次の方法で共有


Azure 仮想ネットワーク暗号化とは?

Azure 仮想ネットワーク暗号化は、Azure 仮想ネットワークの機能です。 仮想ネットワーク暗号化を使用すると、DTLS トンネルを作成することで、Azure 仮想マシン間のトラフィックをシームレスに暗号化および復号化できます。

仮想ネットワーク暗号化を使用すると、同じ仮想ネットワーク内の仮想マシンと仮想マシン スケール セット間のトラフィックを暗号化できます。 仮想ネットワーク暗号化により、リージョンとグローバルでピアリングされた仮想ネットワーク間のトラフィックが暗号化されます。 仮想ネットワーク ピアリングの詳細については、「仮想ネットワーク ピアリング」をご覧ください。

仮想ネットワーク暗号化により、Azure の既存の転送中の暗号化機能が強化されます。 Azure の暗号化の詳細については、「Azure 暗号化の概要」を参照してください。

要件

仮想ネットワーク暗号化には、次の要件があります。

可用性

Azure Virtual Network 暗号化は、すべての Azure パブリック リージョンで一般提供されており、現在、21Vianet が運営する Azure Government と Microsoft Azure ではパブリック プレビュー段階です。

制限事項

Azure Virtual Network 暗号化には、次の制限があります。

  • PaaS が関係するシナリオでは、PaaS がホストされている仮想マシンによって、仮想ネットワーク暗号化がサポートされているかどうかが決まります。 仮想マシンは、一覧表示されている要件を満たしている必要があります。

  • 内部ロード バランサーについては、ロード バランサーの背後にあるすべての仮想マシンは、サポートされている仮想マシン SKU である必要があります。

  • AllowUnencrypted は、一般提供時にサポートされている唯一の強制です。 DropUnencrypted の強制は、今後サポートされる予定です。

  • 暗号化が有効な仮想ネットワークでは、Azure DNS Private Resolver はサポートされていません。

  • Azure Private Link サービスを使って構成された仮想ネットワークでは仮想ネットワーク暗号化がサポートされていないため、これらの仮想ネットワークで仮想ネットワーク暗号化を有効にしないでください。

  • ロード バランサーへの接続エラーを防ぐために、内部ロード バランサーのバックエンド プールにネットワーク インターフェイスのセカンダリ IPv4 構成を含めないでください。

  • Azure 機密コンピューティング VM SKU を使用する仮想ネットワークでは、仮想ネットワーク暗号化を有効にしないでください。 仮想ネットワーク暗号化が有効になっている仮想ネットワークで Azure 機密コンピューティング VM を使いたい場合は、次のようにします。

    • サポートされている場合は、VM の NIC で高速ネットワークを有効にします。
    • 高速ネットワークがサポートされていない場合は、VM SKU を、高速ネットワークまたは仮想ネットワーク暗号化をサポートする SKU に変更します。

    VM SKU が高速ネットワークまたは仮想ネットワーク暗号化をサポートしていない場合は、仮想ネットワーク暗号化を有効にしないでください。

サポートされるシナリオ

仮想ネットワーク暗号化がサポートされているのは以下のシナリオにおいてです。

シナリオ サポート
同じ仮想ネットワーク内の仮想マシン (仮想マシン スケール セットとその内部ロード バランサーを含む) これらの SKU の仮想マシン間のトラフィックでサポートされます。
仮想ネットワーク ピアリング リージョン ピアリングを介した仮想マシン間のトラフィックでサポートされます。
グローバル仮想ネットワーク ピアリング グローバル ピアリングを介した仮想マシン間のトラフィックでサポートされます。
Azure Kubernetes Service (AKS) - Azure CNI (通常またはオーバーレイ モード)、kubenet、または BYOCNI を使用する AKS でサポートされます。ノードとポッドのトラフィックが暗号化されます。
- Azure CNI 動的ポッド IP 割り当て (podSubnetId を指定) を使用する AKS で部分的にサポートされます。ノード トラフィックは暗号化されますが、ポッド トラフィックは暗号化されません。
- AKS マネージド コントロール プレーンへのトラフィックは仮想ネットワークから送信されるため、仮想ネットワーク暗号化の対象外です。 ただし、このトラフィックは常に TLS 経由で暗号化されます。

Note

現在仮想ネットワーク暗号化をサポートしていないその他のサービスは、今後のロードマップに含まれています。