这次介绍的功能VNET Encryption也是在Global预览的,在21v估计要等段时间,不过这个功能不需要填表来开通,属于可以直接用的。VNET Encryption顾名思义就是网络加密,正常情况下VNET内部的这些流量都是不加密的,其实对于使用没有什么影响,不过有些时候如果有比较多合规上的要求,可能会对加密这类设置有一些规范,比如是不是必须用CMK,key的rotate周期必须满足什么条件之类的。在这种场景下,VNET Encryption可能会有所帮助
VNET Encryption本身对用户来说并不复杂,简单点击几下就可以开启了,但是要注意这个功能本身是有一些限制的
- VM Size必须满足以下要求
- Dv4 和 Dsv4 系列、Ddv4 和 Ddsv4 系列、Dav4 和 Dasv4 系列
- Ev4 和 Esv4 系列、Edv4 和 Edsv4 系列、Eav4 和 Easv4 系列
- Mv2 系列
- 必须在虚拟机的网络接口上启用加速网络。
- 加密仅适用于虚拟网络中虚拟机之间的流量。 从专用 IP 地址到专用 IP 地址加密流量。
- 支持虚拟网络加密的区域支持全球对等互连。
- 不加密流向不受支持的虚拟机的流量。 使用虚拟网络流日志确认虚拟机之间的流加密。
- 在虚拟网络中启用加密后,可能需要启动/停止现有虚拟机。
另外,因为是preview的功能,所以也不是所有region都支持,目前只在以下region可用
- 美国东部 2 EUAP
- 美国中部 EUAP
- 美国中西部
- 美国东部
- 美国东部 2
- 美国西部
- 美国西部 2
满足这些要求之后即可开始测试这项功能,首先把resource group建好
az group create --name encry-rg --location westus
接下来部署VNET,在部署VNET时,注意要开启加密选项
az network vnet create --resource-group encry-rg --location westus --name encry-vnet --enable-encryption true --encryption-enforcement-policy allowUnencrypted --address-prefixes 172.16.0.0/16 --subnet-name default --subnet-prefixes 172.16.0.0/24
这里要注意的选项有两个
- --enable-encryption true
- --encryption-enforcement-policy allowUnencrypted
enable-encryption就不说了,encryption-enforcement-policy可以接受的选项有两个,分别是AllowUnencrypted和DropUnencrypted,注意结合实际场景来选择
之后可以通过多种途径来确定是否已开启加密
CLI
az network vnet show --resource-group encry-rg --name encry-vnet --query encryption --output tsv
Portal
之后按照之前写的要求,注意如果是部署VM的话,想要满足加密的条件,VM SIZE必须是上表中的机型,另外还要注意必须开启加速网络,否则还是没办法实现VNET ENCRYPTION,如果用CLI部署的话,可以用以下命令
az vm create `
--resource-group encry-rg `
--name encry-vm `
--image OpenLogic:CentOS-LVM:7-LVM:7.9.2020111900 `
--admin-username azuser `
--admin-password '*******' `
--vnet-name encry-vnet `
--subnet default `
--size Standard_D2s_v4 `
--accelerated-networking true以上基本就是VNET Encryption的一些简单介绍
标签:加密,name,预览,--,Encryption,encry,VNET,encryption From: https://blog.51cto.com/mxyit/9150530