Share via

Azure Disk Encryption in einem isolierten Netzwerk

  • Artikel

Achtung

Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, die sich dem End-of-Life-Status (EOL) nähert. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS-Leitfaden für das Lebensende.

Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen.

Wenn die Konnektivität durch eine Firewall, eine Proxyanforderung oder Einstellungen für Netzwerksicherheitsgruppen (NSGs) eingeschränkt ist, kann die Fähigkeit der Erweiterung zur Durchführung von erforderlichen Aufgaben beeinträchtigt sein. Dies kann zu Statusmeldungen der Art „Erweiterungsstatus auf der VM nicht verfügbar“.

Paketverwaltung

Azure Disk Encryption hängt von vielen Komponenten ab, die in der Regel als Teil der ADE-Aktivierung installiert werden, sofern sie nicht bereits vorhanden sind. Wenn die Ausführung hinter einer Firewall erfolgt oder anderweitig vom Internet isoliert ist, müssen diese Pakete vorab installiert werden oder lokal verfügbar sein.

Dies sind die Pakete, die für die einzelnen Distributionen erforderlich sind. Eine vollständige Liste der unterstützten Distributionen und Volumetypen finden Sie unter Unterstützte VMs und Betriebssysteme.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 bis 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
  • RedHat 7.2 bis 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

Wenn unter Red Hat ein Proxy erforderlich ist, müssen Sie sicherstellen, dass die richtige Einrichtung von subscription-manager und yum sichergestellt ist. Weitere Informationen finden Sie unter How to troubleshoot subscription-manager and yum problems (Beheben von Problemen mit subscription-manager und yum).

Wenn Pakete manuell installiert werden, müssen sie auch manuell aktualisiert werden, wenn neue Versionen veröffentlicht werden.

Netzwerksicherheitsgruppen

Für alle angewendeten Einstellungen von Netzwerksicherheitsgruppen muss es ermöglicht werden, dass der Endpunkt die dokumentierten Voraussetzungen für die Netzwerkkonfiguration in Bezug auf die Datenträgerverschlüsselung erfüllt. Weitere Informationen finden Sie unter Azure Disk Encryption: Netzwerkanforderungen

Azure Disk Encryption mit Microsoft Entra ID (vorherige Version)

Wenn Azure Disk Encryption mit Microsoft Entra ID (vorherige Version) verwendet wird, muss die Microsoft-Authentifizierungsbibliothek für alle Distributionen manuell installiert werden (zusätzlich zu den Paketen für die einzelnen Distributionen).

Wenn die Verschlüsselung mit Microsoft Entra-Anmeldeinformationen aktiviert wird, muss die Ziel-VM die Konnektivität sowohl mit Microsoft Entra-Endpunkten als auch mit Key Vault-Endpunkten zulassen. Aktuelle Microsoft Entra-Authentifizierungsendpunkte werden in den Abschnitten 56 und 59 der Dokumentation zu URLs und IP-Adressbereichen in Microsoft 365 verwaltet. Anweisungen zu Schlüsseltresoren werden in der Dokumentation Zugreifen auf Azure Key Vault hinter einer Firewall bereitgestellt.

Azure-Instanzmetadatendienst

Der virtuelle Computer muss Zugriff auf den Azure-Instanzmetadatendienst-Endpunkt haben, der eine bekannte nicht routingfähige IP-Adresse (169.254.169.254) verwendet, auf die nur vom virtuellen Computer aus zugegriffen werden kann. Proxykonfigurationen, die den lokalen HTTP-Datenverkehr an diese Adresse ändern (z. B. durch Hinzufügen eines X-Forwarded-For-Headers), werden nicht unterstützt.

Nächste Schritte