是的。 有关在现有虚拟网络上启用虚拟网络加密的详细信息，请参阅 启用加密 。

加密验证仅限于公共预览期间的网络接口资源、vnetEncryptionSupported 和加速网络的状态。 公共预览版之后，虚拟网络流日志可用于查看虚拟机之间的加密流和未加密流。

片段数据包不会卸载到硬件，也不会加密。 在虚拟机的网络配置中使用 1500 的 MTU。

Microsoft 为每个区域创建了证书并管理着它们。 客户提供的证书是路线图上的一项功能。

对吞吐量/带宽的性能影响极小。 加密操作会卸载到加密专用的 FPGA。 对两个虚拟机之间的初始连接影响极小，因为需要建立隧道。

当存在非对称路由且流量在一个方向上流动时加密，而在另一个方向流动时未加密，则可能会发生非对称加密。 不支持非对称加密，不建议这样做。

Question 1

是否可以在现有虚拟网络、虚拟机、网络接口或 NSG 上启用虚拟网络加密？

Accepted Answer

是的。有关在现有虚拟网络上启用虚拟网络加密的详细信息，请参阅启用加密。

Question 2

如何验证我的数据是否加密？

Accepted Answer

加密验证仅限于公共预览期间的网络接口资源、vnetEncryptionSupported 和加速网络的状态。公共预览版之后，虚拟网络流日志可用于查看虚拟机之间的加密流和未加密流。

Question 3

是否有未加密的数据？

Accepted Answer

片段数据包不会卸载到硬件，也不会加密。在虚拟机的网络配置中使用 1500 的 MTU。

Question 4

哪个证书用于在 Azure 主机上建立 DTLS？

Accepted Answer

Microsoft 为每个区域创建了证书并管理着它们。客户提供的证书是路线图上的一项功能。

Question 5

性能影响是什么？

Accepted Answer

对吞吐量/带宽的性能影响极小。加密操作会卸载到加密专用的 FPGA。对两个虚拟机之间的初始连接影响极小，因为需要建立隧道。

Question 6

是否支持 VPN 网关、应用程序网关、Azure 防火墙或 PaaS？

Accepted Answer

这取决于 PaaS 使用的基础 VM 大小，并且需要启用加速网络。

Question 7

加密在哪里终止？

Accepted Answer

加密在 Azure 主机上的 SmartNIC/FPGA 处终止。

Question 8

当一个方向启用了加密，而另一方向禁用了加密时，是否支持非对称加密？

Accepted Answer

当存在非对称路由且流量在一个方向上流动时加密，而在另一个方向流动时未加密，则可能会发生非对称加密。不支持非对称加密，不建议这样做。

Azure 虚拟网络加密的常见问题解答

是否可以在现有虚拟网络、虚拟机、网络接口或 NSG 上启用虚拟网络加密？