Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La crittografia della rete virtuale di Azure è una funzionalità delle reti virtuali di Azure. La crittografia della rete virtuale consente di eseguire la crittografia e la decrittografia del traffico senza problemi tra macchine virtuali di Azure creando un tunnel DTLS.
La crittografia della rete virtuale abilita la crittografia del traffico tra macchine virtuali e set di scalabilità di macchine virtuali all'interno della stessa rete virtuale. La crittografia della rete virtuale esegue la crittografia del traffico tra reti virtuali con peering a livello regionale e globale. Per altre informazioni sul peering delle reti virtuali, vedere Peering di rete virtuale.
La crittografia di rete virtuale migliora la crittografia esistente nelle funzionalità in transito in Azure. Per altre informazioni sulla crittografia in Azure, vedere Panoramica della crittografia di Azure.
Requisiti
La crittografia della rete virtuale presenta i requisiti seguenti:
La crittografia della rete virtuale è supportata nei seguenti tipi di istanze di macchine virtuali:
Tipo Serie di VM SKU di VM Carichi di lavoro per utilizzo generico Serie D V4
Serie D V5
Serie D V6Serie Dv4 e Dsv4
Serie Ddv4 e Ddsv4
Serie Dav4 e Dasv4
Serie Dv5 e Dsv5
Serie Ddv5 e Ddsv5
Serie Dlsv5 e Dldsv5
Serie Dasv5 e Dadsv5
Serie Dasv6 e Dadsv6
Serie Dalsv6 e Daldsv6
Serie Dsv6
Serie Dplsv6 e Dpldsv6
Serie Dpsv6 e Dpdsv6Carichi di lavoro a elevato utilizzo di memoria Serie E4
serie E V5
serie E 6
serie M V2
serie M V3Serie Ev4 e Esv4
Serie Edv4 e Edsv4
Serie Eav4 e Easv4
Serie Ev5 e Esv5
Serie Edv5 e Edsv5
Serie Easv5 e Eadsv5
Serie Easv6 e Eadsv6
Serie Epsv6 e Epdsv6
Serie Mv2
Serie Memoria media Msv2 e Mdsv2
Serie Memoria media Msv3 e Mdsv3Carichi di lavoro a elevato utilizzo di archiviazione Serie L V3 Serie LSv3 Con ottimizzazione per il calcolo Serie F V6 Serie Falsv6
Serie Famsv6
Serie Fasv6La rete accelerata deve essere abilitata nell'interfaccia di rete della macchina virtuale. Per altre informazioni sulla rete accelerata, vedere Che cos'è la rete accelerata?
La crittografia viene applicata solo al traffico tra macchine virtuali in una rete virtuale. Il traffico viene crittografato da un indirizzo IP privato a un indirizzo IP privato.
Il traffico verso macchine virtuali non supportate non è crittografato. Usare i log del flusso di rete virtuale per confermare la crittografia del flusso tra macchine virtuali. Per altre informazioni, vedere Log dei flussi della rete virtuale.
L'avvio/arresto delle macchine virtuali esistenti è richiesto dopo avere abilitato la crittografia in una rete virtuale.
Disponibilità
La crittografia della rete virtuale di Azure è disponibile a livello generale in tutte le aree pubbliche di Azure ed è attualmente disponibile in anteprima pubblica in Azure per enti pubblici e Microsoft Azure gestito da 21Vianet.
Limiti
La crittografia della rete virtuale di Microsoft Azure presenta le limitazioni seguenti:
Negli scenari in cui è coinvolto un PaaS, la macchina virtuale in cui è ospitato PaaS determina se la crittografia della rete virtuale è supportata. La macchina virtuale deve soddisfare i requisiti elencati.
Per il servizio di bilanciamento del carico interno, tutte le macchine virtuali dietro il servizio di bilanciamento del carico devono trovarsi in uno SKU di macchina virtuale supportato.
AllowUnencrypted è l'unica applicazione supportata per la disponibilità generale. La tutela DropUnencrypted sarà supportata in futuro.
Le reti virtuali con crittografia abilitata non supportano il resolver privato DNS di Azure, il gateway applicativo e il firewall di Azure.
La crittografia della rete virtuale non deve essere abilitata nelle reti virtuali con gateway ExpressRoute di Azure.
Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.
Le reti virtuali configurate con il servizio Azure Private Link non supportano la crittografia della Rete Virtuale, quindi la crittografia della Rete Virtuale non dovrebbe essere abilitata su queste reti virtuali.
Il pool back-end di un servizio di bilanciamento del carico interno non deve includere configurazioni IPv4 secondarie dell'interfaccia di rete per evitare errori di connessione al servizio di bilanciamento del carico.
La crittografia della rete virtuale non deve essere abilitata nelle reti virtuali che utilizzano le varianti di macchine virtuali per il confidential computing di Azure. Se si vuole usare le macchine virtuali di confidential computing di Azure nelle reti virtuali in cui è abilitata la crittografia Rete virtuale, procedere come illustrato di seguito:
- Abilitare la rete accelerata nella scheda di interfaccia di rete della macchina virtuale, se supportata.
- Se la rete accelerata non è supportata, modificare lo SKU della macchina virtuale in uno che supporta la rete accelerata o la crittografia Rete virtuale.
Non abilitare la crittografia Rete virtuale se lo SKU della macchina virtuale non supporta la rete accelerata o la crittografia Rete virtuale.
Scenari supportati
La crittografia di rete virtuale è supportata negli scenari seguenti:
| Sceneggiatura | Supporto tecnico |
|---|---|
| Macchine virtuali nella stessa rete virtuale (inclusi i set di scalabilità di macchine virtuali e il servizio di bilanciamento del carico interno) | Supportato per il traffico tra macchine virtuali da questi SKU. |
| Peering di rete virtuale | Supportato sul traffico tra macchine virtuali in peering a livello di area. |
| Peering di rete virtuale globale | Supportato sul traffico tra macchine virtuali tra peering globale. |
| Servizio Azure Kubernetes (AKS) | - Supportato nel servizio Azure Kubernetes usando Azure CNI (modalità normale o sovrapposta), Kubenet o BYOCNI: il traffico del nodo e del pod è crittografato. - Parzialmente supportato nel servizio Azure Kubernetes usando l'assegnazione di IP pod dinamici CNI (podSubnetId specificato): il traffico del nodo viene crittografato, ma il traffico dei pod non è crittografato. - Traffico verso il piano di controllo gestito del servizio Azure Kubernetes in uscita dalla rete virtuale e pertanto non rientra nell'ambito della crittografia della rete virtuale. Tuttavia, questo traffico viene sempre crittografato tramite TLS. |
Nota
Altri servizi che attualmente non supportano la crittografia della rete virtuale sono inclusi nella roadmap futura.