Dela via

Azure Disk Encryption i ett isolerat nätverk

  • Artikel

Varning

Den här artikeln refererar till CentOS, en Linux-distribution som har statusen End Of Life (EOL). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.

Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Linux-datorer ✔️.

När anslutningen begränsas av en brandvägg, proxykrav eller nätverkssäkerhetsgruppsinställningar (NSG) kan tilläggets möjlighet att utföra nödvändiga uppgifter störas. Den här störningen kan resultera i statusmeddelanden som "Tilläggsstatus är inte tillgänglig på den virtuella datorn".

Pakethantering

Azure Disk Encryption är beroende av många komponenter, som vanligtvis installeras som en del av ADE-aktivering om de inte redan finns. När de är bakom en brandvägg eller på annat sätt isolerade från Internet måste dessa paket vara förinstallerade eller tillgängliga lokalt.

Här är de paket som behövs för varje distribution. En fullständig lista över distributioner och volymtyper som stöds finns i virtuella datorer och operativsystem som stöds.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
  • RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

När en proxy krävs på Red Hat måste du se till att prenumerationshanteraren och yum har konfigurerats korrekt. Mer information finns i Felsöka problem med prenumerationshanterare och yum.

När paket installeras manuellt måste de också uppgraderas manuellt när nya versioner släpps.

Nätverkssäkerhetsgrupper

Alla inställningar för nätverkssäkerhetsgrupper som tillämpas måste fortfarande tillåta att slutpunkten uppfyller de dokumenterade nätverkskonfigurationskraven för diskkryptering. Se Azure Disk Encryption: Nätverkskrav

Azure Disk Encryption med Microsoft Entra-ID (tidigare version)

Om du använder Azure Disk Encryption med Microsoft Entra-ID (tidigare version)måste Microsofts autentiseringsbibliotek installeras manuellt för alla distributioner (utöver de paket som är lämpliga för distributionen).

När kryptering aktiveras med Microsoft Entra-autentiseringsuppgifter måste den virtuella måldatorn tillåta anslutning till både Microsoft Entra-slutpunkter och Key Vault-slutpunkter. Aktuella Microsoft Entra-autentiseringsslutpunkter underhålls i avsnitten 56 och 59 i dokumentationen om Url:er och IP-adressintervall för Microsoft 365. Key Vault-instruktioner finns i dokumentationen om hur du får åtkomst till Azure Key Vault bakom en brandvägg.

Azure Instance Metadata Service

Den virtuella datorn måste kunna komma åt tjänstslutpunkten för Azure Instance Metadata , som använder en välkänd icke-dirigerbar IP-adress (169.254.169.254) som endast kan nås från den virtuella datorn. Proxykonfigurationer som ändrar lokal HTTP-trafik till den här adressen (till exempel att lägga till ett X-Vidarebefordrat-För-huvud) stöds inte.

Nästa steg