Was ist Azure Virtual Network-Verschlüsselung?
Die Azure Virtual Network-Verschlüsselung ist ein Feature von Azure Virtual Network. Mit der Verschlüsselung virtueller Netzwerke können Sie den Datenverkehr zwischen Azure Virtual Machines nahtlos ver- und entschlüsseln.
Mit der Verschlüsselung virtueller Netzwerke können Sie Datenverkehr zwischen Microsoft Azure Virtual Machines und Microsoft Azure Virtual Machine Scale Sets innerhalb desselben virtuellen Netzwerks verschlüsseln. Durch die Verschlüsselung virtueller Netzwerke wird der Datenverkehr zwischen regionalen und globalen virtuellen Peernetzwerken verschlüsselt. Weitere Informationen zum Peering virtueller Netzwerke finden Sie unter Peering in virtuellen Netzwerken.
Die Verschlüsselung virtueller Netzwerke verbessert die in Azure vorhandenen Verschlüsselungsfunktionen für die Übertragung. Weitere Informationen zur Verschlüsselung in Azure finden Sie unter Übersicht über die Azure-Verschlüsselung.
Anforderungen
Für die Verschlüsselung virtueller Netzwerke gelten die folgenden Anforderungen:
Die Verschlüsselung virtueller Netzwerke wird bei allgemeinen und arbeitsspeicheroptimierten VM-Instanzen folgender Größen unterstützt:
type VM-Serien VM-SKU Universelle Workloads D-Serie V4
D-Serie V5
D-Serie V6Dv4- und Dsv4-Serie
Ddv4- und Ddsv4-Serie
Dav4- und Dasv4-Serie
Dv5- und Dsv5-Serie
Ddv5- und Ddsv5-Serie
Dlsv5- und Dldsv5-Serie
Dasv5- und Dadsv5-Serie
Dasv6- und Dadsv6-Serie
Dalsv6- und Daldsv6-SerieAllgemeine und arbeitsspeicherintensive Workloads E-Serie V4
E-Serie V5
E-Serie V6Ev4- und Esv4-Serie
Edv4- und Edsv4-Serie
Eav4- und Easv4-Serie
Ev5- und Esv5-Serie
Edv5- und Edsv5-Serie
Easv5- und Eadsv5-Serie
Easv6- und Eadsv6-SerieSpeicherintensive Workloads LSv3 LSv3-Serie E/A-intensive Workloads M-Serie Mv2-Serie
Msv2- und Mdsv2-Serie mit mittlerem Arbeitsspeicher
Msv3- und Mdsv3-Serie mit mittlerem ArbeitsspeicherDer beschleunigte Netzwerkbetrieb muss für die Netzwerkschnittstelle des virtuellen Computers aktiviert sein. Weitere Informationen zum beschleunigten Netzwerkbetrieb finden Sie unter Was ist der beschleunigte Netzwerkbetrieb?.
Die Verschlüsselung wird nur auf den Datenverkehr zwischen den virtuellen Computern in einem virtuellen Netzwerk angewendet. Der Datenverkehr von einer privaten IP-Adresse an eine private IP-Adresse wird verschlüsselt.
Datenverkehr zu nicht unterstützten Virtual Machines ist unverschlüsselt. Verwenden Sie Virtual Network-Datenflussprotokolle, um sich von der Verschlüsselung der Datenflüsse zwischen virtuellen Computern zu überzeugen. Weitere Informationen finden Sie unter Datenflussprotokolle von virtuellen Netzwerken.
Nach dem Aktivieren der Verschlüsselung in einem virtuellen Netzwerk müssen vorhandene virtuelle Computer gestartet/beendet werden.
Verfügbarkeit
Die Microsoft Azure Virtual Network-Verschlüsselung ist in allen öffentlichen Azure-Regionen allgemein verfügbar.
Begrenzungen
Die Azure Virtual Network-Verschlüsselung hat die folgenden Einschränkungen:
In Szenarien, in denen ein PaaS beteiligt ist, bestimmt der virtuelle Computer, auf dem PaaS gehostet wird, ob die Verschlüsselung virtueller Netzwerke unterstützt wird. Der virtuelle Computer muss die aufgeführten Anforderungen erfüllen.
Für den internen Lastenausgleich müssen alle virtuellen Computer hinter dem Lastenausgleichsmodul eine unterstützte VM-SKU sein.
AllowUnencrypted ist die einzige unterstützte Erzwingung bei allgemeiner Verfügbarkeit. Die DropUnencrypted-Erzwingung wird in Zukunft unterstützt.
Virtuelle Netzwerke mit aktivierter Verschlüsselung unterstützen Azure DNS Private Resolver nicht.
Unterstützte Szenarios
Die Verschlüsselung virtueller Netzwerke wird in folgenden Szenarien unterstützt:
Szenario | Unterstützung |
---|---|
VMs im selben virtuellen Netzwerk (einschließlich VM-Skalierungsgruppen und ihr interner Lastenausgleich) | Wird für den Datenverkehr zwischen VMs mit diesen SKUs unterstützt. |
Peering in virtuellen Netzwerken | Wird für den Datenverkehr zwischen VMs über regionales Peering unterstützt. |
Globales Peering virtueller Netzwerke | Wird für den Datenverkehr zwischen VMs über globales Peering unterstützt. |
Azure Kubernetes Service (AKS) | - Wird unter AKS mit Azure CNI (regulär oder Überlagerungsmodus), Kubenet oder BYOCNI unterstützt: Knoten- und Poddatenverkehr wird verschlüsselt. - Teilweise unterstützt unter AKS mit dynamischer Pod-IP-Zuweisung von Azure CNI (podSubnetId angegeben): Knotendatenverkehr wird verschlüsselt, Poddatenverkehr hingegen nicht. - Der ausgehende Datenverkehr zur verwalteten AKS-Steuerungsebene erfolgt über das virtuelle Netzwerk und unterliegt daher nicht der Verschlüsselung virtueller Netzwerke. Dieser Datenverkehr wird jedoch immer über TLS verschlüsselt. |
Hinweis
Andere Dienste, die derzeit keine Verschlüsselung virtueller Netzwerke unterstützen, sind in unserer zukünftigen Roadmap enthalten.