Qu’est-ce que le chiffrement du réseau virtuel Microsoft Azure ?
Le chiffrement du réseau virtuel Microsoft Azure est une fonctionnalité des réseaux virtuels Azure. Le chiffrement de réseau virtuel vous permet de chiffrer et de déchiffrer en toute transparence le trafic entre machines virtuelles Azure en créant un tunnel DTLS.
Le chiffrement de réseau virtuel vous permet de chiffrer le trafic entre Machines Virtuelles et Virtual Machine Scale Sets au sein du même réseau virtuel. Le chiffrement de réseau virtuel chiffre également le trafic entre réseaux virtuels appairés régionalement et globalement. Pour plus d’informations sur le peering du réseau virtuel, consultez Peering de réseaux virtuels.
Le chiffrement de réseau virtuel améliore le chiffrement existant dans les fonctionnalités de transit dans Azure. Pour plus d’informations sur le chiffrement dans Azure, consultez Vue d’ensemble du chiffrement Azure.
Spécifications
Le chiffrement de réseau virtuel a les exigences suivantes :
Le chiffrement de réseau virtuel est pris en charge sur les tailles d’instances de machines virtuelles à usage général et à mémoire optimisée, notamment :
Type Série de machine virtuelle Référence de la machine virtuelle Charges de travail à usage général Série D V4
série D V5
série-D V6Séries Dv4 et Dsv4
Séries Ddv4 et Ddsv4
Séries Dav4 et Dasv4
Séries Dv5 et Dsv5
Séries Ddv5 et Ddsv5
Séries Dlsv5 et Dldsv5
Séries Dasv5 et Dadsv5
Séries Dasv6 and Dadsv6
Séries Dalsv6 and Daldsv6Charges de travail à usage général et intensives en mémoire Série E4
série E V5
E-series V6Séries Ev4 et Esv4
Séries Edv4 et Edsv4
Séries Eav4 et Easv4
Séries Ev5 et Esv5
Séries Edv5 et Edsv5
Séries Easv5 et Eadsv5
Séries Easv6 et Eadsv6Charges de travail d’utilisation intensive du stockage LSv3 Séries LSv3 Charges de travail d’utilisation intensive de la mémoire Série M série Mv2
La mémoire moyenne de la série Msv2 et Mdsv2
Msv3 et Mdsv3 moyenneLa mise en réseau accélérée doit être activée sur l’interface réseau de la machine virtuelle. Pour plus d’informations sur la mise en réseau accélérée, consultez Qu’est-ce que la mise en réseau accélérée ?.
Le chiffrement est appliqué uniquement au trafic entre les machines virtuelles d’un réseau virtuel. Le trafic est chiffré d’une adresse IP privée vers une adresse IP privée.
Le trafic vers des Machines Virtuelles non prises en charge n’est pas chiffré. Utilisez les journaux de flux de réseau virtuel pour confirmer le chiffrement de flux entre les machines virtuelles. Pour en savoir plus, consultez Journaux de flux de réseau virtuel.
Le démarrage/l’arrêt des machines virtuelles existantes est nécessaire après l’activation du chiffrement dans un réseau virtuel.
Disponibilité
Le chiffrement de réseau virtuel Azure est en disponibilité générale dans toutes les régions publiques Azure.
Limites
Le chiffrement du réseau virtuel Azure a les limitations suivantes :
Dans les scénarios où un PaaS est impliqué, la machine virtuelle sur laquelle le PaaS est hébergé détermine si le chiffrement de réseau virtuel est pris en charge. La machine virtuelle doit répondre aux exigences répertoriées.
Pour l’équilibreur de charge interne, toutes les machines virtuelles derrière l’équilibreur de charge doivent être une référence SKU de machine virtuelle prise en charge.
AllowUncrypted est la seule application prise en charge au niveau de la disponibilité générale. L’application de DropUnencrypted sera prise en charge dans le futur.
Les réseaux virtuels avec chiffrement activé ne prennent pas en charge Azure DNS Private Resolver.
Scénarios pris en charge
Le chiffrement de réseau virtuel est pris en charge dans les scénarios suivants :
Scénario | Support |
---|---|
Machines virtuelles du même réseau virtuel (y compris les groupes de machines virtuelles identiques et leur équilibreur de charge interne) | Pris en charge sur le trafic entre les machines virtuelles à partir de ces références SKU. |
Appairage de réseaux virtuels | Prise en charge du trafic entre machines virtuelles entre le peering régional. |
Appairage global de réseaux virtuels | Prise en charge du trafic entre les machines virtuelles dans le peering global. |
Azure Kubernetes Service (AKS) | - Pris en charge sur AKS à l’aide d’Azure CNI (mode standard ou de superposition), Kubenet ou BYOCNI : le trafic de nœud et de pod est chiffré. - Partiellement pris en charge sur AKS à l’aide de l’attribution IP de pod dynamique Azure CNI (podSubnetId spécifié) : le trafic de nœud est chiffré, mais le trafic de pod n’est pas chiffré. - Le trafic vers le plan de contrôle managé AKS sort du réseau virtuel et n’est donc pas dans l’étendue du chiffrement du réseau virtuel. Toutefois, ce trafic est toujours chiffré via TLS. |
Remarque
D’autres services qui ne prennent actuellement pas en charge le chiffrement de réseau virtuel sont inclus dans notre feuille de route future.