Compartir por

Azure Disk Encryption en una red aislada

  • Artigo

Precaución

En este artículo se hace referencia a CentOS, una distribución de Linux que está cerca de su estado Final de ciclo vida (EOL). Tenga en cuenta su uso y planifique en consecuencia. Para obtener más información, consulte la guía de fin de vida de CentOS.

Se aplica a: ✔️ máquinas virtuales Linux ✔️ conjuntos de escalado flexibles

Cuando la conectividad está limitada por un firewall, la configuración del grupo de seguridad de red (NSG) o el requisito de proxy, podría perderse la capacidad de la extensión para realizar las tareas necesarias. Esto puede dar lugar a mensajes de estado similares a "El estado de extensión no está disponible en la máquina virtual".

Administración de paquetes

Azure Disk Encryption depende de muchos componentes, que suelen instalarse como parte de la habilitación de ADE si no están ya presentes. Cuando estén detrás de un firewall o aislados de Internet, estos paquetes deben estar preinstalados o disponibles localmente.

Estos son los paquetes que se necesitan para cada distribución. Para una lista completa de las distribuciones y tipos de volumen compatibles, vea Máquinas virtuales y sistemas operativos compatibles.

  • Ubuntu 14.04, 16.04 y 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2-7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
  • RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

En Red Hat, cuando se necesite un proxy, debe asegurarse de que el administrador de la suscripción y yum están configurados correctamente. Para obtener más información, consulte cómo solucionar problemas de administrador de suscripción y yum.

Cuando los paquetes se instalan manualmente, también se deben actualizar manualmente a medida que se publiquen nuevas versiones.

Grupos de seguridad de red

Parte de la configuración del grupo de seguridad de red que se aplica debe permitir todavía que el punto de conexión cumpla con los requisitos previos documentados de la configuración de red para el cifrado del disco. Consulte Azure Disk Encryption: Requisitos de red

Azure Disk Encryption con Microsoft Entra ID (versión anterior)

Si usa Azure Disk Encryption con Microsoft Entra ID (versión anterior), la biblioteca de autenticación de Microsoft deberá instalarse manualmente para todas las distribuciones (además de los paquetes adecuados para la distribución).

Cuando se está habilitando el cifrado con credenciales de Microsoft Entra, la máquina virtual de destino debe permitir la conectividad a los puntos de conexión de Microsoft Entra y Key Vault. Los puntos de conexión de autenticación actuales de Microsoft Entra se mantienen en las secciones 56 y 59 de la documentación sobre direcciones URL e intervalos de direcciones IP de Microsoft 365. En la documentación sobre cómo acceder a Azure Key Vault detrás de un firewall se proporcionan instrucciones de Key Vault.

Servicio de metadatos de instancia de Azure

La máquina virtual debe poder acceder al punto de conexión de Azure Instance Metadata Service que utiliza una dirección IP no enrutable conocida (169.254.169.254) a la que solo se puede acceder desde la máquina virtual. No se admiten las configuraciones de proxy que modifican el tráfico HTTP local hacia esta dirección (por ejemplo, la adición de un encabezado X-Forwarded-For).

Pasos siguientes