Usługa Azure Disk Encryption w izolowanej sieci
Uwaga
W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która jest stanem End Of Life (EOL). Rozważ odpowiednie użycie i zaplanuj. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Dotyczy: ✔️ Maszyny wirtualne z systemem Linux — elastyczne zestawy skalowania ✔️.
Jeśli łączność jest ograniczona przez zaporę, wymaganie serwera proxy lub ustawienia sieciowej grupy zabezpieczeń, możliwość rozszerzenia do wykonywania wymaganych zadań może zostać przerwana. To zakłócenie może spowodować wyświetlenie komunikatów o stanie, takich jak "Stan rozszerzenia jest niedostępny na maszynie wirtualnej".
Zarządzanie pakietami
Usługa Azure Disk Encryption zależy od wielu składników, które są zwykle instalowane w ramach włączania usługi ADE, jeśli jeszcze nie istnieją. W przypadku zapór lub w inny sposób odizolowanych od Internetu te pakiety muszą być wstępnie zainstalowane lub dostępne lokalnie.
Poniżej przedstawiono pakiety niezbędne dla każdej dystrybucji. Aby uzyskać pełną listę obsługiwanych dystrybucji i typów woluminów, zobacz obsługiwane maszyny wirtualne i systemy operacyjne.
- Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
- CentOS 7.2 — 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
- CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
- RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
- RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
- openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup
W systemie Red Hat, gdy wymagany jest serwer proxy, musisz upewnić się, że menedżer subskrypcji i yum są prawidłowo skonfigurowane. Aby uzyskać więcej informacji, zobacz Jak rozwiązywać problemy z menedżerem subskrypcji i yum.
W przypadku ręcznego instalowania pakietów należy je również uaktualnić ręcznie, ponieważ są wydawane nowe wersje.
Sieciowe grupy zabezpieczeń
Wszystkie zastosowane ustawienia sieciowej grupy zabezpieczeń muszą nadal zezwalać punktowi końcowemu na spełnienie udokumentowanych wymagań wstępnych konfiguracji sieci na potrzeby szyfrowania dysków. Zobacz Azure Disk Encryption: Wymagania dotyczące sieci
Usługa Azure Disk Encryption z identyfikatorem Entra firmy Microsoft (poprzednia wersja)
W przypadku korzystania z usługi Azure Disk Encryption z identyfikatorem entra firmy Microsoft (poprzednia wersja) biblioteka uwierzytelniania firmy Microsoft musi być zainstalowana ręcznie dla wszystkich dystrybucji (oprócz pakietów odpowiednich dla dystrybucji).
Po włączeniu szyfrowania przy użyciu poświadczeń usługi Microsoft Entra docelowa maszyna wirtualna musi zezwalać na łączność z punktami końcowymi usługi Microsoft Entra i punktami końcowymi usługi Key Vault. Bieżące punkty końcowe uwierzytelniania entra firmy Microsoft są przechowywane w sekcjach 56 i 59 dokumentacji adresów URL i zakresów adresów IP platformy Microsoft 365. Instrukcje dotyczące usługi Key Vault znajdują się w dokumentacji dotyczącej sposobu uzyskiwania dostępu do usługi Azure Key Vault za zaporą.
Azure Instance Metadata Service
Maszyna wirtualna musi mieć dostęp do punktu końcowego usługi Azure Instance Metadata Service , który używa dobrze znanego adresu IP niezwiązanego z routingiem (169.254.169.254), do którego można uzyskać dostęp tylko z poziomu maszyny wirtualnej. Konfiguracje serwera proxy, które zmieniają lokalny ruch HTTP na ten adres (na przykład dodanie nagłówka X-Forwarded-For) nie są obsługiwane.