Sdílet prostřednictvím


Azure Disk Encryption v izolované síti

Upozornění

Tento článek odkazuje na CentOS, což je linuxová distribuce se stavem Konec životnosti (EOL). Zvažte své použití a odpovídajícím způsobem naplánujte. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️.

Pokud je připojení omezené nastavením brány firewall, požadavku proxy serveru nebo skupiny zabezpečení sítě (NSG), může dojít k narušení schopnosti rozšíření provádět potřebné úlohy. Toto přerušení může mít za následek stavové zprávy typu Stav rozšíření není na virtuálním počítači dostupný.

Správa balíčků

Azure Disk Encryption závisí na mnoha komponentách, které se obvykle instalují jako součást povolení ADE, pokud ještě nejsou k dispozici. Pokud je brána firewall nebo jinak izolovaná od internetu, musí být tyto balíčky předinstalované nebo dostupné místně.

Tady jsou balíčky potřebné pro každou distribuci. Úplný seznam podporovaných distribucí a typů svazků najdete v podporovaných virtuálních počítačích a operačních systémech.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 – 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
  • RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

Pokud je v Red Hatu potřeba proxy server, musíte se ujistit, že je správně nastavený správce předplatného a yum. Další informace najdete v tématu Řešení potíží se správcem předplatného a yum.

Pokud jsou balíčky nainstalovány ručně, musí být také ručně upgradovány při vydání nových verzí.

Skupiny zabezpečení sítě

Všechna nastavení skupiny zabezpečení sítě, která se použijí, musí koncovému bodu přesto povolit splnění zdokumentovaných požadavků konfigurace sítě pro šifrování disku. Viz Azure Disk Encryption: Požadavky na sítě

Azure Disk Encryption s Microsoft Entra ID (předchozí verze)

Pokud používáte Azure Disk Encryption s Microsoft Entra ID (předchozí verze), bude nutné knihovnu Microsoft Authentication Library nainstalovat ručně pro všechna distribuce (kromě balíčků vhodných pro distribuci).

Pokud je povolené šifrování pomocí přihlašovacích údajů Microsoft Entra, cílový virtuální počítač musí umožňovat připojení ke koncovým bodům Microsoft Entra i koncovým bodům služby Key Vault. Aktuální koncové body ověřování Microsoft Entra se uchovávají v částech 56 a 59 adres URL a rozsahů IP adres Microsoftu 365. Pokyny ke službě Key Vault najdete v dokumentaci k přístupu ke službě Azure Key Vault za bránou firewall.

Azure Instance Metadata Service

Virtuální počítač musí mít přístup ke koncovému bodu služby Azure Instance Metadata, který používá dobře známou nesměrovatelnou IP adresu (169.254.169.254), ke které se dá přistupovat jenom z virtuálního počítače. Konfigurace proxy serveru, které mění místní provoz HTTP na tuto adresu (například přidání hlavičky X-Forwarded-For), se nepodporují.

Další kroky