Azure Disk Encryption in een geïsoleerd netwerk
Let op
Dit artikel verwijst naar CentOS, een Linux-distributie met de EOL-status (End Of Life). Houd rekening met uw gebruik en plan dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.
Van toepassing op: ✔️ Flexibele schaalsets voor Linux-VM's ✔️.
Wanneer de connectiviteit wordt beperkt door een firewall, proxyvereiste of netwerkbeveiligingsgroep (NSG), kan de mogelijkheid van de extensie om de benodigde taken uit te voeren, worden onderbroken. Deze onderbreking kan leiden tot statusberichten zoals 'Extensiestatus niet beschikbaar op de VIRTUELE machine'.
Pakketbeheer
Azure Disk Encryption is afhankelijk van veel onderdelen, die doorgaans worden geïnstalleerd als onderdeel van ADE-activering als deze nog niet aanwezig zijn. Wanneer u zich achter een firewall bevindt of anderszins is geïsoleerd van internet, moeten deze pakketten vooraf zijn geïnstalleerd of lokaal beschikbaar zijn.
Hier volgen de pakketten die nodig zijn voor elke distributie. Zie ondersteunde VM's en besturingssystemen voor een volledige lijst met ondersteunde distributies en volumetypen.
- Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
- CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
- CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
- RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
- RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
- openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup
Op Red Hat moet u, wanneer een proxy is vereist, ervoor zorgen dat de abonnementsmanager en yum correct zijn ingesteld. Zie Problemen met abonnementsmanager en yum oplossen voor meer informatie.
Wanneer pakketten handmatig worden geïnstalleerd, moeten ze ook handmatig worden bijgewerkt wanneer er nieuwe versies worden uitgebracht.
Netwerkbeveiligingsgroepen
Alle instellingen voor netwerkbeveiligingsgroepen die worden toegepast, moeten het eindpunt nog steeds toestaan te voldoen aan de gedocumenteerde netwerkconfiguratievereisten voor schijfversleuteling. Zie Azure Disk Encryption: Netwerkvereisten
Azure Disk Encryption met Microsoft Entra-id (vorige versie)
Als u Azure Disk Encryption met Microsoft Entra ID (vorige versie) gebruikt, moet de Microsoft Authentication Library handmatig worden geïnstalleerd voor alle distributies (naast de pakketten die geschikt zijn voor de distributie).
Wanneer versleuteling wordt ingeschakeld met Microsoft Entra-referenties, moet de doel-VM connectiviteit met zowel Microsoft Entra-eindpunten als Key Vault-eindpunten toestaan. Huidige Eindpunten voor Microsoft Entra-verificatie worden onderhouden in sectie 56 en 59 van de documentatie over Microsoft 365-URL's en IP-adresbereiken . Key Vault-instructies worden gegeven in de documentatie over het verkrijgen van toegang tot Azure Key Vault achter een firewall.
Azire Instance Metadata Service
De virtuele machine moet toegang hebben tot het Service-eindpunt voor azure Instance Metadata, dat gebruikmaakt van een bekend niet-routeerbaar IP-adres (169.254.169.254) dat alleen toegankelijk is vanuit de VIRTUELE machine. Proxyconfiguraties die lokaal HTTP-verkeer wijzigen naar dit adres (bijvoorbeeld het toevoegen van een X-Forwarded-For-header) worden niet ondersteund.