O que é a criptografia de Rede Virtual do Azure?

A criptografia de Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar perfeitamente o tráfego entre as Máquinas Virtuais do Microsoft Azure criando um túnel DTLS.

A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre o emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.

A criptografia de rede virtual aprimora a criptografia existente em recursos de trânsito no Azure. Para obter mais informações sobre criptografia no Azure, confira Visão geral da criptografia do Azure.

Requisitos

A criptografia de rede virtual tem os seguintes requisitos:

• A criptografia de Rede Virtual tem suporte nos seguintes tamanhos de instância de máquina virtual:

  Tipo	Série da VM	SKU da VM
  Cargas de trabalho de uso geral	D-series V4 D-series V5 D-series V6	Séries Dv4 e Dsv4 Séries Ddv4 e Ddsv4 Séries Dav4 e Dasv4 Séries Dv5 e Dsv5 Séries Ddv5 e Ddsv5 Séries Dlsv5 e Dldsv5 Séries Dasv5 e Dadsv5 Séries Dasv6 e Dadsv6 Séries Dalsv6 e Daldsv6 Séries Dsv6
  Cargas de trabalho com uso intensivo de memória	Série E V4 Série E V5 Série E V6 Série M V2 Série M V3	Séries Ev4 e Esv4 Séries Edv4 e Edsv4 Séries Eav4 e Easv4- Séries Ev5 e Esv5 Séries Edv5 e Edsv5 Séries Easv5 e Eadsv5 Séries Easv6 e Eadsv6 série Mv2 Séries Msv2 e Mdsv2 Medium Memory Séries Msv3 e Mdsv3 Medium Memory
  Cargas de trabalho com uso intensivo de armazenamento	Série L V3	Série LSv3
  Computação otimizada	Série F V6	Série Falsv6 Série Famsv6 Série Fasv6

• A Rede Acelerada deve ser habilitada no adaptador de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é Rede Acelerada?

• A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é criptografado de um endereço IP privado para um endereço IP privado.

• O tráfego para Máquinas Virtuais sem suporte não é criptografado. Use os Logs de Fluxo da Rede Virtual para confirmar a criptografia de fluxo entre máquinas virtuais. Para obter mais informações, confira Logs de fluxo de rede virtual.

• O início/parada de máquinas virtuais existentes pode ser necessário após habilitar a criptografia em uma rede virtual.

Disponibilidade

A criptografia de Rede Virtual do Azure está geralmente disponível em todas as regiões públicas do Azure e está atualmente em versão prévia pública no Azure Governamental e no Microsoft Azure operado pela 21Vianet.

Limitações

A encriptação da Rede Virtual Azure tem as seguintes limitações:

• Em cenários em que um PaaS está envolvido, a máquina virtual em que o PaaS está hospedado determina se há suporte para a criptografia de rede virtual. A máquina virtual deve atender aos requisitos listados.

• Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem ser um SKU de máquina virtual com suporte.

• AllowUnencrypted é a única imposição com suporte em disponibilidade geral. A imposição DropUnencrypted terá suporte no futuro.

• Redes virtuais com criptografia habilitada não dão suporte ao Resolvedor Privado de DNS do Azure.

• As redes virtuais configuradas com o serviço de Link Privado do Azure não dão suporte à criptografia de rede virtual, portanto, a criptografia de rede virtual não deve ser habilitada nessas redes virtuais.

• O pool de back-end de um balanceador de carga interno não deve incluir nenhuma configuração IPv4 secundária de interface de rede para evitar falhas de conexão no balanceador de carga.

• A criptografia de rede virtual não deve ser habilitada em redes virtuais que tenham SKUs de VM de computação confidencial do Azure. Se você quiser usar VMs de computação confidencial do Azure em redes virtuais em que a criptografia de rede virtual, então:

  • Habilite a rede acelerada na NIC da VM se houver suporte.
  • Se não houver suporte para rede acelerada, altere a SKU da VM para uma que dê suporte à rede acelerada ou à criptografia de rede virtual.

  Não habilite a criptografia de rede virtual se a SKU da VM não der suporte à rede acelerada ou à criptografia de rede virtual.

Cenários com suporte

Há suporte para a criptografia de rede virtual nos seguintes cenários:

Cenário	Suporte
Máquinas virtuais na mesma rede virtual (incluindo conjuntos de dimensionamento de máquinas virtuais e seus balanceadores de carga internos)	Com suporte no tráfego entre máquinas virtuais desses SKUs.
Emparelhamento de rede virtual	Com suporte no tráfego entre máquinas virtuais em todo o peering regional.
Emparelhamento de rede virtual global	Com suporte no tráfego entre máquinas virtuais em todo o peering global.
AKS (Serviço de Kubernetes do Azure)	– Com suporte no AKS usando a CNI do Azure (modo regular ou de sobreposição), Kubenet ou BYOCNI: o tráfego de nós e pods é criptografado. – Parcialmente compatível com o AKS usando a Atribuição de IP do Pod Dinâmico da CNI do Azure (podSubnetId especificado): o tráfego de nó é criptografado, mas o tráfego de pod não. – O tráfego para o plano de controle gerenciado do AKS é oriundo da rede virtual e, portanto, não está no escopo da criptografia de rede virtual. No entanto, esse tráfego é sempre criptografado via TLS.

Observação

No nosso roteiro futuro, estão presentes outros serviços que, no momento, não dão suporte à criptografia de rede virtual.

Conteúdo relacionado

• Criar uma rede virtual com criptografia usando o portal do Azure.
• Perguntas frequentes sobre criptografia de rede virtual.
• O que é a Rede Virtual do Azure?