下面是一些有关使用 Azure 虚拟网络加密的常见问题解答。
是否可以在现有虚拟网络、虚拟机、网络接口或 NSG 上启用虚拟网络加密?
是的。 有关在现有虚拟网络上启用虚拟网络加密的详细信息,请参阅启用加密。
如何验证我的数据是否加密?
加密验证仅限于公共预览期间的网络接口资源、vnetEncryptionSupported 和加速网络的状态。 公共预览版之后,虚拟网络流日志可用于查看虚拟机之间的加密流和未加密流。
是否有未加密的数据?
片段数据包不会卸载到硬件,也不会加密。 在虚拟机的网络配置中使用 1500 的 MTU。
哪个证书用于在 Azure 主机上建立 DTLS?
Microsoft 为每个区域创建了证书并管理着它们。 客户提供的证书是路线图上的一项功能。
性能影响是什么?
对吞吐量/带宽的性能影响极小。 加密操作会卸载到加密专用的 FPGA。 对两个虚拟机之间的初始连接影响极小,因为需要建立隧道。
是否支持 VPN 网关、应用程序网关、Azure 防火墙或 PaaS?
这取决于 PaaS 使用的基础 VM 大小,并且需要启用加速网络。
加密在哪里终止?
加密在 Azure 主机上的 SmartNIC/FPGA 处终止。
虚拟网络加密是否支持 FIPS-140 符合性?
FIPS-140 是 Azure 范围内对 FedRAMP 认证的承诺。 Azure 中加密使用情况的证明点由 FedRAMP 认证涵盖在所有 Azure(包括 Azure 虚拟网络加密)中。 有关 FIPS-140 的 Azure 公共指南的详细信息,请参阅“美国联邦信息处理标准 (FIPS) 140”。 有关 Azure 上下文中的 PCI、HIPAA 和 FedRAMP 的详细信息,请参阅“服务信任门户”。
虚拟网络加密是如何定价的?
Azure 虚拟网络加密是在 Azure 虚拟网络中的 Azure 订阅下提供的免费功能。 标准费率适用于虚拟机 (VM) 等资源和其他你所使用的产品。
当一个方向启用了加密,而另一方向禁用了加密时,是否支持非对称加密?
当存在非对称路由且流量在一个方向上流动时加密,而在另一个方向流动时未加密,则可能会发生非对称加密。 不支持非对称加密,不建议这样做。