Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Virtual Network-versleuteling is een functie van Azure Virtual Networks. Virtuele netwerkversleuteling stelt u in staat om naadloos verkeer tussen Azure Virtual Machines te versleutelen en ontsleutelen door een DTLS-tunnel te maken.
Virtueel netwerkversleuteling stelt u in staat om het verkeer tussen virtuele machines en virtuele machines schaalsets binnen hetzelfde virtuele netwerk te versleutelen. Versleuteling van virtuele netwerken versleutelt verkeer tussen regionaal en wereldwijd aangeschakelde virtuele netwerken. Voor meer informatie over virtuele netwerk-peering, zie Virtuele netwerk-peering.
Versleuteling van virtuele netwerken verbetert de bestaande mogelijkheden voor versleuteling tijdens doorgifte in Azure. Voor meer informatie over encryptie in Azure, zie Azure encryptie-overzicht.
Behoeften
Virtuele netwerkversleuteling heeft de volgende vereisten:
Ondersteuning voor Virtual Network-encryptie geldt voor de volgende formaten van virtuele machine-instanties:
Typ VM-serie VM Artikelnummer Workloads voor algemeen gebruik D-serie V4
D-serie V5
D-serie V6Dv4- en Dsv4-serie
Ddv4- en Ddsv4-serie
Dav4- en Dasv4-serie
Dv5- en Dsv5-serie
Ddv5- en Ddsv5-serie
Dlsv5- en Dldsv5-serie
Dasv5- en Dadsv5-serie
Dasv6- en Dadsv6-serie
Dalsv6- en Daldsv6-serie
Dsv6-serie
Dplsv6- en Dpldsv6-serie
Dpsv6- en Dpdsv6-serieGeheugenintensieve werkbelastingen E-serie V4
E-serie V5
E-serie V6
M-serie V2
M-serie V3Ev4- en Esv4-serie
Edv4- en Edsv4-serie
Eav4- en Easv4-serie
Ev5- en Esv5-serie
Edv5- en Edsv5-serie
Easv5- en Eadsv5-serie
Easv6- en Eadsv6-serie
Epsv6- en Epdsv6-serie
Mv2-serie
Msv2- en Mdsv2 Middelgroot Geheugen-serie
Msv3- en Mdsv3 Middelgroot Geheugen-serieOpslagintensieve werklasten L-serie V3 LSv3-serie Rekenkracht geoptimaliseerd V6 uit de F-serie Falsv6-serie
Famsv6-serie
Fasv6-serieVersneld Netwerken moet worden ingeschakeld op de netwerkinterface van de virtuele machine. Voor meer informatie over Versneld Netwerken, zie Wat is Versneld Netwerken?
Versleuteling wordt alleen toegepast op verkeer tussen virtuele machines in een virtueel netwerk. Verkeer wordt versleuteld van een privé IP-adres naar een privé IP-adres.
Het verkeer naar niet-ondersteunde virtuele machines is niet versleuteld. Gebruik logboeken voor virtuele netwerken om de versleuteling van verkeersstromen tussen virtuele machines te bevestigen. Voor meer informatie, zie Virtuele netwerkstroomlogboeken.
Het starten/stoppen van bestaande virtuele machines is vereist na het inschakelen van encryptie in een virtueel netwerk.
Beschikbaarheid
Azure Virtual Network-versleuteling is algemeen beschikbaar in alle openbare Azure-regio's en is momenteel in openbare preview in Azure Government en Microsoft Azure beheerd door 21Vianet.
Beperkingen
Azure Virtual Network-versleuteling heeft de volgende beperkingen:
In scenario's waar een PaaS is betrokken, bepaalt de virtuele machine waarop de PaaS is gehost of versleuteling van het virtuele netwerk wordt ondersteund. De virtuele machine moet aan de vermelde vereisten voldoen.
Voor een interne load balancer moeten alle virtuele machines achter de load balancer een ondersteunde virtual machine SKU gebruiken.
AllowUnencrypted is de enige ondersteunde handhaving bij algemene beschikbaarheid. DropUnencrypted handhaving zal in de toekomst worden ondersteund.
Virtuele netwerken met ingeschakelde versleuteling ondersteunen Azure DNS Private Resolver, Application Gateway, en Azure Firewall niet.
Versleuteling van virtueel netwerk mag niet worden ingeschakeld in virtuele netwerken met Azure ExpressRoute-gateways.
Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.
Virtuele netwerken die zijn geconfigureerd met de Azure Private Link-service ondersteunen geen Virtual Network-encryptie, dus Virtual Network-encryptie moet niet worden ingeschakeld op deze virtuele netwerken.
De back-endpool van een interne load balancer mag geen secundaire IPv4-configuraties van netwerkinterfaces bevatten om verbindingsproblemen met de load balancer te voorkomen.
Versleuteling van het virtuele netwerk moet niet worden ingeschakeld in virtuele netwerken die Azure confidential computing VM SKU's bevatten. Als u Azure vertrouwelijke computing-VM's wilt gebruiken in virtuele netwerken waar Virtual Network-encryptie is ingeschakeld, dan:
- Schakel Versnelde Netwerken in op de NIC van de VM als het wordt ondersteund.
- Als Accelerated Networking niet wordt ondersteund, wijzig dan de VM SKU naar een die Accelerated Networking of Virtual Network-encryptie ondersteunt.
Schakel de encryptie van het virtuele netwerk niet in als de VM SKU geen ondersteuning biedt voor Versneld Netwerken of encryptie van het virtuele netwerk.
Ondersteunde scenario's
Virtuele netwerkversleuteling wordt in de volgende scenario's ondersteund:
| Scenariobeschrijving | Ondersteuning |
|---|---|
| Virtuele machines in hetzelfde virtuele netwerk (inclusief virtuele machine-schaalsets en hun interne load balancer) | Ondersteund op verkeer tussen virtuele machines van deze SKUs. |
| Virtueel netwerk koppeling | Ondersteund op verkeer tussen virtuele machines via regionale peering. |
| Globale virtuele netwerken koppeling | Ondersteund bij verkeer tussen virtuele machines via wereldwijde peering. |
| Azure Kubernetes Service (AKS) | - Ondersteund op AKS met gebruik van Azure CNI (reguliere of overlaymodus), Kubenet, of BYOCNI: node- en podverkeer is versleuteld. - Gedeeltelijk ondersteund op AKS met gebruik van Azure CNI Dynamische Pod IP-toewijzing (podSubnetId gespecificeerd): nodeverkeer is versleuteld, maar podverkeer is niet versleuteld. - Verkeer naar het beheerde besturingsvlak van AKS verlaat het virtuele netwerk en valt daarom niet binnen het bereik van versleuteling binnen het virtuele netwerk. Echter, dit verkeer is altijd versleuteld via TLS. |
Opmerking
Andere diensten die momenteel geen ondersteuning bieden voor versleuteling van virtuele netwerken zijn opgenomen in onze toekomstige routekaart.