다음을 통해 공유


Azure Virtual Network 암호화란?

Azure Virtual Network 암호화는 Azure Virtual Networks의 기능입니다. 가상 네트워크 암호화를 사용하면 DTLS 터널을 만들어 Azure Virtual Machines 간에 트래픽을 원활하게 암호화 및 암호 해독할 수 있습니다.

가상 네트워크 암호화를 사용하면 동일한 가상 네트워크 내에서 Virtual Machines와 Virtual Machine Scale Sets 간의 트래픽을 암호화할 수 있습니다. 가상 네트워크 암호화는 지역적으로 피어링된 가상 네트워크와 전역적으로 피어링된 가상 네트워크 간의 트래픽을 암호화합니다. 가상 네트워크 피어링에 대한 자세한 내용은 가상 네트워크 피어링을 참조하세요.

가상 네트워크 암호화는 Azure의 기존 전송 중 암호화 기능을 향상시킵니다. Azure의 암호화에 대한 자세한 내용은 Azure 암호화 개요를 참조하세요.

요구 사항

가상 네트워크 암호화에는 다음과 같은 요구 사항이 있습니다.

가용성

Azure Virtual Network 암호화는 일반적으로 모든 Azure 퍼블릭 지역에서 사용할 수 있으며 현재 21Vianet에서 운영하는 Azure Government 및 Microsoft Azure에서 공개 미리 보기로 제공됩니다.

제한 사항

Azure Virtual Network 암호화에는 다음과 같은 제한 사항이 있습니다.

  • PaaS가 관련된 시나리오에서 PaaS가 호스트되는 가상 머신은 가상 네트워크 암호화가 지원되는지를 여부를 나타냅니다. 가상 머신은 나열된 요구 사항을 충족해야 합니다.

  • 내부 부하 분산 장치의 경우 부하 분산 장치 뒤에 있는 모든 가상 머신은 지원되는 가상 머신 SKU여야 합니다.

  • AllowUnencrypted는 일반 공급에서 유일하게 지원되는 적용입니다. DropUnencrypted 적용은 향후 지원될 예정입니다.

  • 암호화가 사용하도록 설정된 가상 네트워크는 Azure DNS Private Resolver를 지원하지 않습니다.

  • Azure Private Link 서비스로 구성된 가상 네트워크는 Virtual Network 암호화를 지원하지 않으므로 이러한 가상 네트워크에서 Virtual Network 암호화를 사용하도록 설정하면 안 됩니다.

  • 내부 부하 분산 장치의 백 엔드 풀에는 부하 분산 장치에 대한 연결 오류를 방지하기 위해 네트워크 인터페이스 보조 IPv4 구성이 포함되어서는 안 됩니다.

  • Azure 기밀 컴퓨팅 VM SKU가 있는 가상 네트워크에서는 Virtual Network 암호화를 사용하도록 설정해서는 안 됩니다. Virtual Network 암호화를 사용하는 가상 네트워크에서 Azure 기밀 컴퓨팅 VM을 사용하려면 다음을 수행합니다.

    • 지원되는 경우 VM의 NIC에서 가속화된 네트워킹을 사용하도록 설정합니다.
    • 가속화된 네트워킹이 지원되지 않는 경우 VM SKU를 가속화된 네트워킹 또는 Virtual Network 암호화를 지원하는 SKU로 변경합니다.

    VM SKU가 가속화된 네트워킹 또는 Virtual Network 암호화를 지원하지 않는 경우 Virtual Network 암호화를 사용하도록 설정하지 마세요.

지원되는 시나리오

가상 네트워크 암호화는 다음 시나리오에서 지원됩니다.

시나리오 지원
동일한 가상 네트워크의 가상 머신(가상 머신 확장 집합 및 내부 부하 분산 장치 포함) 이러한 SKU의 가상 머신 간 트래픽에서 지원됩니다.
가상 네트워크 피어링 지역 피어링 간 가상 머신 간의 트래픽에서 지원됩니다.
전역 가상 네트워크 피어링 전역 피어링에서 가상 머신 간의 트래픽에서 지원됩니다.
AKS(Azure Kubernetes Service) - Azure CNI(일반 또는 오버레이 모드), Kubenet 또는 BYOCNI를 사용하는 AKS에서 지원됩니다. 노드 및 Pod 트래픽이 암호화됩니다.
- Azure CNI 동적 Pod IP 할당(podSubnetId 지정)을 사용하여 AKS에서 부분적으로 지원됩니다. 노드 트래픽은 암호화되지만 Pod 트래픽은 암호화되지 않습니다.
- AKS 관리 컨트롤 플레인에 대한 트래픽이 가상 네트워크에서 송신되므로 가상 네트워크 암호화 범위에 포함되지 않습니다. 그러나 이 트래픽은 항상 TLS를 통해 암호화됩니다.

참고 항목

현재 가상 네트워크 암호화를 지원하지 않는 기타 서비스는 향후 로드맵에 포함됩니다.