Azure Disk Encryption izolált hálózaton
Figyelemfelhívás
Ez a cikk az End Of Life (EOL) állapotú Linux-disztribúcióra, a CentOS-ra hivatkozik. Fontolja meg a használatát, és ennek megfelelően tervezze meg. További információ: CentOS End Of Life útmutató.
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai.
Ha a tűzfal, a proxykövetelmények vagy a hálózati biztonsági csoport (NSG) beállításai korlátozzák a kapcsolatot, a bővítmény képes lehet a szükséges feladatok végrehajtására. Ez a megszakítás állapotüzeneteket eredményezhet, például "A bővítmény állapota nem érhető el a virtuális gépen".
Csomagkezelés
Az Azure Disk Encryption számos összetevőtől függ, amelyek általában az ADE-engedélyezés részeként vannak telepítve, ha még nincsenek telepítve. Tűzfal mögött vagy más módon az internettől elkülönítve ezeket a csomagokat előre kell telepíteni, vagy helyileg elérhetővé kell tenni.
Íme az egyes disztribúciókhoz szükséges csomagok. A támogatott disztribúciók és kötettípusok teljes listájáért tekintse meg a támogatott virtuális gépeket és operációs rendszereket.
- Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
- CentOS 7.2 – 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
- CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
- RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
- RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
- openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup
Red Hat esetén, ha proxyra van szükség, győződjön meg arról, hogy az előfizetés-kezelő és a yum megfelelően van beállítva. További információ: Az előfizetés-kezelővel és a yum-sal kapcsolatos problémák elhárítása.
A csomagok manuális telepítésekor manuálisan is frissíteni kell őket az új verziók megjelenésekor.
Hálózati biztonsági csoportok
Az alkalmazott hálózati biztonsági csoportbeállításoknak továbbra is lehetővé kell tenniük, hogy a végpont megfeleljen a lemeztitkosítás dokumentált hálózati konfigurációs előfeltételeinek. Lásd: Azure Disk Encryption: Hálózatkezelési követelmények
Azure Disk Encryption És Microsoft Entra ID (korábbi verzió)
Ha az Azure Disk Encryptiont a Microsoft Entra-azonosítóval (korábbi verzió) használja, a Microsoft Authentication Library-t manuálisan kell telepíteni az összes disztribúcióhoz (a disztribúcióhoz megfelelő csomagokon kívül).
Ha a titkosítás engedélyezve van a Microsoft Entra hitelesítő adataival, a cél virtuális gépnek engedélyeznie kell a Kapcsolatot a Microsoft Entra-végpontokkal és a Key Vault-végpontokkal. A Microsoft Entra jelenlegi hitelesítési végpontjait a Microsoft 365 URL-címeinek és IP-címtartományainak dokumentációjának 56. és 59. szakasza tartja fenn. A Key Vault utasításait az Azure Key Vault tűzfal mögötti elérésére vonatkozó dokumentáció tartalmazza.
Azure Instance Metadata szolgáltatás
A virtuális gépnek hozzá kell tudnia férni az Azure Instance Metadata szolgáltatásvégponthoz , amely egy jól ismert, nem módosítható IP-címet (169.254.169.254
) használ, amely csak a virtuális gépről érhető el. Az erre a címre irányuló helyi HTTP-forgalmat módosító proxykonfigurációk (például X-Forwarded-For fejléc hozzáadása) nem támogatottak.
Következő lépések
- További lépések az Azure-lemeztitkosítás hibaelhárításához
- Inaktív adatok titkosítása az Azure-ban