使用 Azure CLI 创建加密的虚拟网络
Azure 虚拟网络加密是 Azure 虚拟网络的一项功能。 虚拟网络加密使你能够在网络传输中无缝加密和解密内部网络流量,同时对性能和规模的影响保持在最小。 Azure 虚拟网络加密可保护从虚拟网络虚拟机流到虚拟机以及从虚拟机流到本地的数据。
先决条件
- 具有活动订阅的 Azure 帐户。 免费创建一个。
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅使用 Azure CLI 登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
- 本操作指南文章需要 2.31.0 版或更高版本的 Azure CLI。
创建资源组
Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。
使用 az group create 在 chinanorth3 位置创建名为“test-rg”的资源组。
az group create \
--name test-rg \
--location chinanorth3
创建虚拟网络
在本部分中,你要创建一个虚拟网络并启用虚拟网络加密。
使用 az network vnet create 创建虚拟网络。
az network vnet create \
--resource-group test-rg \
--location chinanorth3 \
--name vnet-1 \
--enable-encryption true \
--encryption-enforcement-policy allowUnencrypted \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
在现有虚拟网络上启用
还可以使用 az network vnet update 在现有虚拟网络上启用加密。
az network vnet update \
--resource-group test-rg \
--name vnet-1 \
--enable-encryption true \
--encryption-enforcement-policy allowUnencrypted
重要
Azure 虚拟网络加密要求虚拟网络中有受支持的虚拟机 SKU 才能加密流量。
验证是否已启用加密
可以在虚拟网络中检查加密参数,以验证是否已在虚拟网络上启用加密。
使用 az network vnet show 查看之前创建的虚拟网络的加密参数。
az network vnet show \
--resource-group test-rg \
--name vnet-1 \
--query encryption \
--output tsv
user@Azure:~$ az network vnet show \
--resource-group test-rg \
--name vnet-1 \
--query encryption \
--output tsv
True AllowUnencrypted
清理资源
使用完虚拟网络后,请使用 az group delete 删除资源组及其所有资源。
az group delete \
--name test-rg \
--yes
后续步骤
- 有关 Azure 虚拟网络的详细信息,请参阅什么是 Azure 虚拟网络?。