你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure 虚拟网络加密?

Azure 虚拟网络加密是 Azure 虚拟网络的一项功能。 借助虚拟网络加密,能够通过创建 DTLS 隧道无缝加密和解密 Azure 虚拟机之间的流量。

通过虚拟网络加密,可以加密同一虚拟网络中虚拟机和虚拟机规模集之间的流量。 虚拟网络加密可对区域对等互连虚拟网络与全局对等互连虚拟网络之间的流量进行加密。 有关虚拟网络对等互连的详细信息,请参阅虚拟网络对等互连

虚拟网络加密增强了 Azure 中现有的传输中加密功能。 有关 Azure 中加密的详细信息,请参阅 Azure 加密概述

要求

虚拟网络加密具有以下要求:

可用性

Azure 虚拟网络加密在所有 Azure 公共区域中正式发布,目前在 Azure 政府和 Microsoft Azure(由世纪互联运行)中以公共预览版形式提供。

限制

Azure 虚拟网络加密具有以下限制:

  • 在涉及 PaaS 的方案中,托管 PaaS 的虚拟机会决定是否支持虚拟网络加密。 虚拟机必须满足列出的要求。

  • 对于内部负载均衡器,负载均衡器背后的所有虚拟机都必须是受支持的虚拟机 SKU。

  • AllowUnencrypted 是正式发布时唯一受支持的强制实施。 DropUnencrypted 强制实施将在未来得到支持。

  • 启用了加密的虚拟网络不支持 Azure DNS 专用解析程序

  • 使用 Azure 专用链接服务配置的虚拟网络不支持虚拟网络加密,因此不应在这些虚拟网络上启用虚拟网络加密。

  • 内部负载均衡器的后端池不得包含任何网络接口辅助 IPv4 配置,以防止与负载均衡器的连接失败。

  • 不应在具有 Azure 机密计算 VM SKU 的虚拟网络中启用虚拟网络加密。 如果要在启用了虚拟网络加密的虚拟网络中使用 Azure 机密计算 VM,则:

    • 请在虚拟机的 NIC 上启用加速网络(如果支持)。
    • 如果不支持加速网络,请将 VM SKU 更改为支持加速网络或虚拟网络加密的 SKU。

    如果 VM SKU 不支持加速网络或虚拟网络加密,请不要启用虚拟网络加密。

支持的方案

在以下场景中,支持虚拟网络加密:

场景 支持
同一虚拟网络中的虚拟机(包括虚拟机规模集及其内部负载均衡器) 支持这些 SKU 的虚拟机之间的流量。
虚拟网络对等互连 支持跨区域对等互连的虚拟机之间的流量。
全局虚拟网络对等互连 支持跨全球对等互连的虚拟机之间的流量。
Azure Kubernetes 服务 (AKS) - 在使用 Azure CNI(常规或覆盖模式)、Kubenet 或 BYOCNI 的 AKS 上受支持:节点和 Pod 流量已加密。
- 在使用 Azure CNI 动态 Pod IP 分配(指定的 podSubnetId)的 AKS 上部分受支持:节点流量已加密,但 Pod 流量未加密。
- 流向 AKS 托管的控制平面的流量从虚拟网络流出,因此不在虚拟网络加密的范围内。 但是,此流量始终通过 TLS 进行加密。

注意

我们未来的路线图中包含了当前不支持虚拟网络加密的其他服务。