Azure 仮想ネットワーク暗号化は、Azure 仮想ネットワークの機能です。 仮想ネットワーク暗号化を使用すると、DTLS トンネルを作成することで、Azure 仮想マシン間のトラフィックをシームレスに暗号化および復号化できます。
仮想ネットワーク暗号化を使用すると、同じ仮想ネットワーク内の仮想マシンと仮想マシン スケール セット間のトラフィックを暗号化できます。 仮想ネットワーク暗号化により、リージョンとグローバルでピアリングされた仮想ネットワーク間のトラフィックが暗号化されます。 仮想ネットワーク ピアリングの詳細については、「仮想ネットワーク ピアリング」を参照してください。
仮想ネットワーク暗号化により、Azure の既存の転送中の暗号化機能が強化されます。 Azure の暗号化の詳細については、「Azure 暗号化の概要」を参照してください。
必要条件
仮想ネットワーク暗号化には、次の要件があります。
仮想ネットワーク暗号化は、次の仮想マシン インスタンス サイズでサポートされています。
型 VM シリーズ VM の SKU 汎用ワークロード D シリーズ V4
D シリーズ V5
D シリーズ V6Dv4 シリーズと Dsv4 シリーズ
Ddv4 シリーズと Ddsv4 シリーズ
Dav4 シリーズと Dasv4 シリーズ
Dv5 シリーズと Dsv5 シリーズ
Ddv5 シリーズと Ddsv5 シリーズ
Dlsv5 シリーズと Dldsv5 シリーズ
Dasv5 シリーズと Dadsv5 シリーズ
Dasv6 シリーズと Dadsv6 シリーズ
Dalsv6 シリーズと Daldsv6 シリーズ
Dsv6 シリーズ
Dplsv6 シリーズと Dpldsv6 シリーズ
Dpsv6 シリーズと Dpdsv6 シリーズメモリ集中型ワークロード E シリーズ V4
E シリーズ V5
E シリーズ V6
M シリーズ V2
M シリーズ V3Ev4 および Esv4 シリーズ
Edv4 および Edsv4 シリーズ
Eav4 および Easv4 シリーズ
Ev5 および Esv5 シリーズ
Edv5 および Edsv5 シリーズ
Easv5 および Eadsv5 シリーズ
Easv6 および Eadsv6 シリーズ
Epsv6 および Epdsv6 シリーズ
Mv2 シリーズ
Msv2 および Mdsv2 Medium Memory シリーズ
Msv3 および Mdsv3 Medium Memory シリーズストレージ集中型ワークロード L シリーズ V3 LSv3 シリーズ コンピューティング最適化 F シリーズ V6 Falsv6 シリーズ
Famsv6 シリーズ
Fasv6 シリーズ高速ネットワークを仮想マシンのネットワーク インターフェイスで有効にする必要があります。 高速ネットワークの詳細については、「高速ネットワークとは?」を参照してください。
暗号化は、仮想ネットワーク内の仮想マシン間のトラフィックにのみ適用されます。 トラフィックは、プライベート IP アドレス間で暗号化されます。
サポートされていない仮想マシンへのトラフィックは暗号化されません。 仮想ネットワーク フロー ログを使用して、仮想マシン間のフロー暗号化を確認します。 詳細については、Virtual Network フロー ログに関する記事を参照してください。
仮想ネットワークで暗号化を有効にした後、既存の仮想マシンの開始/停止が必要になります。
可用性
Azure Virtual Network 暗号化は、すべての Azure パブリック リージョンで一般提供されており、現在、21Vianet が運営する Azure Government と Microsoft Azure ではパブリック プレビュー段階です。
制限事項
Azure Virtual Network 暗号化には、次の制限があります。
PaaS が関係するシナリオでは、PaaS がホストされている仮想マシンによって、仮想ネットワーク暗号化がサポートされているかどうかが決まります。 仮想マシンは、一覧表示されている要件を満たしている必要があります。
内部ロード バランサーについては、ロード バランサーの背後にあるすべての仮想マシンは、サポートされている仮想マシン SKU 上にある必要があります。
AllowUnencrypted は、一般提供時にサポートされている唯一の強制です。 DropUnencrypted の強制は、今後サポートされる予定です。
暗号化が有効な仮想ネットワークは、Azure DNS Private Resolver、Application Gateway、Azure Firewall をサポートしていません。
Azure ExpressRoute ゲートウェイを持つ仮想ネットワークでは、Virtual Network Encryption を有効にしないでください。
Enabling VNET Encryption for Virtual Networks with ExpressRoute Gateways will break communication to On-premises.
Azure Private Link サービスを使って構成された仮想ネットワークでは仮想ネットワーク暗号化がサポートされていないため、これらの仮想ネットワークで仮想ネットワーク暗号化を有効にしないでください。
ロード バランサーへの接続エラーを防ぐために、内部ロード バランサーのバックエンド プールにネットワーク インターフェイスのセカンダリ IPv4 構成を含めないでください。
Azure 機密コンピューティング VM SKU を使用する仮想ネットワークでは、仮想ネットワーク暗号化を有効にしないでください。 仮想ネットワーク暗号化が有効になっている仮想ネットワークで Azure 機密コンピューティング VM を使いたい場合は、次のようにします。
- サポートされている場合は、VM の NIC で高速ネットワークを有効にします。
- 高速ネットワークがサポートされていない場合は、VM SKU を、高速ネットワークまたは仮想ネットワーク暗号化をサポートする SKU に変更します。
VM SKU が高速ネットワークまたは仮想ネットワーク暗号化をサポートしていない場合は、仮想ネットワーク暗号化を有効にしないでください。
サポートされるシナリオ
仮想ネットワーク暗号化がサポートされているのは以下のシナリオにおいてです。
| シナリオ | サポート |
|---|---|
| 同じ仮想ネットワーク内の仮想マシン (仮想マシン スケール セットとその内部ロード バランサーを含む) | これらの SKU の仮想マシン間のトラフィックでサポートされます。 |
| 仮想ネットワーク ピアリング | リージョン ピアリングを介した仮想マシン間のトラフィックでサポートされます。 |
| グローバル仮想ネットワーク ピアリング | グローバル ピアリングを介した仮想マシン間のトラフィックでサポートされます。 |
| Azure Kubernetes Service (AKS) | - Azure CNI (通常またはオーバーレイ モード)、kubenet、または BYOCNI を使用する AKS でサポートされます。ノードとポッドのトラフィックが暗号化されます。 - Azure CNI 動的ポッド IP 割り当て (podSubnetId を指定) を使用する AKS で部分的にサポートされます。ノード トラフィックは暗号化されますが、ポッド トラフィックは暗号化されません。 - AKS マネージド コントロール プレーンへのトラフィックは仮想ネットワークから送信されるため、仮想ネットワーク暗号化の対象外です。 ただし、このトラフィックは常に TLS 経由で暗号化されます。 |
注
現在仮想ネットワーク暗号化をサポートしていないその他のサービスは、今後のロードマップに含まれています。