Partilhar via


O que é a encriptação da Rede Virtual do Azure?

A criptografia da Rede Virtual do Azure é um recurso das Redes Virtuais do Azure. A criptografia de rede virtual permite criptografar e descriptografar facilmente o tráfego entre as Máquinas Virtuais do Azure criando um túnel DTLS.

A criptografia de rede virtual permite criptografar o tráfego entre Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais dentro da mesma rede virtual. A criptografia de rede virtual criptografa o tráfego entre redes virtuais emparelhadas regional e globalmente. Para obter mais informações sobre emparelhamento de rede virtual, consulte Emparelhamento de rede virtual.

A criptografia de rede virtual aprimora os recursos de criptografia existentes em trânsito no Azure. Para obter mais informações sobre criptografia no Azure, consulte Visão geral da criptografia do Azure.

Requisitos

A criptografia de rede virtual tem os seguintes requisitos:

  • A criptografia de Rede Virtual é suportada nos seguintes tamanhos de instância de máquina virtual:

    Type Série das VMs SKU da VM
    Cargas de trabalho de uso geral Série D V4
    Série D V5
    Série D V6
    Séries
    Dv4 e Dsv4 Séries
    Ddv4 e Ddsv4 Séries
    Dav4 e Dasv4 Séries

    Dv5 e Dsv5 Séries Ddv5
    e Dldsv5
    Séries Dasv5 e Dadsv5
    Dasv6 e Dadsv6
    séries Dalsv6 e Daldsv6 série
    Dsv6
    Cargas de trabalho com uso intensivo de memória Série E V4
    Série E V5
    Série E V6
    Série M V2
    Série M V3
    Séries
    Ev4 e Esv4 Séries Edv4 e Edsv4

    Séries

    Eav4 e Easv4 Séries

    Ev5 e Esv5 Séries
    Edv5 e Edsv5 Séries
    Easv6 e Eadsv6
    Série Mv2
    Msv2 e Mdsv2 Série de memória média

    Série de memória média Msv3 e Mdsv3
    Cargas de trabalho de armazenamento intensivo Série L V3 Série LSv3
    Com otimização de computação Série F V6 Série Falsv6
    Série

    Famsv6 Série Fasv6
  • A Rede Acelerada deve ser habilitada na interface de rede da máquina virtual. Para obter mais informações sobre rede acelerada, consulte O que é rede acelerada?

  • A criptografia só é aplicada ao tráfego entre máquinas virtuais em uma rede virtual. O tráfego é encriptado de um endereço IP privado para um endereço IP privado.

  • O tráfego para Máquinas Virtuais não suportadas não está encriptado. Use os Logs de Fluxo de Rede Virtual para confirmar a criptografia de fluxo entre máquinas virtuais. Para obter mais informações, consulte Logs de fluxo de rede virtual.

  • O início/parada de máquinas virtuais existentes é necessário depois de habilitar a criptografia em uma rede virtual.

Disponibilidade

A encriptação da Rede Virtual do Azure está geralmente disponível em todas as regiões públicas do Azure e está atualmente em pré-visualização pública no Azure Government e no Microsoft Azure operado pela 21Vianet.

Limitações

A criptografia da Rede Virtual do Azure tem as seguintes limitações:

  • Em cenários em que um PaaS está envolvido, a máquina virtual onde o PaaS está hospedado dita se a criptografia de rede virtual é suportada. A máquina virtual deve atender aos requisitos listados.

  • Para o balanceador de carga interno, todas as máquinas virtuais por trás do balanceador de carga devem ser uma SKU de máquina virtual suportada.

  • AllowUnencrypted é a única imposição suportada na disponibilidade geral. A aplicação DropUnencrypted será suportada no futuro.

  • As redes virtuais com encriptação ativada não suportam o Azure DNS Private Resolver.

  • As redes virtuais configuradas com o serviço Azure Private Link não dão suporte à criptografia de Rede Virtual, portanto, a criptografia de Rede Virtual não deve ser habilitada nessas redes virtuais.

  • O pool de back-end de um balanceador de carga interno não deve incluir nenhuma configuração IPv4 secundária da interface de rede para evitar falhas de conexão com o balanceador de carga.

  • A criptografia de Rede Virtual não deve ser habilitada em redes virtuais que tenham SKUs de VM de computação confidencial do Azure. Se você quiser usar VMs de computação confidenciais do Azure em redes virtuais onde a criptografia de Rede Virtual está habilitada, então:

    • Habilite a Rede Acelerada na NIC da VM, se houver suporte.
    • Se a Rede Acelerada não for suportada, altere a SKU da VM para uma que ofereça suporte à Rede Acelerada ou à criptografia de Rede Virtual.

    Não habilite a criptografia de Rede Virtual se a SKU da VM não oferecer suporte à Rede Acelerada ou à criptografia de Rede Virtual.

Cenários suportados

A criptografia de rede virtual é suportada nos seguintes cenários:

Cenário Suporte
Máquinas virtuais na mesma rede virtual (incluindo conjuntos de dimensionamento de máquinas virtuais e seu balanceador de carga interno) Suportado no tráfego entre máquinas virtuais dessas SKUs.
Peering de rede virtual Suportado no tráfego entre máquinas virtuais no emparelhamento regional.
Peering de redes virtuais global Suportado no tráfego entre máquinas virtuais através do emparelhamento global.
Azure Kubernetes Service (AKS) - Suportado no AKS usando o Azure CNI (modo regular ou de sobreposição), Kubenet ou BYOCNI: o tráfego de nós e pods é criptografado.
- Parcialmente suportado no AKS usando o Azure CNI Dynamic Pod IP Assignment (podSubnetId especificado): o tráfego do nó é criptografado, mas o tráfego do pod não é criptografado.
- O tráfego para o plano de controle gerenciado AKS sai da rede virtual e, portanto, não está no escopo para criptografia de rede virtual. No entanto, esse tráfego é sempre criptografado via TLS.

Nota

Outros serviços que atualmente não suportam criptografia de rede virtual estão incluídos em nosso roteiro futuro.