Partilhar via

Azure Disk Encryption em uma rede isolada

  • Artigo

Atenção

Este artigo faz referência ao CentOS, uma distribuição Linux com status de Fim de Vida (EOL). Por favor, considere o seu uso e planeje de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.

Aplica-se a: ✔️ Linux VMs ✔️ Conjuntos de escala flexível.

Quando a conectividade é restrita por um firewall, requisito de proxy ou configurações de NSG (grupo de segurança de rede), a capacidade da extensão de executar as tarefas necessárias pode ser interrompida. Essa interrupção pode resultar em mensagens de status como "Status da extensão não disponível na VM".

Gestão de pacotes

O Azure Disk Encryption depende de muitos componentes, que normalmente são instalados como parte da ativação do ADE, se ainda não estiverem presentes. Quando protegidos por um firewall ou isolados da Internet, esses pacotes devem ser pré-instalados ou disponíveis localmente.

Aqui estão os pacotes necessários para cada distribuição. Para obter uma lista completa das distribuições e tipos de volume suportados, consulte VMs e sistemas operacionais suportados.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
  • RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

No Red Hat, quando um proxy é necessário, você deve certificar-se de que o gerenciador de assinaturas e o yum estão configurados corretamente. Para obter mais informações, consulte Como solucionar problemas do gerenciador de assinaturas e do yum.

Quando os pacotes são instalados manualmente, eles também devem ser atualizados manualmente à medida que novas versões são lançadas.

Grupos de segurança de rede

Todas as configurações de grupo de segurança de rede aplicadas ainda devem permitir que o ponto de extremidade atenda aos pré-requisitos de configuração de rede documentados para criptografia de disco. Consulte Azure Disk Encryption: Requisitos de rede

Azure Disk Encryption com Microsoft Entra ID (versão anterior)

Se estiver usando a Criptografia de Disco do Azure com a ID do Microsoft Entra (versão anterior), a Biblioteca de Autenticação da Microsoft precisará ser instalada manualmente para todas as distros (além dos pacotes apropriados para a distro).

Quando a criptografia está sendo habilitada com credenciais do Microsoft Entra, a VM de destino deve permitir a conectividade com os pontos de extremidade do Microsoft Entra e os pontos de extremidade do Cofre da Chave. Os pontos de extremidade de autenticação atuais do Microsoft Entra são mantidos nas seções 56 e 59 da documentação de URLs e intervalos de endereços IP do Microsoft 365. As instruções do Cofre da Chave são fornecidas na documentação sobre como acessar o Cofre da Chave do Azure atrás de um firewall.

Azure Instance Metadata Service

A máquina virtual deve ser capaz de acessar o ponto de extremidade do serviço de Metadados de Instância do Azure, que usa um endereço169.254.169.254 IP não roteável () conhecido que pode ser acessado somente de dentro da VM. Não há suporte para configurações de proxy que alteram o tráfego HTTP local para esse endereço (por exemplo, adicionando um cabeçalho X-Forwarded-For).

Próximos passos