你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
什么是 Azure 虚拟网络加密?
Azure 虚拟网络加密是 Azure 虚拟网络的一项功能。 借助虚拟网络加密,能够通过创建 DTLS 隧道无缝加密和解密 Azure 虚拟机之间的流量。
通过虚拟网络加密,可以加密同一虚拟网络中虚拟机和虚拟机规模集之间的流量。 虚拟网络加密可对区域对等互连虚拟网络与全局对等互连虚拟网络之间的流量进行加密。 有关虚拟网络对等互连的详细信息,请参阅虚拟网络对等互连。
虚拟网络加密增强了 Azure 中现有的传输中加密功能。 有关 Azure 中加密的详细信息,请参阅 Azure 加密概述。
要求
虚拟网络加密具有以下要求:
以下虚拟机实例大小支持虚拟网络加密:
类型 VM 系列 VM SKU 常规用途工作负载 D 系列 V4
D 系列 V5
D 系列 V6Dv4 和 Dsv4 系列
Ddv4 和 Ddsv4 系列
Dav4 和 Dasv4 系列
Dv5 和 Dsv5 系列
Ddv5 和 Ddsv5 系列
Dlsv5 和 Dldsv5 系列
Dasv5 和 Dadsv5 系列
Dasv6 和 Dadsv6 系列
Dalsv6 和 Daldsv6 系列
Dsv6 系列内存密集型工作负载 E 系列 V4
E 系列 V5
E 系列 V6
M 系列 V2
M 系列 V3Ev4 和 Esv4-series
Edv4 和 Edsv4-series
Eav4 和 Easv4-series
Ev5 和 Esv5-series
Edv5 和 Edsv5-series
Easv5 和 Eadsv5-series
Easv6 和 Eadsv6-series
Mv2-series
Msv2 和 Mdsv2 中型内存系列
Msv3 和 Mdsv3 中型内存系列存储密集型工作负载 L 系列 V3 LSv3 系列 计算优化 F 系列 V6 Falsv6-series
Famsv6-series
Fasv6-series必须在虚拟机的网络接口上启用加速网络。 有关加速网络的详细信息,请参阅什么是加速网络?
加密仅适用于虚拟网络中虚拟机之间的流量。 从专用 IP 地址到专用 IP 地址加密流量。
不加密流向不受支持的虚拟机的流量。 使用虚拟网络流日志确认虚拟机之间的流加密。 有关详细信息,请参阅虚拟网络流日志。
在虚拟网络中启用加密后,需要启动/停止现有虚拟机。
可用性
Azure 虚拟网络加密在所有 Azure 公共区域中正式发布,目前在 Azure 政府和 Microsoft Azure(由世纪互联运行)中以公共预览版形式提供。
限制
Azure 虚拟网络加密具有以下限制:
在涉及 PaaS 的方案中,托管 PaaS 的虚拟机会决定是否支持虚拟网络加密。 虚拟机必须满足列出的要求。
对于内部负载均衡器,负载均衡器背后的所有虚拟机都必须是受支持的虚拟机 SKU。
AllowUnencrypted 是正式发布时唯一受支持的强制实施。 DropUnencrypted 强制实施将在未来得到支持。
启用了加密的虚拟网络不支持 Azure DNS 专用解析程序。
使用 Azure 专用链接服务配置的虚拟网络不支持虚拟网络加密,因此不应在这些虚拟网络上启用虚拟网络加密。
内部负载均衡器的后端池不得包含任何网络接口辅助 IPv4 配置,以防止与负载均衡器的连接失败。
不应在具有 Azure 机密计算 VM SKU 的虚拟网络中启用虚拟网络加密。 如果要在启用了虚拟网络加密的虚拟网络中使用 Azure 机密计算 VM,则:
- 请在虚拟机的 NIC 上启用加速网络(如果支持)。
- 如果不支持加速网络,请将 VM SKU 更改为支持加速网络或虚拟网络加密的 SKU。
如果 VM SKU 不支持加速网络或虚拟网络加密,请不要启用虚拟网络加密。
支持的方案
在以下场景中,支持虚拟网络加密:
场景 | 支持 |
---|---|
同一虚拟网络中的虚拟机(包括虚拟机规模集及其内部负载均衡器) | 支持这些 SKU 的虚拟机之间的流量。 |
虚拟网络对等互连 | 支持跨区域对等互连的虚拟机之间的流量。 |
全局虚拟网络对等互连 | 支持跨全球对等互连的虚拟机之间的流量。 |
Azure Kubernetes 服务 (AKS) | - 在使用 Azure CNI(常规或覆盖模式)、Kubenet 或 BYOCNI 的 AKS 上受支持:节点和 Pod 流量已加密。 - 在使用 Azure CNI 动态 Pod IP 分配(指定的 podSubnetId)的 AKS 上部分受支持:节点流量已加密,但 Pod 流量未加密。 - 流向 AKS 托管的控制平面的流量从虚拟网络流出,因此不在虚拟网络加密的范围内。 但是,此流量始终通过 TLS 进行加密。 |
注意
我们未来的路线图中包含了当前不支持虚拟网络加密的其他服务。