Freigeben über


Was ist Azure Virtual Network-Verschlüsselung?

Die Azure Virtual Network-Verschlüsselung ist ein Feature von Azure Virtual Network. Mit der Verschlüsselung virtueller Netzwerke können Sie den Datenverkehr zwischen Azure Virtual Machines nahtlos ver- und entschlüsseln.

Mit der Verschlüsselung virtueller Netzwerke können Sie Datenverkehr zwischen Microsoft Azure Virtual Machines und Microsoft Azure Virtual Machine Scale Sets innerhalb desselben virtuellen Netzwerks verschlüsseln. Durch die Verschlüsselung virtueller Netzwerke wird der Datenverkehr zwischen regionalen und globalen virtuellen Peernetzwerken verschlüsselt. Weitere Informationen zum Peering virtueller Netzwerke finden Sie unter Peering in virtuellen Netzwerken.

Die Verschlüsselung virtueller Netzwerke verbessert die in Azure vorhandenen Verschlüsselungsfunktionen für die Übertragung. Weitere Informationen zur Verschlüsselung in Azure finden Sie unter Übersicht über die Azure-Verschlüsselung.

Anforderungen

Für die Verschlüsselung virtueller Netzwerke gelten die folgenden Anforderungen:

Verfügbarkeit

Die Azure Virtual Network-Verschlüsselung ist in allen öffentlichen Azure-Regionen allgemein verfügbar und befindet sich derzeit in der öffentlichen Vorschau in Azure Government und Microsoft Azure, betrieben von 21Vianet.

Begrenzungen

Die Azure Virtual Network-Verschlüsselung hat die folgenden Einschränkungen:

  • In Szenarien, in denen ein PaaS beteiligt ist, bestimmt der virtuelle Computer, auf dem PaaS gehostet wird, ob die Verschlüsselung virtueller Netzwerke unterstützt wird. Der virtuelle Computer muss die aufgeführten Anforderungen erfüllen.

  • Für den internen Lastenausgleich müssen alle virtuellen Computer hinter dem Lastenausgleichsmodul eine unterstützte VM-SKU sein.

  • AllowUnencrypted ist die einzige unterstützte Erzwingung bei allgemeiner Verfügbarkeit. Die DropUnencrypted-Erzwingung wird in Zukunft unterstützt.

  • Virtuelle Netzwerke mit aktivierter Verschlüsselung unterstützen Azure DNS Private Resolver nicht.

  • Virtuelle Netzwerke, die mit dem Azure Private Link-Dienst konfiguriert sind, unterstützen keine Verschlüsselung virtueller Netzwerke. Deshalb sollte die Verschlüsselung virtueller Netzwerke in diesen virtuellen Netzwerken nicht aktiviert werden.

  • Der Back-End-Pool eines internen Lastenausgleichs darf keine sekundären IPv4-Konfigurationen der Netzwerkschnittstelle enthalten, um Verbindungsfehler mit dem Lastenausgleich zu verhindern.

  • Die Verschlüsselung virtueller Netzwerke sollte nicht in virtuellen Netzwerken aktiviert werden, die SKUs für Azure-VMs mit Confidential Computing haben. Wenn Sie Azure-VMs mit Confidential Computing in virtuellen Netzwerken verwenden möchten, in denen die Verschlüsselung virtueller Netzwerke aktiviert ist, gehen Sie wie folgt vor:

    • Aktivieren Sie die Option „Beschleunigter Netzwerkbetrieb“ auf der VM-NIC, sofern dies unterstützt wird.
    • Wenn die Option „Beschleunigter Netzwerkbetrieb“ nicht unterstützt wird, ändern Sie die VM-SKU in eine SKU, die „Beschleunigter Netzwerkbetrieb“ oder die Verschlüsselung virtueller Netzwerke unterstützt.

    Aktivieren Sie die Verschlüsselung virtueller Netzwerke nicht, wenn die VM-SKU die Option „Beschleunigter Netzwerkbetrieb“ und die Verschlüsselung virtueller Netzwerke nicht unterstützt.

Unterstützte Szenarios

Die Verschlüsselung virtueller Netzwerke wird in folgenden Szenarien unterstützt:

Szenario Unterstützung
VMs im selben virtuellen Netzwerk (einschließlich VM-Skalierungsgruppen und ihr interner Lastenausgleich) Wird für den Datenverkehr zwischen VMs mit diesen SKUs unterstützt.
Peering in virtuellen Netzwerken Wird für den Datenverkehr zwischen VMs über regionales Peering unterstützt.
Globales Peering virtueller Netzwerke Wird für den Datenverkehr zwischen VMs über globales Peering unterstützt.
Azure Kubernetes Service (AKS) - Wird unter AKS mit Azure CNI (regulär oder Überlagerungsmodus), Kubenet oder BYOCNI unterstützt: Knoten- und Poddatenverkehr wird verschlüsselt.
- Teilweise unterstützt unter AKS mit dynamischer Pod-IP-Zuweisung von Azure CNI (podSubnetId angegeben): Knotendatenverkehr wird verschlüsselt, Poddatenverkehr hingegen nicht.
- Der ausgehende Datenverkehr zur verwalteten AKS-Steuerungsebene erfolgt über das virtuelle Netzwerk und unterliegt daher nicht der Verschlüsselung virtueller Netzwerke. Dieser Datenverkehr wird jedoch immer über TLS verschlüsselt.

Hinweis

Andere Dienste, die derzeit keine Verschlüsselung virtueller Netzwerke unterstützen, sind in unserer zukünftigen Roadmap enthalten.