什麼是 Azure 虛擬網路加密?
Azure 虛擬網路加密是 Azure 虛擬網路的一項功能。 虛擬網路加密可讓您透過建立 DTLS 通道來順暢地加密和解密 Azure 虛擬機器之間的流量。
虛擬網路加密可讓您加密相同虛擬網路內的虛擬機器與虛擬機器擴展集之間的流量。 虛擬網路加密也會加密區域與全域對等互連虛擬網路之間的流量。 如需關於虛擬網路對等互連的詳細資訊,請參閱虛擬網路對等互連。
虛擬網路加密可增強 Azure 中傳輸功能中的現有加密。 如需 Azure 中加密的詳細資訊,請參閱 Azure 加密概觀。
需求
虛擬網路加密具有下列需求:
支援虛擬網路加密的一般用途和記憶體最佳化虛擬機器執行個體大小包括:
類型 VM 系列 VM SKU 一般用途工作負載 D 系列 V4
D 系列 V5
D 系列 V6Dv4 和 Dsv4 系列
Ddv4 和 Ddsv4
系列 Dav4 和 Dasv4 系列
Dv5 和 Dsv5 系列
Ddv5 和 Ddsv5 系列
Dlsv5 和 Dldsv5 系列
Dasv5 和 Dadsv5 系列
Dasv6 和 Dadsv6 系列
Dalsv6 和 Daldsv6 系列一般用途和需要大量記憶體的工作負載 E 系列 V4
E 系列 V5
E 系列 V6Ev4 和 Esv4 系列
Edv4 和 Edsv4 系列
Eav4 和 Easv4 系列
Ev5 和 Esv5 系列
Edv5 和 Edsv5 系列
Easv5 和 Eadsv5 系列
Easv6 和 Eadsv6 系列需要大量儲存體的工作負載 LSv3 Lsv3 系列 需要大量記憶體的工作負載 M 系列 Mv2 系列
Msv2 和 Mdsv2 系列中型記憶體
Msv3 和 Mdsv3 中型記憶體系列必須在虛擬機器的網路介面上啟用加速網路。 如需有關加速網路的詳細資訊,請參閱 什麼是加速網路?。
加密只會套用至虛擬網路中虛擬機器之間的流量。 流量會從私人 IP 位址加密至私人 IP 位址。
不支援虛擬機器的流量未加密。 使用虛擬網路流量記錄來確認虛擬機器之間的流量加密。 如需詳細資訊,請參閱 虛擬網路流量記錄。
在虛擬網路中啟用加密之後,需要啟用/停用現有的虛擬機器。
可用性
Azure 虛擬網路加密已在所有 Azure 公用區域中正式推出。
限制
Azure 虛擬網路加密具有下列限制:
在涉及 PaaS 的案例中,裝載 PaaS 的虛擬機器會決定是否支援虛擬網路加密。 虛擬機器必須符合列出的需求。
針對內部負載平衡器,負載平衡器後方的所有虛擬機器都必須是支援的虛擬機器 SKU。
AllowUnencrypted 是正式發行時唯一支援的強制執行。 未來將支援 DropUnencrypted 強制執行。
已啟用加密的虛擬網路不支援 Azure DNS 私人解析器。
支援的案例
在下列案例中支援虛擬網路加密:
案例 | 支援 |
---|---|
相同虛擬網路中的 VM (包括虛擬機器擴展集及其內部負載平衡器) | 在這些 SKU 中的 VM 之間的流量上受支援。 |
虛擬網路對等互連 | 在跨區域對等互連的 VM 之間的流量上受支援。 |
全域虛擬網路對等互連 | 在跨全域對等互連的 VM 之間的流量上受支援。 |
Azure Kubernetes Service (AKS) | - 在使用 Azure CNI (一般或重疊模式)、Kubenet 或 BYOCNI 的 AKS 上受支援:節點和 Pod 流量已加密。 - 在使用 Azure CNI 動態 Pod IP 指派 (指定 podSubnetId) 的 AKS 上部分受支援:節點流量已加密,但 Pod 流量未加密。 流向 AKS 受控控制平面的流量從虛擬網路輸出,因此不在虛擬網路加密範圍內。 不過,此流量始終會透過 TLS 加密。 |
注意
目前不支援虛擬網路加密的其他服務包含在我們未來的藍圖中。