Was ist Azure Virtual Network-Verschlüsselung?
Die Azure Virtual Network-Verschlüsselung ist ein Feature von Azure Virtual Network. Mit der Verschlüsselung virtueller Netzwerke können Sie den Datenverkehr zwischen Azure Virtual Machines nahtlos ver- und entschlüsseln.
Mit der Verschlüsselung virtueller Netzwerke können Sie Datenverkehr zwischen Microsoft Azure Virtual Machines und Microsoft Azure Virtual Machine Scale Sets innerhalb desselben virtuellen Netzwerks verschlüsseln. Durch die Verschlüsselung virtueller Netzwerke wird der Datenverkehr zwischen regionalen und globalen virtuellen Peernetzwerken verschlüsselt. Weitere Informationen zum Peering virtueller Netzwerke finden Sie unter Peering in virtuellen Netzwerken.
Die Verschlüsselung virtueller Netzwerke verbessert die in Azure vorhandenen Verschlüsselungsfunktionen für die Übertragung. Weitere Informationen zur Verschlüsselung in Azure finden Sie unter Übersicht über die Azure-Verschlüsselung.
Anforderungen
Für die Verschlüsselung virtueller Netzwerke gelten die folgenden Anforderungen:
Die Verschlüsselung des virtuellen Netzwerks wird für die folgenden Instanzen von virtuellen Computern unterstützt:
type VM-Serien VM-SKU Universelle Workloads D-Serie V4
D-Serie V5
D-Serie V6Dv4- und Dsv4-Serie
Ddv4- und Ddsv4-Serie
Dav4- und Dasv4-Serie
Dv5- und Dsv5-Serie
Ddv5- und Ddsv5-Serie
Dlsv5- und Dldsv5-Serie
Dasv5- und Dadsv5-Serie
Dasv6- und Dadsv6-Serie
Dalsv6- und Daldsv6-Serie
Dsv6-SerieE/A-intensive Workloads E-Serie V4
E-Serie V5
E-Serie V6
M-Serie V2
M-Serie V3Ev4 und Esv4-Serie
Edv4- und Edsv4-Serie
Eav4- und Easv4-Serie
Ev5- und Esv5-Serie
Edv5- und Edsv5-Serie
Easv5- und Eadsv5-Serie
Easv6- und Eadsv6-Serie
Mv2-Serie
Msv2- und Mdsv2-Medium Memory-Serie
Msv3- and Mdsv3 Medium Memory-SerieSpeicherintensive Workloads L-Serie V3 LSv3-Serie Computeoptimiert F-Serie V6 Falsv6-Serie
Famsv6-Serie
Fasv6-SerieDer beschleunigte Netzwerkbetrieb muss für die Netzwerkschnittstelle des virtuellen Computers aktiviert sein. Weitere Informationen zu beschleunigtem Netzwerkbetrieb finden Sie unter Was ist beschleunigter Netzwerkbetrieb?.
Die Verschlüsselung wird nur auf den Datenverkehr zwischen den virtuellen Computern in einem virtuellen Netzwerk angewendet. Der Datenverkehr von einer privaten IP-Adresse an eine private IP-Adresse wird verschlüsselt.
Datenverkehr zu nicht unterstützten Virtual Machines ist unverschlüsselt. Verwenden Sie Virtual Network-Datenflussprotokolle, um sich von der Verschlüsselung der Datenflüsse zwischen virtuellen Computern zu überzeugen. Weitere Informationen finden Sie unter Datenflussprotokolle von virtuellen Netzwerken.
Nach dem Aktivieren der Verschlüsselung in einem virtuellen Netzwerk müssen vorhandene virtuelle Computer gestartet/beendet werden.
Verfügbarkeit
Die Azure Virtual Network-Verschlüsselung ist in allen öffentlichen Azure-Regionen allgemein verfügbar und befindet sich derzeit in der öffentlichen Vorschau in Azure Government und Microsoft Azure, betrieben von 21Vianet.
Begrenzungen
Die Azure Virtual Network-Verschlüsselung hat die folgenden Einschränkungen:
In Szenarien, in denen ein PaaS beteiligt ist, bestimmt der virtuelle Computer, auf dem PaaS gehostet wird, ob die Verschlüsselung virtueller Netzwerke unterstützt wird. Der virtuelle Computer muss die aufgeführten Anforderungen erfüllen.
Für den internen Lastenausgleich müssen alle virtuellen Computer hinter dem Lastenausgleichsmodul eine unterstützte VM-SKU sein.
AllowUnencrypted ist die einzige unterstützte Erzwingung bei allgemeiner Verfügbarkeit. Die DropUnencrypted-Erzwingung wird in Zukunft unterstützt.
Virtuelle Netzwerke mit aktivierter Verschlüsselung unterstützen Azure DNS Private Resolver nicht.
Virtuelle Netzwerke, die mit dem Azure Private Link-Dienst konfiguriert sind, unterstützen keine Verschlüsselung virtueller Netzwerke. Deshalb sollte die Verschlüsselung virtueller Netzwerke in diesen virtuellen Netzwerken nicht aktiviert werden.
Der Back-End-Pool eines internen Lastenausgleichs darf keine sekundären IPv4-Konfigurationen der Netzwerkschnittstelle enthalten, um Verbindungsfehler mit dem Lastenausgleich zu verhindern.
Die Verschlüsselung virtueller Netzwerke sollte nicht in virtuellen Netzwerken aktiviert werden, die SKUs für Azure-VMs mit Confidential Computing haben. Wenn Sie Azure-VMs mit Confidential Computing in virtuellen Netzwerken verwenden möchten, in denen die Verschlüsselung virtueller Netzwerke aktiviert ist, gehen Sie wie folgt vor:
- Aktivieren Sie die Option „Beschleunigter Netzwerkbetrieb“ auf der VM-NIC, sofern dies unterstützt wird.
- Wenn die Option „Beschleunigter Netzwerkbetrieb“ nicht unterstützt wird, ändern Sie die VM-SKU in eine SKU, die „Beschleunigter Netzwerkbetrieb“ oder die Verschlüsselung virtueller Netzwerke unterstützt.
Aktivieren Sie die Verschlüsselung virtueller Netzwerke nicht, wenn die VM-SKU die Option „Beschleunigter Netzwerkbetrieb“ und die Verschlüsselung virtueller Netzwerke nicht unterstützt.
Unterstützte Szenarios
Die Verschlüsselung virtueller Netzwerke wird in folgenden Szenarien unterstützt:
Szenario | Unterstützung |
---|---|
VMs im selben virtuellen Netzwerk (einschließlich VM-Skalierungsgruppen und ihr interner Lastenausgleich) | Wird für den Datenverkehr zwischen VMs mit diesen SKUs unterstützt. |
Peering in virtuellen Netzwerken | Wird für den Datenverkehr zwischen VMs über regionales Peering unterstützt. |
Globales Peering virtueller Netzwerke | Wird für den Datenverkehr zwischen VMs über globales Peering unterstützt. |
Azure Kubernetes Service (AKS) | - Wird unter AKS mit Azure CNI (regulär oder Überlagerungsmodus), Kubenet oder BYOCNI unterstützt: Knoten- und Poddatenverkehr wird verschlüsselt. - Teilweise unterstützt unter AKS mit dynamischer Pod-IP-Zuweisung von Azure CNI (podSubnetId angegeben): Knotendatenverkehr wird verschlüsselt, Poddatenverkehr hingegen nicht. - Der ausgehende Datenverkehr zur verwalteten AKS-Steuerungsebene erfolgt über das virtuelle Netzwerk und unterliegt daher nicht der Verschlüsselung virtueller Netzwerke. Dieser Datenverkehr wird jedoch immer über TLS verschlüsselt. |
Hinweis
Andere Dienste, die derzeit keine Verschlüsselung virtueller Netzwerke unterstützen, sind in unserer zukünftigen Roadmap enthalten.