilitada na interface de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é rede acelerada?
- A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é encriptado de um endereço IP privado para um endereço IP privado.
- O tráfego para Máquinas Virtuais não suportadas não está encriptado. Utilize os Logs de Fluxo de Redes Virtuais para confirmar a encriptação do fluxo entre máquinas virtuais. Para obter mais informações, consulte Logs de fluxo de rede virtual.
- O início/parada de máquinas virtuais existentes é necessário depois de habilitar a criptografia em uma rede virtual.
Disponibilidade
A encriptação da Rede Virtual do Azure está geralmente disponível em todas as regiões públicas do Azure e está atualmente em pré-visualização pública no Azure Government e no Microsoft Azure operado pela 21Vianet.
Limitações
. A criptografia da Rede Virtual do Azure tem as seguintes limitações:
Em cenários em que um PaaS está envolvido, a máquina virtual onde o PaaS está hospedado dita se a criptografia de rede virtual é suportada. A máquina virtual deve atender aos requisitos listados.
Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem ser uma SKU de máquina virtual suportada.
AllowUnencrypted é a única imposição suportada na disponibilidade pública. A aplicação DropUnencrypted será suportada no futuro.
As redes virtuais com encriptação ativada não suportam o Azure DNS Private Resolver.
As redes virtuais configuradas com o serviço Azure Private Link não dão suporte à criptografia de Rede Virtual, portanto, a criptografia de Rede Virtual não deve ser habilitada nessas redes virtuais.
A criptografia de Rede Virtual não deve ser habilitada em redes virtuais que tenham SKUs de VM de computação confidencial do Azure. Se você quiser usar VMs de computação confidenciais do Azure em redes virtuais onde a criptografia de Rede Virtual está habilitada, então:
- Habilite a Rede Acelerada na NIC da VM, se houver suporte.
- Se a Rede Acelerada não for suportada, altere a SKU da VM para uma que ofereça suporte à Rede Acelerada ou à criptografia de Rede Virtual.
Observação
Não habilite a criptografia de Rede Virtual se a SKU da VM não oferecer suporte à Rede Acelerada ou à criptografia de Rede Virtual.
Cenários suportados
A criptografia de rede virtual é suportada nos seguintes cenários:
| Cenário | Suporte |
|---|---|
| Máquinas virtuais na mesma rede virtual (incluindo conjuntos de dimensionamento de máquinas virtuais e seu balanceador de carga interno) | Suportado no tráfego entre máquinas virtuais dessas SKUs. |
| Conexão de rede virtual | Suportado no tráfego entre máquinas virtuais através do emparelhamento regional |
| Peering de redes virtuais globais | Suporte ao tráfego entre as máquinas virtuais através do emparelhamento global. |
| Serviço Kubernetes do Azure (AKS) | - Suportado no AKS usando a Interface de Rede de Contentor do Azure (modo regular ou de sobreposição), Kubenet ou BYOCNI: o tráfego de nódulos e pods é criptografado. - Parcialmente suportado no AKS usando o Azure CNI Dynamic Pod IP Assignment (podSubnetId especificado): o tráfego do nó é criptografado, mas o tráfego do pod não é criptografado. - O tráfego para o plano de controlo gerido do AKS sai da rede virtual e, por isso, não está abrangido pela criptografia da rede virtual. No entanto, esse tráfego é sempre criptografado via Transport Layer Security (TLS). |