是的。 有关在现有虚拟网络上启用虚拟网络加密的详细信息，请参阅 “启用加密 ”。

加密验证仅限于在公共预览版期间网络接口资源、vnetEncryptionSupported 和加速网络的状态。 公共预览版后，虚拟网络流日志可用于查看虚拟机之间的加密流和未加密流。

UDP 碎片数据包不会卸载到硬件，因此会被删除。 若要避免这种情况，请确保设置了“不要片段”（DF）标志，并且不会将数据包分段离开虚拟机。 超过 MTU 限制的数据包将被丢弃，而不是碎片化。

Microsoft为每个区域管理和创建证书。 客户提供的证书是路线图上的一项功能。

吞吐量/带宽的性能影响非常小。 加密操作将卸载到加密专用FPGA。 两个虚拟机之间的初始连接影响最小，因为需要建立隧道。

当有非对称路由且流量在一个方向上流动，另一个方向未加密时，可能会发生非对称加密。 不支持非对称加密，不建议这样做。

Question 1

是否可以在现有虚拟网络、虚拟机、网络接口或 NSG 上启用虚拟网络加密？

Accepted Answer

是的。有关在现有虚拟网络上启用虚拟网络加密的详细信息，请参阅 “启用加密”。

Question 2

如何验证我的数据是否已加密？

Accepted Answer

加密验证仅限于在公共预览版期间网络接口资源、vnetEncryptionSupported 和加速网络的状态。公共预览版后，虚拟网络流日志可用于查看虚拟机之间的加密流和未加密流。

Question 3

为什么数据包会在加密的虚拟网络中丢失，以及我该如何防止这种情况的发生？

Accepted Answer

UDP 碎片数据包不会卸载到硬件，因此会被删除。若要避免这种情况，请确保设置了“不要片段”（DF）标志，并且不会将数据包分段离开虚拟机。超过 MTU 限制的数据包将被丢弃，而不是碎片化。

Question 4

哪些证书用于 Azure 主机上的 DTLS 建立？

Accepted Answer

Microsoft为每个区域管理和创建证书。客户提供的证书是路线图上的一项功能。

Question 5

性能效果是什么？

Accepted Answer

吞吐量/带宽的性能影响非常小。加密操作将卸载到加密专用FPGA。两个虚拟机之间的初始连接影响最小，因为需要建立隧道。

Question 6

是否支持 VPN 网关、应用程序网关、Azure 防火墙或 PaaS？

Accepted Answer

这取决于 PaaS 使用的基础 VM 大小，并且需要启用加速网络。

Question 7

加密在何处终止？

Accepted Answer

加密在 Azure 主机上的 SmartNIC/FPGA 处终止。

Question 8

在一个方向启用加密且另一方向禁用加密的情况下，是否支持非对称加密？

Accepted Answer

当有非对称路由且流量在一个方向上流动，另一个方向未加密时，可能会发生非对称加密。不支持非对称加密，不建议这样做。

Azure 虚拟网络加密的常见问题

是否可以在现有虚拟网络、虚拟机、网络接口或 NSG 上启用虚拟网络加密？