Azure Virtual Network加密是Azure Virtual Network的一项功能。 通过虚拟网络加密,您可以无缝地加密和解密内部网络流量,同时对性能和扩展性的影响最小。 虚拟网络加密可保护穿过您虚拟网络的从虚拟机到虚拟机的数据。
先决条件
拥有具有活动订阅的Azure帐户。
创建帐户。
在本地安装Azure PowerShell。
登录到Azure PowerShell,然后选择要使用此功能的订阅。 有关详细信息,请参阅 Sign with Azure PowerShell。
请确保 Az.Network 模块是 4.3.0 或更高版本。 若要验证已安装的模块,请使用命令 Get-InstalledModule -Name Az.Network。 如果模块需要更新,必要时请使用命令 Update-Module -Name Az.Network。
如果选择在本地安装和使用 PowerShell,本文需要 Azure PowerShell 模块版本 5.4.1 或更高版本。 运行 Get-Module -ListAvailable Az 查找已安装的版本。 如果需要升级,请参阅 Install Azure PowerShell 模块。 如果在本地运行 PowerShell,则还需要运行 Connect-AzAccount -Environment AzureChinaCloud 来创建与Azure的连接。
可以使用本地Azure CLI。
- 此方法文章需要 2.31.0 或更高版本的 Azure CLI。
创建虚拟网络
创建虚拟网络
以下过程将创建一个包含资源子网的虚拟网络。
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面上,选择“+ 创建”。
在 Basics 选项卡上的 Create virtual network,输入或选择以下信息:
| 设置 |
值 |
|
项目详细信息 |
|
| 订阅 |
选择订阅。 |
| 资源组 |
选择“新建”。
在“名称”中输入“test-rg”。
选择“确定”。 |
|
实例详细信息 |
|
| 名称 |
输入“vnet-1”。 |
| 区域 |
选择“(亚太)中国东部 2”。 |
选择“下一步: IP 地址”,转到“IP 地址”选项卡。
在“子网”的地址空间框中,选择“默认”子网。
在编辑子网中,输入或选择以下信息:
| 设置 |
值 |
| 子网名称 |
输入“subnet-1”。 |
| 子网地址范围 |
输入“10.0.0.0/24”。 |
选择“保存”。
选择屏幕底部的查看 + 创建,然后在验证通过时选择创建。
使用 New-AzResourceGroup 在 chinanorth3 位置创建名为“test-rg”的资源组。
$rg =@{
Name = 'test-rg'
Location = 'chinanorth3'
}
New-AzResourceGroup @rg
使用 New-AzVirtualNetwork 和 New-AzVirtualNetworkSubnetConfig 创建virtual network。
## Create backend subnet config ##
$subnet = @{
Name = 'subnet-1'
AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet
## Create the virtual network ##
$net = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
Location = 'chinanorth3'
AddressPrefix = '10.0.0.0/16'
Subnet = $subnetConfig
EnableEncryption = 'true'
EncryptionEnforcementPolicy = 'AllowUnencrypted'
}
New-AzVirtualNetwork @net
使用 az group create 命令在 chinanorth3 位置创建名为 test-rg 的资源组。
az group create \
--name test-rg \
--location chinanorth3
使用 az 网络 vnet create 创建虚拟网络。
az network vnet create \
--resource-group test-rg \
--location chinanorth3 \
--name vnet-1 \
--enable-encryption true \
--encryption-enforcement-policy allowUnencrypted \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
重要
若要加密流量,虚拟网络加密需要虚拟网络中支持的虚拟机版本。 如果不受支持的虚拟机版本部署在虚拟网络中,则设置 dropUnencrypted 会丢弃这些版本之间的流量。
在virtual network上启用加密
使用以下步骤为virtual network启用加密。
在门户顶部的搜索框中,开始输入“虚拟网络”。 当“虚拟网络”出现在搜索结果中时,请选择它。
选择vnet-1来打开vnet-1窗格。
在服务菜单上,选择“概述”,然后选择“属性”选项卡。
在“加密”下,选择“已禁用”。
选择虚拟网络加密旁边的框。
选择“保存”。
还可以使用 Set-AzVirtualNetwork 对现有virtual network启用加密。
如果您在前面的步骤中创建虚拟网络时已经启用了加密,则不需要执行此步骤
## Place the virtual network configuration into a variable. ##
$net = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net
## Enable encryption on the virtual network ##
$vnet.Encryption = @{
Enabled = 'true'
Enforcement = 'allowUnencrypted'
}
$vnet | Set-AzVirtualNetwork
还可以使用 az network vnet update 对现有虚拟网络启用加密。
如果在前面的步骤中创建了启用了加密的虚拟网络,则不需要执行此步骤
az network vnet update \
--resource-group test-rg \
--name vnet-1 \
--enable-encryption true \
--encryption-enforcement-policy allowUnencrypted
验证加密是否已启用
在门户顶部的搜索框中,开始输入“虚拟网络”。 当“虚拟网络”出现在搜索结果中时,请选择它。
选择vnet-1来打开vnet-1窗格。
在服务菜单上,选择“概述”,然后选择“属性”选项卡。
验证“加密”是否已设为“已启用”。
使用 Get-AzVirtualNetwork查看之前创建的virtual network的加密参数。
## Place the virtual network configuration into a variable. ##
$net = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net
若要查看加密参数,请输入以下信息:
$vnet.Encryption
Enabled Enforcement
------- -----------
True allowUnencrypted
使用 az 网络 vnet show查看先前创建的虚拟网络的加密参数。
az network vnet show \
--resource-group test-rg \
--name vnet-1 \
--query encryption \
--output tsv
user@Azure:~$ az network vnet show \
--resource-group test-rg \
--name vnet-1 \
--query encryption \
--output tsv
True AllowUnencrypted
清理资源
清理资源
使用创建的资源之后,可以删除资源组及其所有资源:
在Azure portal中,搜索并选择资源组。
在“资源组”页上,选择“test-rg”资源组。
在“test-rg”页上,选择“删除资源组”。
在“输入资源组名称以确认删除”中输入“test-rg”,然后选择“删除”。
不再需要此资源组时,请使用 Remove-AzResourceGroup 删除资源组及其包含的所有资源。
$cleanup = @{
Name = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force
完成与虚拟网络相关的操作后,请使用命令 az group delete 删除资源组及其所有资源。
az group delete \
--name test-rg \
--yes
相关内容
