Azure 仮想ネットワーク暗号化とは?
Azure 仮想ネットワーク暗号化は、Azure 仮想ネットワークの機能です。 仮想ネットワーク暗号化を使用すると、DTLS トンネルを作成することで、Azure 仮想マシン間のトラフィックをシームレスに暗号化および復号化できます。
仮想ネットワーク暗号化を使用すると、同じ仮想ネットワーク内の仮想マシンと仮想マシン スケール セット間のトラフィックを暗号化できます。 仮想ネットワーク暗号化により、リージョンとグローバルでピアリングされた仮想ネットワーク間のトラフィックが暗号化されます。 仮想ネットワーク ピアリングの詳細については、「仮想ネットワーク ピアリング」をご覧ください。
仮想ネットワーク暗号化により、Azure の既存の転送中の暗号化機能が強化されます。 Azure の暗号化の詳細については、「Azure 暗号化の概要」を参照してください。
要件
仮想ネットワーク暗号化には、次の要件があります。
Virtual Network 暗号化は、次の仮想マシン インスタンス サイズでサポートされています。
Type VM シリーズ VM の SKU 汎用ワークロード D シリーズ V4
D シリーズ V5
D シリーズ V6Dv4 と Dsv4 シリーズ
Ddv4 と Ddsv4 シリーズ
Dav4 と Dasv4 シリーズ
Dv5 と Dsv5 シリーズ
Ddv5 と Ddsv5 シリーズ
Dlsv5 と Dldsv5 シリーズ
Dasv5 と Dadsv5 シリーズ
Dasv6 と Dadsv6 シリーズ
Dalsv6 と Daldsv6 シリーズ
Dsv6 シリーズメモリ集中型ワークロード E シリーズ V4
E シリーズ V5
E シリーズ V6
M シリーズ V2
M シリーズ V3Ev4 と Esv4 シリーズ
Edv4 と Edsv4 シリーズ
Eav4 と Easv4 シリーズ
Ev5 と Esv5 シリーズ
Edv5 と Edsv5 シリーズ
Easv5 と Eadsv5 シリーズ
Easv6 と Eadsv6 シリーズ
Mv2 シリーズ
Msv2 および Mdsv2 ミディアム メモリ シリーズ
Msv3 および Mdsv3 ミディアム メモリ シリーズストレージ集中型ワークロード L シリーズ V3 LSv3 シリーズ コンピューティングの最適化 F シリーズ V6 Falsv6 シリーズ
Famsv6 シリーズ
Fasv6 シリーズ高速ネットワークを仮想マシンのネットワーク インターフェイスで有効にする必要があります。 高速ネットワークの詳細については、「高速ネットワークとは?」を参照してください。
暗号化は、仮想ネットワーク内の仮想マシン間のトラフィックにのみ適用されます。 トラフィックは、プライベート IP アドレス間で暗号化されます。
サポートされていない仮想マシンへのトラフィックは暗号化されません。 仮想ネットワーク フロー ログを使用して、仮想マシン間のフロー暗号化を確認します。 詳細については、Virtual Network フロー ログに関する記事を参照してください。
仮想ネットワークで暗号化を有効にした後、既存の仮想マシンの開始/停止が必要になります。
可用性
Azure Virtual Network 暗号化は、すべての Azure パブリック リージョンで一般提供されており、現在、21Vianet が運営する Azure Government と Microsoft Azure ではパブリック プレビュー段階です。
制限事項
Azure Virtual Network 暗号化には、次の制限があります。
PaaS が関係するシナリオでは、PaaS がホストされている仮想マシンによって、仮想ネットワーク暗号化がサポートされているかどうかが決まります。 仮想マシンは、一覧表示されている要件を満たしている必要があります。
内部ロード バランサーについては、ロード バランサーの背後にあるすべての仮想マシンは、サポートされている仮想マシン SKU である必要があります。
AllowUnencrypted は、一般提供時にサポートされている唯一の強制です。 DropUnencrypted の強制は、今後サポートされる予定です。
暗号化が有効な仮想ネットワークでは、Azure DNS Private Resolver はサポートされていません。
Azure Private Link サービスを使って構成された仮想ネットワークでは仮想ネットワーク暗号化がサポートされていないため、これらの仮想ネットワークで仮想ネットワーク暗号化を有効にしないでください。
ロード バランサーへの接続エラーを防ぐために、内部ロード バランサーのバックエンド プールにネットワーク インターフェイスのセカンダリ IPv4 構成を含めないでください。
Azure 機密コンピューティング VM SKU を使用する仮想ネットワークでは、仮想ネットワーク暗号化を有効にしないでください。 仮想ネットワーク暗号化が有効になっている仮想ネットワークで Azure 機密コンピューティング VM を使いたい場合は、次のようにします。
- サポートされている場合は、VM の NIC で高速ネットワークを有効にします。
- 高速ネットワークがサポートされていない場合は、VM SKU を、高速ネットワークまたは仮想ネットワーク暗号化をサポートする SKU に変更します。
VM SKU が高速ネットワークまたは仮想ネットワーク暗号化をサポートしていない場合は、仮想ネットワーク暗号化を有効にしないでください。
サポートされるシナリオ
仮想ネットワーク暗号化がサポートされているのは以下のシナリオにおいてです。
シナリオ | サポート |
---|---|
同じ仮想ネットワーク内の仮想マシン (仮想マシン スケール セットとその内部ロード バランサーを含む) | これらの SKU の仮想マシン間のトラフィックでサポートされます。 |
仮想ネットワーク ピアリング | リージョン ピアリングを介した仮想マシン間のトラフィックでサポートされます。 |
グローバル仮想ネットワーク ピアリング | グローバル ピアリングを介した仮想マシン間のトラフィックでサポートされます。 |
Azure Kubernetes Service (AKS) | - Azure CNI (通常またはオーバーレイ モード)、kubenet、または BYOCNI を使用する AKS でサポートされます。ノードとポッドのトラフィックが暗号化されます。 - Azure CNI 動的ポッド IP 割り当て (podSubnetId を指定) を使用する AKS で部分的にサポートされます。ノード トラフィックは暗号化されますが、ポッド トラフィックは暗号化されません。 - AKS マネージド コントロール プレーンへのトラフィックは仮想ネットワークから送信されるため、仮想ネットワーク暗号化の対象外です。 ただし、このトラフィックは常に TLS 経由で暗号化されます。 |
Note
現在仮想ネットワーク暗号化をサポートしていないその他のサービスは、今後のロードマップに含まれています。