Бөлісу құралы:

Шифрование дисков Azure в изолированной сети

  • Мақала

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который является состоянием "Конец жизни" (EOL). Обратите внимание на использование и план соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Применимо: ✔️ гибкие масштабируемые наборы виртуальных машин ✔️ Linux.

Если подключение ограничивается брандмауэром, требованиями прокси-сервера или параметрами группы безопасности сети (NGS), способности расширения выполнять необходимые задачи могут быть нарушены. В результате может появиться такое сообщение о состоянии: "Сведения о состоянии расширения недоступны на виртуальной машине".

Управление пакетами

Шифрование дисков Azure зависит от многих компонентов, которые обычно устанавливаются в рамках включения ADE, если они еще не присутствуют. Если брандмауэр или иное средство блокирует доступ к Интернету, эти пакеты нужно предварительно установить или сделать доступными локально.

Ниже приведены пакеты, необходимые для каждого дистрибутива. Полный список поддерживаемых дистрибутивов и типов томов см. в статье Поддерживаемые виртуальные машины и операционные системы.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-шесть
  • RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

В Red Hat, когда требуется прокси-сервер, необходимо убедиться в правильности настроек диспетчера подписок и yum. Дополнительные сведения см. в статье How to troubleshoot subscription-manager and yum problems (Устранение неполадок диспетчера подписки и yum).

Если пакеты установлены вручную, их нужно обновлять также вручную по мере выпуска новых версий.

Группы безопасности сети

Любые применяемые параметры группы безопасности сети должны позволять конечной точке соответствовать предусмотренным предварительным требованиям к конфигурации сети для шифрования диска. См. Шифрование дисков Azure: требования к сети.

Шифрование дисков Azure с идентификатором Microsoft Entra (предыдущая версия)

При использовании Шифрование дисков Azure с идентификатором Microsoft Entra (предыдущая версия)библиотека проверки подлинности Майкрософт должна быть установлена вручную для всех дистрибутивов (помимо пакетов, подходящих для дистрибутива).

Если шифрование включено с учетными данными Microsoft Entra, целевая виртуальная машина должна разрешить подключение как к конечным точкам Microsoft Entra, так и к конечным точкам Key Vault. Текущие конечные точки проверки подлинности Microsoft Entra поддерживаются в разделах 56 и 59 URL-адресов Microsoft 365 и диапазонов IP-адресов. Инструкции Key Vault приведены в статье Доступ к хранилищу ключей Azure из-за брандмауэра.

Служба метаданных экземпляров Azure

Виртуальная машина должна иметь доступ к конечной точке службы метаданных экземпляров Azure, которая использует известный немаршрутизируемый IP-адрес (169.254.169.254), доступ к которому можно получить только из виртуальной машины. Конфигурации прокси-сервера, которые изменяют локальный HTTP-трафик на этот адрес (например, добавление заголовка X-Forwarded-For) не поддерживаются.

Следующие шаги