Azure Disk Encryption sur un réseau isolé
Attention
Cet article fait référence à CentOS, une distribution Linux ayant atteint l’état EOL (fin du service). Faites le point sur votre utilisation et organisez-vous en conséquence. Pour plus d’informations, consultez l’aide relative à la fin de vie de CentOS.
S’applique à : ✔️ Machines virtuelles Linux ✔️ Groupes identiques flexibles.
Lorsque la connectivité est limitée par un pare-feu, une exigence de proxy ou des paramètres de groupe de sécurité réseau (NSG), cela peut interrompre la capacité de l’extension à effectuer les tâches nécessaires. Cette interruption peut entraîner les messages d’état de type « État de l’extension non disponible sur la machine virtuelle ».
Gestion des packages
Azure Disk Encryption dépend de nombreux composants, qui sont généralement installés dans le cadre de l’activation ADE, s’ils ne sont pas déjà présents. Derrière un pare-feu ou isolés d’Internet, ces packages doivent être préinstallés ou disponibles localement.
Voici les packages nécessaires pour chaque distribution. Pour obtenir la liste complète des distributions et des types de volumes pris en charge, consultez Machines virtuelles et systèmes d’exploitation pris en charge.
- Ubuntu 14.04, 16.04, 18.04 : lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
- CentOS 7.2 à 7.9, 8.1, 8.2 : lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
- CentOS 6.8 : lsscsi, psmisc, lvm2, UUID, à, cryptsetup-rechiffrer, parted, Python-six
- RedHat 7.2 à 7.9, 8.1, 8.2 : lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
- RedHat 6.8 : lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
- openSUSE 42,3, SLES 12-SP4, 12-SP3 : lsscsi, cryptsetup
Sous Red Hat, lorsqu’un proxy est requis, vous devez absolument vous assurer que le gestionnaire d’abonnements et yum sont configurés correctement. Pour plus d’informations, consultez Guide pratique pour résoudre les problèmes du gestionnaire d’abonnement et yum.
Lorsque les packages sont installés manuellement, ils doivent également être mis à niveau manuellement au fur et à mesure de la publication de nouvelles versions.
Groupes de sécurité réseau
Les paramètres de groupe de sécurité réseau appliqués doivent permettre au point de terminaison de remplir les conditions requises de configuration réseau indiquées pour le chiffrement de disque. Voir Azure Disk Encryption : Configuration réseau requise
Azure Disk Encryption avec Microsoft Entra ID (version précédente)
Si vous utilisez Azure Disk Encryption avec Microsoft Entra ID (version précédente), vous devez installer manuellement la bibliothèque d’authentification Microsoft pour toutes les distributions (en plus des packages appropriés pour la distribution).
Quand le chiffrement est activé avec des informations d’identification Microsoft Entra, la machine virtuelle cible doit autoriser la connectivité sur les points de terminaison Microsoft Entra et les points de terminaison Key Vault. Les points de terminaison d’authentification Microsoft Entra actuels sont traités dans les sections 56 et 59 de la documentation URL et plages d’adresses IP Microsoft 365. Des instructions relatives à Key Vault sont fournies dans la documentation sur l’accès à Azure Key Vault derrière un pare-feu.
Service de métadonnées d’instance Azure
La machine virtuelle doit pouvoir accéder au point de terminaison Azure Instance Metadata Service qui utilise une adresse IP non routable bien connue (169.254.169.254
), accessible uniquement à partir de la machine virtuelle. Les configurations de proxy qui modifient le trafic HTTP local à cette adresse (par exemple, en ajoutant un en-tête X-Forwarded-For) ne sont pas prises en charge.
Étapes suivantes
- Voir davantage d'étapes sur la résolution des problèmes liés à Azure Disk Encryption
- Chiffrement des données au repos Azure