¿Qué es el cifrado de Azure Virtual Network?
El cifrado de Azure Virtual Network es una característica de las instancias de Azure Virtual Network. El cifrado de red virtual permite cifrar y descifrar el tráfico sin problemas entre Azure Virtual Machines mediante la creación de un túnel DTLS.
El cifrado de red virtual permite cifrar el tráfico entre Virtual Machines y Virtual Machine Scale Sets dentro de la misma red virtual. El cifrado de red virtual cifra el tráfico entre redes virtuales emparejadas de forma regional y global. Para más información sobre el emparejamiento de redes virtuales, consulte Emparejamiento de redes virtuales.
El cifrado de red virtual mejora el cifrado existente en las funcionalidades de tránsito en Azure. Para más información sobre el cifrado en Azure, consulte Introducción al cifrado de Azure.
Requisitos
El cifrado de Virtual Network tiene los siguientes requisitos:
El cifrado de red virtual se admite en tamaños de instancia de máquina virtual optimizadas para memoria y de uso general, entre los que se incluyen:
Tipo Serie de VM SKU de la máquina virtual Cargas de trabajo de uso general Serie D V4
Serie D V5
Serie D V6Series Dv4 y Dsv4
Series Ddv4 y Ddsv4
Series Dav4 y Dasv4
Series Dv5 y Dsv5
Series Ddv5 y Ddsv5
Series Dlsv5 y Dldsv5
Series Dasv5 y Dadsv5
Series Dasv6 y Dadsv6
Series Dalsv6 y Daldsv6Cargas de trabajo de uso general y de uso intensivo de memoria Serie E V4
Serie E V5
Serie E V6Series Ev4 y Esv4
Series Edv4 y Edsv4
Series Eav4 y Easv4
Series Ev5 y Esv5
Series Edv5 y Edsv5
Series Easv5 y Eadsv5
Series Easv6 y Eadsv6Cargas de trabajo de uso intensivo de almacenamiento LSv3 LSv3-series Cargas de trabajo de uso intensivo de memoria Serie M Series Mv2
Msv2 y Mdsv2 de memoria
media Msv3 y series de memoria media Mdsv3Las redes aceleradas deben estar habilitadas en la interfaz de red de la máquina virtual. Para obtener más información sobre las redes aceleradas, consulte ¿En qué consisten las redes aceleradas?
El cifrado solo se aplica al tráfico entre máquinas virtuales de una red virtual. El tráfico se cifra desde una dirección IP privada a una dirección IP privada.
El tráfico a instancias de Virtual Machines no admitidas no es cifrado. Use los registros de flujo de Virtual Network para confirmar el cifrado de flujo entre máquinas virtuales. Para obtener más información, consulte Registros de flujo de red virtual.
Es necesario iniciar o detener las máquinas virtuales existentes después de habilitar el cifrado en una red virtual.
Disponibilidad
El cifrado de Azure Virtual Network está disponible con carácter general en todas las regiones públicas de Azure y actualmente está en versión preliminar pública en Azure Government y Microsoft Azure operado por 21Vianet.
Limitaciones
El cifrado de Virtual Network tiene las siguientes limitaciones:
En escenarios en los que interviene PaaS, la máquina virtual en la que se hospeda PaaS determina si se admite el cifrado de red virtual. La máquina virtual debe cumplir los requisitos enumerados.
Para el equilibrador de carga interno, todas las máquinas virtuales detrás del equilibrador de carga deben ser un SKU de máquina virtual compatible.
AllowUnencrypted es la única aplicación admitida en disponibilidad general. El cumplimiento de DropUnencrypted se admitirá en el futuro.
Las redes virtuales con cifrado habilitado no admiten Azure DNS Private Resolver.
Escenarios admitidos
El cifrado de red virtual se admite en los escenarios siguientes:
Escenario | Soporte técnico |
---|---|
Las máquinas virtuales en la misma red virtual (incluidos los conjuntos de escalado de máquinas virtuales y su equilibrador de carga interno) | Se admite en el tráfico entre máquinas virtuales de estas SKU. |
Emparejamiento de redes virtuales | Se admite en el tráfico entre máquinas virtuales a través del emparejamiento regional. |
Emparejamiento global de redes virtuales | Se admite en el tráfico entre máquinas virtuales a través del emparejamiento global. |
Azure Kubernetes Service (AKS) | - Compatible con AKS utilizando Azure CNI (modo normal o superpuesto), Kubenet o BYOCNI: el tráfico de nodos y pods está cifrado. - Se admite parcialmente en AKS mediante la asignación de IP de pod dinámico de Azure CNI (podSubnetId especificado): el tráfico del nodo está cifrado, pero el tráfico del pod no está cifrado. - Tráfico a la salida del plano de control administrado de AKS desde la red virtual y, por tanto, no está en el ámbito del cifrado de red virtual. Sin embargo, este tráfico siempre se cifra a través de TLS. |
Nota:
Otros servicios que actualmente no admiten el cifrado de red virtual se incluyen en nuestro plan de desarrollo futuro.