分離されたネットワークでの Azure Disk Encryption

  • [アーティクル]

注意

この記事では、間もなくサポート終了 (EOL) 状態になる Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。

適用対象: ✔️ Linux VM ✔️ フレキシブル スケール セット

ファイアウォール、プロキシ要件、またはネットワーク セキュリティ グループ (NSG) 設定によって接続が制限されていると、必要なタスクを実行するための拡張機能が中断することがあります。 この中断によって、"拡張機能の状態が VM で取得できません" などのステータス メッセージが表示される可能性があります。

パッケージの管理

Azure Disk Encryption は多数のコンポーネントに依存しており、これらは通常は ADE の有効化の一部としてインストールされます (まだ存在しない場合)。 ファイアウォールの内側にあったり、何らかの方法でインターネットから分離されている場合、これらのパッケージは事前にインストールされているか、ローカルで使用可能になっている必要があります。

各ディストリビューションに必要なパッケージを次に示します。 サポートされているディストリビューションとボリュームの種類の完全な一覧については、「サポートされている VM とオペレーティング システム」を参照してください。

  • Ubuntu 14.04、16.04、18.04: lsscsi、psmisc、at、cryptsetup-bin、python-parted、python-six、procps、grub-pc-bin
  • CentOS 7.2 - 7.9、8.1、8.2: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、pyparted、procps-ng、util-linux
  • CentOS 6.8: lsscsi、psmisc、lvm2、uuid、at、cryptsetup-reencrypt、parted、python-six
  • RedHat 7.2 - 7.9、8.1、8.2: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、procps-ng、util-linux
  • RedHat 6.8: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup-reencrypt
  • openSUSE 42.3、SLES 12-SP4、12-SP3: lsscsi、cryptsetup

Red Hat では、プロキシが必要な場合は、サブスクリプション マネージャーと yum が正しく設定されていることを確認する必要があります。 詳細については、「How to troubleshoot subscription-manager and yum problems」(subscription-manager と yum の問題をトラブルシューティングする方法) を参照してください。

パッケージを手動でインストールする場合は、新しいバージョンがリリースされたときも手動でアップグレードする必要があります。

ネットワーク セキュリティ グループ

適用されるあらゆるネットワーク セキュリティ グループ設定において、エンドポイントがディスクの暗号化のために規定されているネットワーク構成の前提条件を引き続き満たせるようにする必要があります。 Azure Disk Encryption:ネットワーク要件に関する記事を参照してください。

Microsoft Entra ID を使用した Azure Disk Encryption (以前のバージョン)

Microsoft Entra ID を使用した Azure Disk Encryption (以前のバージョン) を使用している場合、Microsoft Authentication Library を (ディストリビューションに該当するパッケージに加えて) すべてのディストリビューションに手動でインストールする必要があります。

Microsoft Entra の資格情報で暗号化が有効にされている場合は、ターゲットの VM で、Microsoft Entra のエンドポイントと Key Vault のエンドポイントの両方への接続を許可する必要があります。 現在の Microsoft Entra 認証エンドポイントは、Microsoft 365 の URL と IP アドレスの範囲に関するドキュメントのセクション 56 と 59 に記載されています。 Key Vault の説明は、「ファイアウォールの向こう側にある Access Azure Key Vault へのアクセス」方法に関するドキュメンテーションにあります。

Azure Instance Metadata Service

仮想マシンは、その VM 内からしかアクセスできない既知のルーティング不可能な IP アドレス (169.254.169.254) を使用する Azure Instance Metadata サービス エンドポイントにアクセスできる必要があります。 ローカル HTTP トラフィックをこのアドレスに変更する (たとえば X-Forwarded-For ヘッダーを追加する) プロキシ構成はサポートされません。

次のステップ