Azure Disk Encryption pada jaringan terisolasi

Penting

Azure Disk Encryption dijadwalkan untuk penghentian pada 15 September 2028. Hingga tanggal tersebut, Anda dapat terus menggunakan Azure Disk Encryption tanpa gangguan. Pada 15 September 2028, beban kerja berkemampuan ADE akan terus berjalan, tetapi disk terenkripsi akan gagal dibuka setelah reboot VM, mengakibatkan gangguan layanan.

Gunakan enkripsi di host untuk VM baru, atau pertimbangkan ukuran VM Rahasia dengan enkripsi disk OS untuk beban kerja komputasi rahasia. Semua VM yang diaktifkan ADE (termasuk cadangan) harus bermigrasi ke enkripsi di host sebelum tanggal penghentian untuk menghindari gangguan layanan. Lihat Migrasi dari Azure Disk Encryption ke enkripsi di host untuk detailnya.

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang merupakan status End Of Life (EOL). Pertimbangkan penggunaan Anda dan buat rencana yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Berlaku untuk: ✔️ Linux VM ✔️ Grup Skala Fleksibel.

Ketika konektivitas dibatasi oleh firewall, persyaratan proxy, atau pengaturan grup keamanan jaringan (NSG), kemampuan ekstensi untuk melakukan tugas yang diperlukan mungkin terganggu. Gangguan ini dapat mengakibatkan pesan status seperti "Status ekstensi tidak tersedia di VM."

Manajemen Paket

Azure Disk Encryption bergantung pada banyak komponen, yang biasanya diinstal sebagai bagian dari pengaktifan ADE jika belum ada. Ketika di belakang firewall atau diisolasi dari Internet, paket ini harus diinstal sebelumnya atau tersedia secara lokal.

Berikut adalah paket yang diperlukan untuk setiap distribusi. Untuk daftar lengkap distro dan jenis volume yang didukung, lihat VM dan sistem operasi yang didukung.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, di, cryptsetup-reencrypt, parted, python-six
  • RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, di, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, di, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

Pada Red Hat, ketika proxy diperlukan, Anda harus memastikan bahwa pengelola langganan dan yum disiapkan dengan benar. Untuk informasi selengkapnya, lihat Cara memecahkan masalah langganan-manajer dan yum.

Ketika paket dipasang secara manual, paket juga harus ditingkatkan secara manual saat versi baru dirilis.

Grup keamanan jaringan

Setiap pengaturan kelompok keamanan jaringan yang diterapkan tetap harus memperbolehkan titik akhir memenuhi prasyarat konfigurasi jaringan yang didokumentasikan untuk enkripsi disk. Lihat Azure Disk Encryption: Persyaratan jaringan

Azure Disk Encryption dengan ID Microsoft Entra (versi sebelumnya)

Jika menggunakan Azure Disk Encryption dengan MICROSOFT Entra ID (versi sebelumnya), Microsoft Authentication Library harus diinstal secara manual untuk semua distro (selain paket yang sesuai untuk distro).

Saat enkripsi diaktifkan dengan kredensial Microsoft Entra, VM target harus mengizinkan konektivitas ke titik akhir Microsoft Entra dan titik akhir Key Vault. Titik akhir autentikasi Microsoft Entra saat ini tercantum dalam bagian 56 dan 59 pada dokumentasi URL dan rentang alamat IP Microsoft 365. Instruksi Key Vault disediakan dalam dokumentasi tentang cara Mengakses Azure Key Vault di belakang firewall.

Azure Instance Metadata Service

Komputer virtual harus dapat mengakses titik akhir layanan Metadata Instans Azure , yang menggunakan alamat IP terkenal yang tidak dapat dialihkan (169.254.169.254) yang hanya dapat diakses dari dalam VM. Konfigurasi proksi yang mengubah lalu lintas HTTP lokal ke alamat ini (misalnya, menambahkan header X-Forwarded-For) tidak didukung.

Langkah berikutnya

  • Last updated on