使用加密建立虛擬網路

Azure 虛擬網路加密是 Azure 虛擬網路的一項功能。 藉由虛擬網路加密，您可以透過網路順暢地加密和解密內部網路流量，對效能和規模的影響最小。 虛擬網絡 加密可保護從虛擬機到虛擬機周遊虛擬網路的數據。

必要條件

入口網站

具有有效訂用帳戶的 Azure 帳戶。 免費建立一個。

PowerShell

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• 在本機安裝 Azure PowerShell 或使用 Azure Cloud Shell。

• 登入 Azure PowerShell，並選取要使用此功能的訂用帳戶。 如需詳細資訊，請參閱使用 Azure PowerShell 登入 \(英文\)。

• 請確定您的 Az.Network 模組為 4.3.0 或更新版本。 若要確認已安裝的模組，請使用 Get-InstalledModule -Name Az.Network 命令。 如果模組需要更新，可在必要時使用 Update-Module -Name Az.Network 命令。

如果您選擇在本機安裝和使用 PowerShell，本文會要求使用 Azure PowerShell 模組版本 5.4.1 或更新版本。 執行 Get-Module -ListAvailable Az 以尋找安裝的版本。 如果您需要升級，請參閱安裝 Azure PowerShell 模組。 如果正在本機執行 PowerShell，也需要執行 Connect-AzAccount，以建立與 Azure 的連線。

CLI

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立一個。

• 在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。

  

• 若要在本地執行 CLI 參考命令，請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。

  • 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟，完成驗證程序。 如需其他登入選項，請參閱使用 Azure CLI 登入。

  • 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。

  • 執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本，請執行 az upgrade。

• 本文必須使用 Azure CLI 2.31.0 版或更新版本。 若您使用的是 Azure Cloud Shell，即已安裝最新版本。

建立虛擬網路

入口網站

下列程序會建立具有資源子網路的虛擬網路。

1. 在入口網站中，搜尋並選取 [虛擬網路]。

2. 在 [虛擬網路] 頁面上，選取 [+ 建立]。

3. 在 [建立虛擬網路] 的 [基本] 索引標籤中，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [新建] 在 [名稱] 中輸入 test-rg。 選取 [確定]。
   [執行個體詳細資料]
   名稱	輸入 vnet-1。
   區域	選取 [美國東部 2]。

   

4. 選取 [下一步]，繼續前往 [安全性] 索引標籤。

5. 選取 [下一步]，繼續前往 [IP 位址] 索引標籤。

6. 在 [子網路] 下的 [位址空間] 方塊中，選取 [預設] 子網路。

7. 在 [編輯子網路] 窗格中，輸入或選取下列資訊：

   設定	值
   子網路詳細資料
   子網路範本	將預設值保留為 [Default]。
   名稱	輸入 subnet-1。
   起始位址	保留預設值 [10.0.0.0]。
   子網路大小	保留預設值 /24(256 個位址)。

   

8. 選取 [儲存]。

9. 選取畫面底部的 [檢閱 + 建立]。 通過驗證之後，選取 [建立]。

PowerShell

在 eastus2 位置中使用名為 test-rg 的 [New-AzResourceGroup] 建立資源群組。

$rg =@{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

使用 New-AzVirtualNetwork d New-AzVirtualNetworkSubnetConfig來建立虛擬網路。

## Create backend subnet config ##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig
    EnableEncryption = 'true'
    EncryptionEnforcementPolicy = 'AllowUnencrypted'
}
New-AzVirtualNetwork @net

CLI

在 eastus2 位置中使用名為 test-rg 的 [az group create] 建立資源群組。

  az group create \
    --name test-rg \
    --location eastus2

使用 az network vnet create 建立虛擬網路。

  az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24 

重要

若要加密流量，虛擬網路加密需要虛擬網路中支援的虛擬機器版本。 設定 dropUnencrypted 會使虛擬網路中部署的不支援虛擬機器版本之間的流量下降。 如需詳細資訊，請參閱 Azure 虛擬網路加密需求。

在虛擬網路上啟用加密

入口網站

使用下列步驟來啟用虛擬網路的加密。

1. 在入口網站頂端的搜尋方塊中，開始輸入 [虛擬網路]。 當搜尋結果中出現虛擬網路時加以選取。

2. 選取 [vnet-1] 開啟 [vnet-1] 窗格。

3. 在服務功能表上，選取 [概觀]，然後選取 [屬性] 索引標籤。

4. 在 [加密] 下，選取 [停用]。

   

5. 選取 [虛擬網路加密] 旁的方塊。

6. 選取 [儲存]。

PowerShell

您還可以使用 [Set-AzVirtualNetwork] 在現有虛擬網路上啟用加密。 [如果您在前面的步驟中建立了已啟用加密的虛擬網路，則不需要執行此步驟。]

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

## Enable encryption on the virtual network ##
$vnet.Encryption = @{
    Enabled = 'true'
    Enforcement = 'allowUnencrypted'
}
$vnet | Set-AzVirtualNetwork

CLI

您還可以使用 [az network vnet update] 在現有虛擬網路上啟用加密。 [如果您在前面的步驟中建立了已啟用加密的虛擬網路，則不需要執行此步驟。]

  az network vnet update \
    --resource-group test-rg \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted

驗證是否啟用了加密

入口網站

1. 在入口網站頂端的搜尋方塊中，開始輸入 [虛擬網路]。 當搜尋結果中出現虛擬網路時加以選取。

2. 選取 [vnet-1] 開啟 [vnet-1] 窗格。

3. 在服務功能表上，選取 [概觀]，然後選取 [屬性] 索引標籤。

4. 確認 [加密] 已設定為 [已啟用]。

   

PowerShell

使用 Get-AzVirtualNetwork 來檢視您先前建立之虛擬網路的加密參數。

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

若要檢視加密的參數，請輸入下列資訊：

$vnet.Encryption

Enabled Enforcement
------- -----------
True   allowUnencrypted

CLI

使用 az network vnet show 來檢視您先前建立之虛擬網路的加密參數。

  az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv

user@Azure:~$ az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv
True   AllowUnencrypted

清除資源

入口網站

當完成了使用您所建立的資源時，您可以刪除資源群組及其所有資源。

1. 在 Azure 入口網站中，搜尋並選取 [資源群組]。

2. 在 [資源群組] 頁面上，選取 [test-rg] 資源群組。

3. 在 [test-rg] 頁面上，選取 [刪除資源群組]。

4. 在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg，然後選取 [刪除]。

PowerShell

當您不再需要此資源群組時，請使用 [Remove-AzResourceGroup] 移除資源群組及其包含的所有資源。

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

CLI

當您完成虛擬網路時，使用 [az group delete] 來移除資源群組以及其所有資源。

az group delete \
    --name test-rg \
    --yes

相關內容

• 如需虛擬網路的詳細資訊，請參閱 [什麼是 Azure 虛擬網路？]。
• 如需虛擬網路加密的詳細資訊，請參閱 [什麼是 Azure 虛擬網路加密？]