Udostępnij za pośrednictwem


Co to jest szyfrowanie usługi Azure Virtual Network?

Szyfrowanie usługi Azure Virtual Network to funkcja sieci wirtualnych platformy Azure. Szyfrowanie sieci wirtualnej umożliwia bezproblemowe szyfrowanie i odszyfrowywanie ruchu między usługą Azure Virtual Machines przez utworzenie tunelu DTLS.

Szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu między maszynami wirtualnymi i zestawami skalowania maszyn wirtualnych w tej samej sieci wirtualnej. Szyfrowanie sieci wirtualnej szyfruje ruch między regionalnymi i globalnie równorzędnymi sieciami wirtualnymi. Aby uzyskać więcej informacji na temat komunikacji równorzędnej sieci wirtualnych, zobacz Komunikacja równorzędna sieci wirtualnych.

Szyfrowanie sieci wirtualnej zwiększa istniejące możliwości szyfrowania podczas przesyłania na platformie Azure. Aby uzyskać więcej informacji na temat szyfrowania na platformie Azure, zobacz Omówienie usługi Azure Encryption.

Wymagania

Szyfrowanie sieci wirtualnej ma następujące wymagania:

  • Szyfrowanie sieci wirtualnej jest obsługiwane w następujących rozmiarach wystąpień maszyny wirtualnej:

    Typ Serie maszyn wirtualnych Jednostka SKU maszyny wirtualnej
    Obciążenia ogólnego przeznaczenia Seria D serii V4
    D5 V5
    V6
    Serie
    Dv4 i Dsv4 ddv4 i Ddsv4 serii

    Dav4 i Dasv4

    serii Dv5 i Dsv5

    serii Ddv5 i Ddsv5 serii
    Dlsv5 i Dldsv5 serii

    Dasv5 i Dadsv5
    serii Dasv6 i Dadsv6 serii Dalsv6 i Daldsv6
    serii Dsv6

    Obciążenia intensywnie korzystające z pamięci Seria E Z serii V4
    E5 serii E5
    seria V6
    M-series V2 V3
    Serie Ev4 i Esv4 serii
    Edv4 i Edsv4 serii
    Eav4 i Easv4
    Ev5 i Esv5

    serii Edv5 i Edsv5 serii
    Easv5 i Eadsv5 serii

    Easv6 i Eadsv6
    serii Mv2 serii
    Msv2 i Mdsv2 — średnia seria pamięci

    Msv3 i Mdsv3 — średnia seria pamięci
    Obciążenia intensywnie korzystające z magazynu Seria L V3 Seria LSv3
    Optymalizacja pod kątem obliczeń Seria F V6 Falsv6 serii
    Famsv6 serii

    Fasv6
  • Przyspieszona sieć musi być włączona w interfejsie sieciowym maszyny wirtualnej. Aby uzyskać więcej informacji na temat przyspieszonej sieci, zobacz Co to jest przyspieszona sieć?

  • Szyfrowanie jest stosowane tylko do ruchu między maszynami wirtualnymi w sieci wirtualnej. Ruch jest szyfrowany z prywatnego adresu IP do prywatnego adresu IP.

  • Ruch do nieobsługiwanych maszyn wirtualnych jest niezaszyfrowany. Użyj dzienników przepływu sieci wirtualnej, aby potwierdzić szyfrowanie przepływu między maszynami wirtualnymi. Aby uzyskać więcej informacji, zobacz Dzienniki przepływu sieci wirtualnej.

  • Uruchamianie/zatrzymywanie istniejących maszyn wirtualnych jest wymagane po włączeniu szyfrowania w sieci wirtualnej.

Dostępność

Szyfrowanie usługi Azure Virtual Network jest ogólnie dostępne we wszystkich regionach publicznych platformy Azure i jest obecnie w publicznej wersji zapoznawczej na platformie Azure Government i platformie Microsoft Azure obsługiwanej przez firmę 21Vianet.

Ograniczenia

Szyfrowanie usługi Azure Virtual Network ma następujące ograniczenia:

  • W scenariuszach, w których występuje usługa PaaS, maszyna wirtualna, na której jest hostowana usługa PaaS, określa, czy szyfrowanie sieci wirtualnej jest obsługiwane. Maszyna wirtualna musi spełniać wymienione wymagania.

  • W przypadku wewnętrznego modułu równoważenia obciążenia wszystkie maszyny wirtualne za modułem równoważenia obciążenia muszą być obsługiwaną jednostkę SKU maszyny wirtualnej.

  • AllowUnencrypted to jedyne obsługiwane wymuszanie w ogólnej dostępności. Wymuszanie dropUnencrypted będzie obsługiwane w przyszłości.

  • Sieci wirtualne z włączonym szyfrowaniem nie obsługują usługi Rozpoznawanie prywatne usługi Azure DNS.

  • Sieci wirtualne skonfigurowane za pomocą usługi Azure Private Link nie obsługują szyfrowania sieci wirtualnej, dlatego szyfrowanie sieci wirtualnej nie powinno być włączone w tych sieciach wirtualnych.

  • Pula zaplecza wewnętrznego modułu równoważenia obciążenia nie może zawierać żadnych pomocniczych konfiguracji IPv4 interfejsu sieciowego, aby zapobiec niepowodzeniu połączeń z modułem równoważenia obciążenia.

  • Szyfrowanie sieci wirtualnej nie powinno być włączone w sieciach wirtualnych, które mają poufne jednostki SKU maszyn wirtualnych przetwarzania na platformie Azure. Jeśli chcesz używać maszyn wirtualnych do przetwarzania poufnego platformy Azure w sieciach wirtualnych, w których włączono szyfrowanie sieci wirtualnej, wykonaj:

    • Włącz przyspieszoną sieć na karcie sieciowej maszyny wirtualnej, jeśli jest obsługiwana.
    • Jeśli przyspieszona sieć nie jest obsługiwana, zmień jednostkę SKU maszyny wirtualnej na taką, która obsługuje przyspieszoną sieć lub szyfrowanie sieci wirtualnej.

    Nie włączaj szyfrowania sieci wirtualnej, jeśli jednostka SKU maszyny wirtualnej nie obsługuje przyspieszonej sieci ani szyfrowania sieci wirtualnej.

Obsługiwane scenariusze

Szyfrowanie sieci wirtualnej jest obsługiwane w następujących scenariuszach:

Scenariusz Pomoc techniczna
Maszyny wirtualne w tej samej sieci wirtualnej (w tym zestawy skalowania maszyn wirtualnych i ich wewnętrzny moduł równoważenia obciążenia) Obsługiwane w przypadku ruchu między maszynami wirtualnymi z tych jednostek SKU.
Komunikacja równorzędna sieci wirtualnej Obsługiwane w przypadku ruchu między maszynami wirtualnymi między regionalną komunikacją równorzędną.
Globalne wirtualne sieci równorzędne Obsługiwane w przypadku ruchu między maszynami wirtualnymi w globalnej komunikacji równorzędnej.
Azure Kubernetes Service (AKS) — Obsługiwane w usłudze AKS przy użyciu usługi Azure CNI (zwykłego lub nakładki), rozwiązania Kubenet lub BYOCNI: ruch węzłów i zasobników jest szyfrowany.
— Częściowo obsługiwane w usłudze AKS przy użyciu dynamicznego przypisania adresu IP zasobnika usługi Azure CNI (określonego podSubnetId): ruch węzła jest szyfrowany, ale ruch zasobnika nie jest szyfrowany.
— Ruch do ruchu wychodzącego zarządzanej płaszczyzny sterowania usługi AKS z sieci wirtualnej i w związku z tym nie znajduje się w zakresie szyfrowania sieci wirtualnej. Jednak ten ruch jest zawsze szyfrowany za pośrednictwem protokołu TLS.

Uwaga

Inne usługi, które obecnie nie obsługują szyfrowania sieci wirtualnej, są uwzględnione w naszym przyszłym planie działania.