Wat is Azure Virtual Network-versleuteling?

Azure Virtual Network-versleuteling is een functie van Azure Virtual Networks. Met versleuteling van virtuele netwerken kunt u verkeer naadloos versleutelen en ontsleutelen tussen virtuele Azure-machines door een DTLS-tunnel te maken.

Met versleuteling van virtuele netwerken kunt u verkeer tussen virtuele machines en virtuele-machinesschaalsets binnen hetzelfde virtuele netwerk versleutelen. Met versleuteling van virtueel netwerk versleutelt u verkeer tussen regionale en wereldwijd gekoppelde virtuele netwerken. Zie Peering van virtuele netwerken voor meer informatie over peering van virtuele netwerken.

Versleuteling van virtuele netwerken verbetert bestaande versleuteling in transitmogelijkheden in Azure. Zie het overzicht van Azure-versleuteling voor meer informatie over versleuteling in Azure.

Vereisten

Versleuteling van virtueel netwerk heeft de volgende vereisten:

• Versleuteling van virtueel netwerk wordt ondersteund op de volgende vm-exemplaren:

  Type	VM-serie	VM-SKU
  Workloads voor algemeen gebruik	D-serie V4 D-serie V5 D-serie V6	Dv4- en Dsv4-serie Ddv4- en Ddsv4-serie Dav4- en Dasv4-serie Dv5- en Dsv5-serie Ddv5- en Ddsv5-serie Dlsv5- en Dldsv5-serie Dasv5- en Dadsv5-serie Dasv6- en Dadsv6-serie Dalsv6 en Daldsv6-serie Dsv6-serie
  Geheugenintensieve workloads	E-serie V4 E-serie V5 E-serie V6 M-serie V2 M-serie V3	Ev4- en Esv4-serie Edv4 en Edsv4-serie Eav4 en Easv4-serie Ev5 en Esv5-serie Edv5 en Edsv5-serie Easv5 en Eadsv5-serie Easv6 en Eadsv6-serie Mv2-serie Msv2 en Mdsv2 Medium Memory series Msv3- en Mdsv3-serie gemiddeld geheugen
  Opslagintensieve workloads	L-serie V3	LSv3-serie
  Geoptimaliseerde rekenkracht	V6 uit de F-serie	Fasv6-serie Fasv6-serie Fasv6-serie

• Versneld netwerken moet zijn ingeschakeld op de netwerkinterface van de virtuele machine. Zie Wat is Versneld netwerken ?

• Versleuteling wordt alleen toegepast op verkeer tussen virtuele machines in een virtueel netwerk. Verkeer wordt versleuteld van een privé-IP-adres naar een privé-IP-adres.

• Verkeer naar niet-ondersteunde virtuele machines wordt niet versleuteld. Gebruik stroomlogboeken voor virtuele netwerken om stroomversleuteling tussen virtuele machines te bevestigen. Zie Stroomlogboeken voor virtuele netwerken voor meer informatie.

• Het starten/stoppen van bestaande virtuele machines is vereist na het inschakelen van versleuteling in een virtueel netwerk.

Beschikbaarheid

Azure Virtual Network-versleuteling is algemeen beschikbaar in alle openbare Azure-regio's en is momenteel in openbare preview in Azure Government en Microsoft Azure beheerd door 21Vianet.

Beperkingen

Azure Virtual Network-versleuteling heeft de volgende beperkingen:

• In scenario's waarin een PaaS is betrokken, bepaalt de virtuele machine waarop paaS wordt gehost, of versleuteling van virtuele netwerken wordt ondersteund. De virtuele machine moet voldoen aan de vermelde vereisten.

• Voor interne load balancer moeten alle virtuele machines achter de load balancer een ondersteunde SKU voor virtuele machines zijn.

• AllowUnencrypted is de enige ondersteunde afdwinging bij algemene beschikbaarheid. DropUnencrypted afdwinging wordt in de toekomst ondersteund.

• Virtuele netwerken waarvoor versleuteling is ingeschakeld, bieden geen ondersteuning voor privé-resolver van Azure DNS.

• Virtuele netwerken die zijn geconfigureerd met de Azure Private Link-service bieden geen ondersteuning voor Versleuteling van virtueel netwerk, dus Virtual Network-versleuteling mag niet worden ingeschakeld voor deze virtuele netwerken.

• De back-endpool van een interne load balancer mag geen secundaire IPv4-configuraties van de netwerkinterface bevatten om verbindingsfouten met de load balancer te voorkomen.

• Versleuteling van virtueel netwerk mag niet worden ingeschakeld in virtuele netwerken met VM-SKU's van Azure Confidential Computing. Als u azure Confidential Computing-VM's wilt gebruiken in virtuele netwerken waarvoor Virtual Network-versleuteling is ingeschakeld, gaat u als volgt te werk:

  • Schakel versneld netwerken in op de NIC van de virtuele machine als deze wordt ondersteund.
  • Als versneld netwerken niet wordt ondersteund, wijzigt u de VM-SKU in een SKU die ondersteuning biedt voor versneld netwerken of versleuteling van virtuele netwerken.

  Schakel versleuteling van virtueel netwerk niet in als de VM-SKU geen ondersteuning biedt voor versneld netwerken of versleuteling van virtuele netwerken.

Ondersteunde scenario's

Versleuteling van virtueel netwerk wordt ondersteund in de volgende scenario's:

Scenario	Ondersteuning
Virtuele machines in hetzelfde virtuele netwerk (inclusief virtuele-machineschaalsets en hun interne load balancer)	Ondersteund voor verkeer tussen virtuele machines vanuit deze SKU's.
Peering op virtueel netwerk	Ondersteund voor verkeer tussen virtuele machines in regionale peering.
Wereldwijde VNET-peering	Ondersteund voor verkeer tussen virtuele machines in wereldwijde peering.
Azure Kubernetes Service (AKS)	- Ondersteund op AKS met behulp van Azure CNI (normale modus of overlaymodus), Kubenet of BYOCNI: knooppunt- en podverkeer wordt versleuteld. - Gedeeltelijk ondersteund op AKS met behulp van Azure CNI Dynamic Pod IP Assignment (podSubnetId opgegeven): knooppuntverkeer wordt versleuteld, maar podverkeer wordt niet versleuteld. - Verkeer naar het beheerde besturingsvlak van AKS vanuit het virtuele netwerk en valt dus niet binnen het bereik voor versleuteling van virtuele netwerken. Dit verkeer wordt echter altijd versleuteld via TLS.

Notitie

Andere services die momenteel geen ondersteuning bieden voor versleuteling van virtuele netwerken, worden opgenomen in onze toekomstige roadmap.

Gerelateerde inhoud

• Maak een virtueel netwerk met versleuteling met behulp van Azure Portal.
• Veelgestelde vragen over versleuteling van virtuele netwerken (FAQ).
• Wat is Azure Virtual Network?