Crittografia dischi di Azure in una rete isolata

  • Articolo

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Prendere in considerazione l'uso e il piano di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.

Si applica a: ✔️ Set di scalabilità flessibili di macchine virtuali ✔️ Linux.

Quando la connettività è limitata da un firewall, da un requisito del proxy o dalle impostazioni di gruppi di sicurezza di rete (NSG), l'estensione potrebbe non essere più in grado di eseguire le attività necessarie. È quindi possibile che vengano visualizzati messaggi del tipo "Stato estensione non disponibile nella macchina virtuale".

Gestione pacchetti

Crittografia dischi di Azure dipende da molti componenti, che vengono in genere installati come parte dell'abilitazione di AdE, se non è già presente. Quando si è protetto da un firewall o da Internet, questi pacchetti devono essere preinstallati o disponibili in locale.

Ecco i pacchetti necessari per ogni distribuzione. Per un elenco completo delle distribuzioni e dei tipi di volume supportati, vedere Macchine virtuali e sistemi operativi supportati.

  • Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
  • CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
  • CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
  • RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
  • RedHat 6.8: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
  • openSU edizione Standard 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup

In Red Hat, quando è necessario un proxy, è essenziale verificare che subscription-manager e yum siano configurati correttamente. Per altre informazioni, vedere Risoluzione dei problemi relativi a subscription-manager e yum.

Quando i pacchetti vengono installati manualmente, devono anche essere aggiornati manualmente quando vengono rilasciate nuove versioni.

Gruppi di sicurezza di rete

Tutte le impostazioni dei gruppi di sicurezza di rete devono consentire all'endpoint di soddisfare i prerequisiti di configurazione di rete documentati per la crittografia dei dischi. Vedere Crittografia dischi di Azure: Requisiti di rete

Crittografia dischi di Azure con Microsoft Entra ID (versione precedente)

Se si usa Crittografia dischi di Azure con Microsoft Entra ID (versione precedente), microsoft Authentication Library dovrà essere installato manualmente per tutte le distribuzioni (oltre ai pacchetti appropriati per la distribuzione).

Quando la crittografia è abilitata con le credenziali Microsoft Entra, la macchina virtuale di destinazione deve consentire la connettività sia sugli endpoint di Microsoft Entra sia sugli endpoint di Key Vault. Gli endpoint di autenticazione di Microsoft Entra correnti sono mantenuti nelle sezioni 56 e 59 della documentazione URL e intervalli di indirizzi IP per Microsoft 365. Le istruzioni di Key Vault sono fornite nella documentazione Accedere ad Azure Key Vault protetto da firewall.

Servizio metadati dell'istanza di Azure

La macchina virtuale deve essere in grado di accedere all'endpoint del servizio metadati dell'istanza di Azure, che usa un indirizzo IP non instradabile noto (169.254.169.254) accessibile solo dall'interno della macchina virtuale. Le configurazioni proxy che modificano il traffico HTTP locale a questo indirizzo (ad esempio, l'aggiunta di un'intestazione X-Forwarded-For) non sono supportate.

Passaggi successivi