Co je šifrování služby Azure Virtual Network?
Šifrování virtuální sítě Azure je funkce virtuálních sítí Azure. Šifrování virtuální sítě umožňuje bezproblémově šifrovat a dešifrovat provoz mezi virtuálními počítači Azure vytvořením tunelu DTLS.
Šifrování virtuální sítě umožňuje šifrovat provoz mezi virtuálními počítači a škálovacími sadami virtuálních počítačů ve stejné virtuální síti. Šifrování virtuální sítě šifruje provoz mezi regionálními a globálně partnerskými virtuálními sítěmi. Další informace o partnerském vztahu virtuálních sítí najdete v tématu Partnerské vztahy virtuálních sítí.
Šifrování virtuální sítě vylepšuje stávající šifrování v možnostech přenosu v Azure. Další informace o šifrování v Azure najdete v přehledu služby Azure Encryption.
Požadavky
Šifrování virtuální sítě má následující požadavky:
Šifrování virtuální sítě se podporuje v následujících velikostech instancí virtuálních počítačů:
Typ Řada virtuálních počítačů Skladová položka virtuálního počítače Úlohy pro obecné účely D-series V4
D-series V5
D-series V6Dv4 a Dsv4-series
Ddv4 a Ddsv4-series
Dav4 a Dasv4-series
Dv5 a Dsv5-series
Ddv5 a Ddsv5-series
Dlsv5 a Dldsv5-series
Dasv5 a Dadsv5-series
Dasv6 a Dadsv6-series
Dalsv6 a Daldsv6-series Dsv6-series
Úlohy náročné na paměť Řada E-series V4
E-series V5
E-series V6
M-series V2
M-series V3Ev4 a Esv4-series
Edv4 a Edsv4-series
Eav4 a Easv4-series
Ev5 a Esv5-series
Edv5 a Edsv5-series Easv5 a Eadsv5-series
Easv6 a Eadsv6-series
Mv2-series
Msv2 a Mdsv2 Střední paměťová řada
Střední řada paměti Msv3 a Mdsv3Úlohy náročné na úložiště L-series V3 Řada LSv3 Optimalizované pro výpočty F-series V6 Řada Famsv6-series
Famsv6-series
Akcelerované síťové služby musí být povolené v síťovém rozhraní virtuálního počítače. Další informace o akcelerovaných síťových služeb najdete v tématu Co je akcelerované síťové služby?
Šifrování se použije jenom na provoz mezi virtuálními počítači ve virtuální síti. Provoz se šifruje z privátní IP adresy na privátní IP adresu.
Provoz do nepodporovaných virtuálních počítačů je nešifrovaný. K potvrzení šifrování toku mezi virtuálními počítači použijte protokoly toku virtuální sítě. Další informace najdete v protokolech toku virtuální sítě.
Po povolení šifrování ve virtuální síti se vyžaduje spuštění/zastavení existujících virtuálních počítačů.
Dostupnost
Šifrování virtuální sítě Azure je obecně dostupné ve všech veřejných oblastech Azure a aktuálně je ve verzi Public Preview ve službě Azure Government a Microsoft Azure provozované společností 21Vianet.
Omezení
Šifrování virtuální sítě Azure má následující omezení:
Ve scénářích, ve kterých je součástí PaaS, určuje virtuální počítač, ve kterém je paaS hostovaný, jestli se podporuje šifrování virtuální sítě. Virtuální počítač musí splňovat uvedené požadavky.
V případě interního nástroje pro vyrovnávání zatížení musí být všechny virtuální počítače za nástrojem pro vyrovnávání zatížení podporovanou skladovou jednotkou virtuálního počítače.
AllowUnencrypted je jediné podporované vynucování v obecné dostupnosti. V budoucnu se bude podporovat vynucení dropUnencrypted .
Virtuální sítě s povoleným šifrováním nepodporují privátní překladač Azure DNS.
Virtuální sítě nakonfigurované pomocí služby Azure Private Link nepodporují šifrování virtuální sítě, takže v těchto virtuálních sítích by nemělo být povolené šifrování virtuální sítě.
Šifrování virtuální sítě by nemělo být povolené ve virtuálních sítích s důvěrnými výpočetními skladovými jednotkami virtuálních počítačů Azure. Pokud chcete používat důvěrné výpočetní virtuální počítače Azure ve virtuálních sítích, kde je povolené šifrování virtuální sítě, postupujte takto:
- Pokud se podporuje, povolte akcelerované síťové služby na síťové kartě virtuálního počítače.
- Pokud akcelerované síťové služby nejsou podporované, změňte skladovou položku virtuálního počítače na skladovou položku, která podporuje akcelerované síťové služby nebo šifrování virtuální sítě.
Nepovolujte šifrování virtuální sítě, pokud skladová položka virtuálního počítače nepodporuje akcelerované síťové služby ani šifrování virtuální sítě.
Podporované scénáře
Šifrování virtuální sítě se podporuje v následujících scénářích:
| Scénář | Technická podpora |
|---|---|
| Virtuální počítače ve stejné virtuální síti (včetně škálovacích sad virtuálních počítačů a jejich interního nástroje pro vyrovnávání zatížení) | Podporuje se provoz mezi virtuálními počítači z těchto skladových položek. |
| Peering virtuálních sítí | Podporuje se provoz mezi virtuálními počítači napříč regionálními partnerskými vztahy. |
| Globální partnerský vztah virtuální sítě | Podporuje se provoz mezi virtuálními počítači napříč globálním partnerským vztahem. |
| Azure Kubernetes Service (AKS) | – Podporováno v AKS pomocí Azure CNI (běžný nebo překryvný režim), Kubenet nebo BYOCNI: provoz uzlů a podů je šifrovaný. – Částečně podporovaná v AKS pomocí přiřazení dynamického podu Azure CNI (zadané podSubnetId): provoz uzlu je šifrovaný, ale provoz podů není šifrovaný. – Přenosy do roviny řízení spravované AKS se odesílají z virtuální sítě, a proto nejsou v rozsahu šifrování virtuální sítě. Tento provoz se ale vždy šifruje přes protokol TLS. |
Poznámka:
Další služby, které v současné době nepodporují šifrování virtuální sítě, jsou součástí našeho budoucího plánu.
Související obsah
- Vytvořte virtuální síť s šifrováním pomocí webu Azure Portal.
- Nejčastější dotazy k šifrování virtuální sítě
- Co je Azure Virtual Network?