虚拟网络加密

虚拟网络加密允许对在标记为“启用加密”的子网内相互通信的虚拟机之间的虚拟网络流量进行加密。 它还利用虚拟子网上的数据报传输层安全性 (DTLS) 来加密数据包。 DTLS 可以防止能够访问物理网络的任何人进行窃听、篡改和伪造。

虚拟网络加密需要以下各项:

  • 在每个已启用 SDN 的 Hyper-V 主机上安装的加密证书。
  • 网络控制器中引用该证书指纹的凭据对象。
  • 每个虚拟网络(包含需要加密的子网)上的配置。

在子网上启用加密后,除了可能进行的任何应用程序级加密外,该子网中的所有网络流量也会自动加密。 跨子网的流量,即使标记为加密,也会自动以未加密的方式发送。 任何跨越虚拟网络边界的流量也会以未加密的方式发送。

提示

如果必须将应用程序限制为仅在加密子网上通信,则可以仅使用访问控制列表 (ACL) 以允许在当前子网内进行通信。 有关详细信息,请参阅使用访问控制列表 (ACL) 管理数据中心网络流量

后续步骤

配置虚拟网络的加密