Share via

Azure Disk Encryption pada jaringan terisolasi

  • Artikel

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan rencanakan yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Berlaku untuk: ✔️ Set skala Fleksibel VM ✔️ Linux.

Ketika konektivitas dibatasi oleh firewall, persyaratan proxy, atau pengaturan grup keamanan jaringan (NSG), kemampuan ekstensi untuk melakukan tugas yang diperlukan mungkin terganggu. Gangguan ini dapat mengakibatkan pesan status seperti "Status ekstensi tidak tersedia di VM."

Pengelolaan paket

Azure Disk Encryption bergantung pada banyak komponen, yang biasanya diinstal sebagai bagian dari pengaktifan ADE jika belum ada. Ketika berada di balik firewall atau diisolasi dari Internet, paket-paket ini harus dipasang terlebih sebelumnya atau tersedia secara lokal.

Berikut adalah paket yang diperlukan untuk setiap distribusi. Untuk daftar lengkap distro dan jenis volume yang didukung, lihat VM dan sistem operasi yang didukung.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, di, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, di, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, di, cryptsetup-reencrypt, parted, python-six
  • CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, di, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, di, patch, cryptsetup-reencrypt
  • openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

Pada Red Hat, ketika proxy diperlukan, Anda harus memastikan bahwa pengelola langganan dan yum disiapkan dengan benar. Untuk informasi selengkapnya, lihat Cara memecahkan masalah langganan-manajer dan yum.

Ketika paket dipasang secara manual, paket juga harus ditingkatkan secara manual saat versi baru dirilis.

Grup keamanan jaringan

Setiap pengaturan kelompok keamanan jaringan yang diterapkan tetap harus memperbolehkan titik akhir memenuhi prasyarat konfigurasi jaringan yang didokumentasikan untuk enkripsi disk. Lihat Azure Disk Encryption: Persyaratan jaringan

Azure Disk Encryption dengan ID Microsoft Entra (versi sebelumnya)

Jika menggunakan Azure Disk Encryption dengan MICROSOFT Entra ID (versi sebelumnya), Microsoft Authentication Library harus diinstal secara manual untuk semua distro (selain paket yang sesuai untuk distro).

Saat enkripsi diaktifkan dengan kredensial Microsoft Entra, VM target harus mengizinkan konektivitas ke titik akhir Microsoft Entra dan titik akhir Key Vault. Titik akhir autentikasi Microsoft Entra saat ini dipertahankan di bagian 56 dan 59 URL Microsoft 365 dan dokumentasi rentang alamat IP. Instruksi Key Vault disediakan dalam dokumentasi tentang cara Mengakses Azure Key Vault di belakang firewall.

Azure Instance Metadata Service

Mesin virtual harus dapat mengakses titik akhir layanan Azure Instans Metadata, yang menggunakan alamat IP non-routable terkenal ( 169.254.169.254 ) yang hanya dapat diakses dari dalam VM. Konfigurasi proksi yang mengubah lalu lintas HTTP lokal ke alamat ini (misalnya, menambahkan header X-Forwarded-For) tidak didukung.

Langkah berikutnya