Qu’est-ce que le chiffrement du réseau virtuel Microsoft Azure ?

Le chiffrement du réseau virtuel Microsoft Azure est une fonctionnalité des réseaux virtuels Azure. Le chiffrement de réseau virtuel vous permet de chiffrer et de déchiffrer en toute transparence le trafic entre machines virtuelles Azure en créant un tunnel DTLS.

Le chiffrement de réseau virtuel vous permet de chiffrer le trafic entre Machines Virtuelles et Virtual Machine Scale Sets au sein du même réseau virtuel. Le chiffrement de réseau virtuel chiffre également le trafic entre réseaux virtuels appairés régionalement et globalement. Pour plus d’informations sur le peering du réseau virtuel, consultez Peering de réseaux virtuels.

Le chiffrement de réseau virtuel améliore le chiffrement existant dans les fonctionnalités de transit dans Azure. Pour plus d’informations sur le chiffrement dans Azure, consultez Vue d’ensemble du chiffrement Azure.

Spécifications

Le chiffrement de réseau virtuel a les exigences suivantes :

Disponibilité

Le chiffrement de réseau virtuel Azure est généralement disponible dans toutes les régions publiques Azure et est actuellement en préversion publique dans Azure Government et Microsoft Azure géré par 21Vianet.

Limites

Le chiffrement du réseau virtuel Azure a les limitations suivantes :

  • Dans les scénarios où un PaaS est impliqué, la machine virtuelle sur laquelle le PaaS est hébergé détermine si le chiffrement de réseau virtuel est pris en charge. La machine virtuelle doit répondre aux exigences répertoriées.

  • Pour l’équilibreur de charge interne, toutes les machines virtuelles derrière l’équilibreur de charge doivent être une référence SKU de machine virtuelle prise en charge.

  • AllowUncrypted est la seule application prise en charge au niveau de la disponibilité générale. L’application de DropUnencrypted sera prise en charge dans le futur.

  • Les réseaux virtuels avec chiffrement activé ne prennent pas en charge Azure DNS Private Resolver.

  • Les réseaux virtuels configurés avec le service Azure Private Link ne prennent pas en charge le chiffrement de réseau virtuel. Par conséquent, le chiffrement de réseau virtuel ne doit pas être activé sur ces réseaux virtuels.

  • Le chiffrement de réseau virtuel ne doit pas être activé dans les réseaux virtuels qui ont des références SKU de machine virtuelle d’informatique confidentielle Azure. Si vous souhaitez utiliser des machines virtuelles d’informatique confidentielle Azure dans des réseaux virtuels où le chiffrement de réseau virtuel est activé, effectuez ces étapes :

    • Activez les performances réseau accélérées sur la carte réseau de la machine virtuelle, si elles sont prises en charge.
    • Si les performances réseau accélérées ne sont pas prises en charge, remplacez la référence SKU de machine virtuelle par une référence SKU qui prend en charge les performances réseau accélérées ou le chiffrement de réseau virtuel.

    N’activez pas le chiffrement du réseau virtuel si la référence SKU de machine virtuelle ne prend pas en charge les performances réseau accélérées ou le chiffrement de réseau virtuel.

Scénarios pris en charge

Le chiffrement de réseau virtuel est pris en charge dans les scénarios suivants :

Scénario Support
Machines virtuelles du même réseau virtuel (y compris les groupes de machines virtuelles identiques et leur équilibreur de charge interne) Pris en charge sur le trafic entre les machines virtuelles à partir de ces références SKU.
Appairage de réseaux virtuels Prise en charge du trafic entre machines virtuelles entre le peering régional.
Appairage global de réseaux virtuels Prise en charge du trafic entre machines virtuelles entre le peering global.
Azure Kubernetes Service (AKS) - Pris en charge sur AKS à l’aide d’Azure CNI (mode standard ou de superposition), Kubenet ou BYOCNI : le trafic de nœud et de pod est chiffré.
- Partiellement pris en charge sur AKS à l’aide de l’attribution IP de pod dynamique Azure CNI (podSubnetId spécifié) : le trafic de nœud est chiffré, mais le trafic de pod n’est pas chiffré.
- Le trafic vers le plan de contrôle managé AKS sort du réseau virtuel et n’est donc pas dans l’étendue du chiffrement du réseau virtuel. Toutefois, ce trafic est toujours chiffré via TLS.

Remarque

D’autres services qui ne prennent actuellement pas en charge le chiffrement de réseau virtuel sont inclus dans notre feuille de route future.