Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, Meta Veri Güvenlik Protokolü (MSP) özelliğiyle çalışan müşterilerin sık sorulan sorularını yanıtlar. Size yardımcı olabilecek bir soru görmüyorsanız destek ekibine başvurun.
Kullanım
Özelliğin etkinleştirilip etkinleştirilmediğini nasıl denetleyebilirim?
SANAL makine (VM) modelini almak için GET VM API'sini kullanarak MSP etkinleştirmesini program aracılığıyla deleyebilirsiniz.
proxyAgentSettings Özellikler MSP yapılandırmasını bildirir.
Ayrıca, VM çalışma zamanı durum raporunda yer alan örnek görünümü, VM'nin teknik perspektifinden MSP'nin durumunu bildirir. MSP devre dışı bırakılırsa, değeri olur "Disabled".
Bileşen durumunu nasıl denetleyebilirim?
Örnek görünümü Konuk GuestProxyAgent Ara Sunucu Aracısı'nın (GPA) durumunu ve bağımlılıklarını bildirir. Her bileşenin status değeri, sağlıklı olduğunda RUNNING gösterir.
| Bileşen | Alan |
|---|---|
| Genel Not Ortalaması | keyLatchStatus.status |
| eBPF entegrasyonu | ebpfProgramStatus.status |
İşte tam bir örnek:
{
"version": "1.0.20",
"status": "SUCCESS",
"monitorStatus": {
"status": "RUNNING",
"message": "Monitor thread has not started yet."
},
"keyLatchStatus": {
"status": "RUNNING",
"message": "Found key details from local and ready to use. 122",
"states": {
"imdsRuleId": "/SUBSCRIPTIONS/<guid>/RESOURCEGROUPS/<rg_name>/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/...",
"secureChannelState": "Wireserver Enforce - IMDS Enforce",
"keyGuid": "e3882f98-da8d-4410-8394-06c23462781c",
"WireserverRuleId": "/SUBSCRIPTIONS/<guid>/RESOURCEGROUPS/<rg_name>/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/..."
}
},
"ebpfProgramStatus": {
"status": "RUNNING",
"message": "Started Redirector with eBPF maps - 143"
},
"proxyListenerStatus": {
"status": "RUNNING",
"message": "Started proxy listener 127.0.0.1:3080, ready to accept request - 27"
},
"telemetryLoggerStatus": {
"status": "RUNNING",
"message": "Telemetry event logger thread started."
},
"proxyConnectionsCount": 590
}
Görüntüme GPA eklemeden MSP etkinleştirilmiş yeni bir Linux VM sağlayabilir miyim?
Hayır. Linux sağlama, platformun müşteri VM'yi almadan önce diğer yazılımları yükleyebileceği bir adıma sahip değildir. Ayrıca Çoğu Linux müşterisi bu modeli istemez. Daha çok Windows felsefesine uygun.
Güvenlik nedeniyle, güvenli bir bağlantı kurmadıysanız MSP vm'yi başarıyla sağlamanıza izin vermez. GpA güvenli bağlantıyı kurmakla sorumludur, bu nedenle zaten mevcut olması gerekir.
GpA'nın dahil olduğu bir görüntü kullanmak istemiyorsanız, önce VM'yi oluşturmanız ve ardından MSP'yi etkinleştirmeniz gerekir. Önizleme sırasında, gpa'nın doğrudan dahil etmek yerine VM uzantısı olarak yüklenmesine izin vererek kullanım düzenlerini izler ve senaryoyu desteklemenin olası yollarını değerlendiririz.
Özellikler
ARM64 destekleniyor mu?
MSP özelliği önizleme aşamasındayken ARM64 desteği kullanılamaz.
Tasarlama
Mandallı anahtar nasıl oluşturulur ve VM'ye nasıl bağlanır?
Azure sunucusu mandallı anahtarı oluşturur ve platform verileri olarak depolar. Anahtar her vm için benzersizdir. Bunu yalnızca bu VM'nin WireServer ve Azure Örnek Meta Veri Hizmeti'ne özel bağlantısında kullanabilirsiniz.
İzin listesi (politika) nasıl uygulanır?
İzin verilenler listesi, VM modelinin bir parçası olarak tanımlanır. MSP özellik yapılandırma makalesinde izin verilenler listesinin nasıl oluşturulacağı açıklanır.
Konuk Ara Sunucu Aracısı, bu ilkeyi diğer VM meta verileri gibi WireServer'dan düzenli aralıklarla alır. İzin verilenler listesi, kullanıcıların ilkeyi diğer VM ayarlarını yönetecekleri şekilde merkezi olarak yönetmesine olanak tanır. Ayrıca VM içindeki kullanıcıların üzerinde oynama yapmasını engeller.
İzin verilenler listesi nerede uygulanır (GPA veya WireServer)?
Her iki bileşen de zorlamada rol oynar. MSP paylaşılan bir sorumluluk modeli kullanır:
WireServer ve Örnek Meta Veri Hizmeti yalnızca güvenilen temsilcinin (GPA) ve güvenilen temsilcinin onayladığı istemcilerin VM'nin meta verilerine ve gizli dizilerine erişebilmesini sağlamakla sorumludur.
Meta veri hizmetleri VM iç gözlemi gerçekleştiremez ve gerçekleştirmemelidir. Yalnızca vm içindeki hangi yazılımların istekte bulunuldığını belirleyemezler.
Güvenilen temsilci (GPA), istemcilerin kimliğini belirlemek ve istekleri yetkilendirmekle sorumludur.
GPA, VM'de hangi işlemin bir istekte bulunduğunu yetkili olarak belirlemek için işletim sistemi çekirdeğine güvenebilir.
En önemli öğe, MSP'nin varsayılan olarak kapatılan bir model olması, diğer güvenlik önlemlerinin (konuk güvenlik duvarı kurallarında olduğu gibi) varsayılan olarak açık olmasıdır. GPA düşerse veya başka bir şekilde devreden çıkarılırsa, WireServer, kilitlenmiş anahtar bu istekleri onaylamadığı için istekleri reddeder.
Bu özellik neden kabul edilir ve gerekli değildir veya otomatik olarak etkinleştirilmez?
Azure'daki neredeyse tüm hizmet olarak altyapı (IaaS) VM'leri veya sanal makine ölçek kümeleri Örnek Meta Veri Hizmetini kullanır. İş yüklerinin çeşitliliği esneklik gerektirir. MSP'nin tasarımı en önemli değişiklikleri soyutlasa da, bir iş yükü daha az güvenli bir yapılandırmaya bağımlıysa, daha güçlü güvenlik zorunluluğu iş yükünü bozar.
MSP neden Azure Konuk Aracısı güncelleştirmesi kullanmak yerine yeni bir aracı gerektiriyor?
GPA, Azure Konuk Aracısı'na göre farklı sorumluluklara sahiptir. GPA ayrıca daha yüksek performans gereksinimlerine sahiptir.