Co to jest szyfrowanie usługi Azure Virtual Network?
Szyfrowanie usługi Azure Virtual Network to funkcja sieci wirtualnych platformy Azure. Szyfrowanie sieci wirtualnej umożliwia bezproblemowe szyfrowanie i odszyfrowywanie ruchu między usługą Azure Virtual Machines przez utworzenie tunelu DTLS.
Szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu między maszynami wirtualnymi i zestawami skalowania maszyn wirtualnych w tej samej sieci wirtualnej. Szyfrowanie sieci wirtualnej szyfruje ruch między regionalnymi i globalnie równorzędnymi sieciami wirtualnymi. Aby uzyskać więcej informacji na temat komunikacji równorzędnej sieci wirtualnych, zobacz Komunikacja równorzędna sieci wirtualnych.
Szyfrowanie sieci wirtualnej zwiększa istniejące możliwości szyfrowania podczas przesyłania na platformie Azure. Aby uzyskać więcej informacji na temat szyfrowania na platformie Azure, zobacz Omówienie usługi Azure Encryption.
Wymagania
Szyfrowanie sieci wirtualnej ma następujące wymagania:
Szyfrowanie sieci wirtualnej jest obsługiwane w następujących rozmiarach wystąpień maszyny wirtualnej:
Typ Serie maszyn wirtualnych Jednostka SKU maszyny wirtualnej Obciążenia ogólnego przeznaczenia Seria D serii V4
D5 V5
V6Serie
Dv4 i Dsv4 ddv4 i Ddsv4 serii
Dav4 i Dasv4
serii Dv5 i Dsv5
serii Ddv5 i Ddsv5 serii
Dlsv5 i Dldsv5 serii
Dasv5 i Dadsv5
serii Dasv6 i Dadsv6 serii Dalsv6 i Daldsv6
serii Dsv6
Obciążenia intensywnie korzystające z pamięci Seria E Z serii V4
E5 serii E5
seria V6
M-series V2 V3Serie Ev4 i Esv4 serii
Edv4 i Edsv4 serii
Eav4 i Easv4
Ev5 i Esv5
serii Edv5 i Edsv5 serii
Easv5 i Eadsv5 serii
Easv6 i Eadsv6
serii Mv2 serii
Msv2 i Mdsv2 — średnia seria pamięci
Msv3 i Mdsv3 — średnia seria pamięciObciążenia intensywnie korzystające z magazynu Seria L V3 Seria LSv3 Optymalizacja pod kątem obliczeń Seria F V6 Falsv6 serii
Famsv6 serii
Fasv6Przyspieszona sieć musi być włączona w interfejsie sieciowym maszyny wirtualnej. Aby uzyskać więcej informacji na temat przyspieszonej sieci, zobacz Co to jest przyspieszona sieć?
Szyfrowanie jest stosowane tylko do ruchu między maszynami wirtualnymi w sieci wirtualnej. Ruch jest szyfrowany z prywatnego adresu IP do prywatnego adresu IP.
Ruch do nieobsługiwanych maszyn wirtualnych jest niezaszyfrowany. Użyj dzienników przepływu sieci wirtualnej, aby potwierdzić szyfrowanie przepływu między maszynami wirtualnymi. Aby uzyskać więcej informacji, zobacz Dzienniki przepływu sieci wirtualnej.
Uruchamianie/zatrzymywanie istniejących maszyn wirtualnych jest wymagane po włączeniu szyfrowania w sieci wirtualnej.
Dostępność
Szyfrowanie usługi Azure Virtual Network jest ogólnie dostępne we wszystkich regionach publicznych platformy Azure i jest obecnie w publicznej wersji zapoznawczej na platformie Azure Government i platformie Microsoft Azure obsługiwanej przez firmę 21Vianet.
Ograniczenia
Szyfrowanie usługi Azure Virtual Network ma następujące ograniczenia:
W scenariuszach, w których występuje usługa PaaS, maszyna wirtualna, na której jest hostowana usługa PaaS, określa, czy szyfrowanie sieci wirtualnej jest obsługiwane. Maszyna wirtualna musi spełniać wymienione wymagania.
W przypadku wewnętrznego modułu równoważenia obciążenia wszystkie maszyny wirtualne za modułem równoważenia obciążenia muszą być obsługiwaną jednostkę SKU maszyny wirtualnej.
AllowUnencrypted to jedyne obsługiwane wymuszanie w ogólnej dostępności. Wymuszanie dropUnencrypted będzie obsługiwane w przyszłości.
Sieci wirtualne z włączonym szyfrowaniem nie obsługują usługi Rozpoznawanie prywatne usługi Azure DNS.
Sieci wirtualne skonfigurowane za pomocą usługi Azure Private Link nie obsługują szyfrowania sieci wirtualnej, dlatego szyfrowanie sieci wirtualnej nie powinno być włączone w tych sieciach wirtualnych.
Szyfrowanie sieci wirtualnej nie powinno być włączone w sieciach wirtualnych, które mają poufne jednostki SKU maszyn wirtualnych przetwarzania na platformie Azure. Jeśli chcesz używać maszyn wirtualnych do przetwarzania poufnego platformy Azure w sieciach wirtualnych, w których włączono szyfrowanie sieci wirtualnej, wykonaj:
- Włącz przyspieszoną sieć na karcie sieciowej maszyny wirtualnej, jeśli jest obsługiwana.
- Jeśli przyspieszona sieć nie jest obsługiwana, zmień jednostkę SKU maszyny wirtualnej na taką, która obsługuje przyspieszoną sieć lub szyfrowanie sieci wirtualnej.
Nie włączaj szyfrowania sieci wirtualnej, jeśli jednostka SKU maszyny wirtualnej nie obsługuje przyspieszonej sieci ani szyfrowania sieci wirtualnej.
Obsługiwane scenariusze
Szyfrowanie sieci wirtualnej jest obsługiwane w następujących scenariuszach:
| Scenariusz | Pomoc techniczna |
|---|---|
| Maszyny wirtualne w tej samej sieci wirtualnej (w tym zestawy skalowania maszyn wirtualnych i ich wewnętrzny moduł równoważenia obciążenia) | Obsługiwane w przypadku ruchu między maszynami wirtualnymi z tych jednostek SKU. |
| Komunikacja równorzędna sieci wirtualnej | Obsługiwane w przypadku ruchu między maszynami wirtualnymi między regionalną komunikacją równorzędną. |
| Globalne wirtualne sieci równorzędne | Obsługiwane w przypadku ruchu między maszynami wirtualnymi w globalnej komunikacji równorzędnej. |
| Azure Kubernetes Service (AKS) | — Obsługiwane w usłudze AKS przy użyciu usługi Azure CNI (zwykłego lub nakładki), rozwiązania Kubenet lub BYOCNI: ruch węzłów i zasobników jest szyfrowany. — Częściowo obsługiwane w usłudze AKS przy użyciu dynamicznego przypisania adresu IP zasobnika usługi Azure CNI (określonego podSubnetId): ruch węzła jest szyfrowany, ale ruch zasobnika nie jest szyfrowany. — Ruch do ruchu wychodzącego zarządzanej płaszczyzny sterowania usługi AKS z sieci wirtualnej i w związku z tym nie znajduje się w zakresie szyfrowania sieci wirtualnej. Jednak ten ruch jest zawsze szyfrowany za pośrednictwem protokołu TLS. |
Uwaga
Inne usługi, które obecnie nie obsługują szyfrowania sieci wirtualnej, są uwzględnione w naszym przyszłym planie działania.