Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I det här avsnittet beskrivs viktiga rekommendationer för att uppnå nätverkskryptering mellan lokalt och Azure samt mellan Azure-regioner.
Utformningsbeaktanden
Kostnad och tillgänglig bandbredd är omvänt proportionella mot längden på krypteringstunneln mellan slutpunkterna.
Azure Virtual Network-kryptering förbättrar befintliga funktioner för kryptering under överföring i Azure och möjliggör sömlös trafikkryptering och dekryptering mellan virtuella datorer (VM) och virtuella datorers skalningsuppsättningar.
När du använder ett VPN för att ansluta till Azure krypteras trafiken via Internet via IPsec-tunnlar.
När du använder Azure ExpressRoute med privat peering krypteras inte trafiken för närvarande.
Det går att konfigurera en plats-till-plats-VPN-anslutning via privat ExpressRoute-peering.
Du kan använda kryptering för Media Access Control Security (MACsec) på ExpressRoute Direct för att uppnå nätverkskryptering.
När Azure-trafik förflyttas mellan datacenter (utanför fysiska gränser som inte kontrolleras av Microsoft eller för Microsofts räkning) används MACsec-datalänkskiktskryptering i den underliggande nätverksinfrastrukturen. Detta gäller för peering-trafik för virtuella nätverk.
Designrekommendationer
Diagram som illustrerar krypteringsflöden.
Bild 1: Krypteringsflöden.
När du upprättar VPN-anslutningar från lokalt till Azure med hjälp av VPN-gatewayer krypteras trafiken på protokollnivå via IPsec-tunnlar. Föregående diagram visar den här krypteringen i flöde
A.Om du behöver kryptera VM-till-VM-trafik i samma virtuella nätverk eller över regionala eller globala sammankopplade virtuella nätverk använder du Virtual Network-kryptering.
När du använder ExpressRoute Direct konfigurerar du MACsec för att kryptera trafik på skikt 2 mellan organisationens routrar och MSEE. Diagrammet visar den här krypteringen i flödet
B.För Virtual WAN-scenarier där MACsec inte är ett alternativ (till exempel om du inte använder ExpressRoute Direct) använder du en Virtuell WAN VPN-gateway för att upprätta IPsec-tunnlar över privat ExpressRoute-peering. Diagrammet visar den här krypteringen i flödet
C.För icke-Virtual WAN-scenarier och där MACsec inte är ett alternativ (till exempel att inte använda ExpressRoute Direct) är de enda alternativen:
- Använd partner-NVA:er för att upprätta IPsec-tunnlar via privat ExpressRoute-peering.
- Upprätta en VPN-tunnel via ExpressRoute med Microsoft-peering.
- Utvärdera möjligheten för att konfigurera en plats-till-plats-VPN-anslutning via privat ExpressRoute-peering.
Om interna Azure-lösningar (som visas i flöden
BochCi diagrammet) inte uppfyller dina krav använder du partner-NVA:er i Azure för att kryptera trafik via privat ExpressRoute-peering.