隔离网络上的 Azure 磁盘加密
注意
本文引用了 CentOS,这是一个处于生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
适用于:✔️ Linux VM ✔️ 灵活规模集。
如果连接受到防火墙、代理要求或网络安全组 (NSG) 设置的限制,扩展执行所需任务的能力可能会受到干扰。 此干扰可能会导致出现类似于“VM 上未提供扩展状态”的状态消息。
包管理
Azure 磁盘加密取决于多个组件,这些组件通常在启用 ADE 的过程中安装(如果这些组件尚不存在)。 位于防火墙之后或在其他情况下与 Internet 隔离时,这些包必须预先安装或在本地提供。
下面是每次发行所需的包。 有关支持的发行版和卷类型的完整列表,请参阅支持的 VM 和操作系统。
Ubuntu 14.04、16.04、18.04:lsscsi、psmisc、at、cryptsetup-bin、python-parted、python-six、procps、grub-pc-bin
CentOS 7.2 - 7.9, 8.1, 8.2:lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、pyparted、procps-ng、util-linux
CentOS 6.8:lsscsi、psmisc、lvm2、uuid、at、cryptsetup-reencrypt、parted、python-six
openSUSE 42.3、SLES 12-SP4、12-SP3:lsscsi、cryptsetup
手动安装包时,还必须在发布新版本时手动升级包。
网络安全组
应用的任何网络安全组设置仍必须允许终结点满足所述的与磁盘加密相关的网络配置先决条件。 请参阅 Azure 磁盘加密:网络要求
使用 Microsoft Entra ID 执行 Azure 磁盘加密(以前版本)
如果参考使用 Microsoft Entra ID 进行 Azure 磁盘加密(以前的版本),则需要为所有发行版手动安装 Microsoft 身份验证库(除了适用于发行版的包)。
使用 Microsoft Entra 凭据启用加密时,目标 VM 必须允许连接到 Microsoft Entra 终结点和密钥保管库终结点。 当前 Microsoft Entra 身份验证终结点在 Microsoft 365 URL 和 IP 地址范围文档中的第 56 和 59 节中进行维护。 在有关如何访问防火墙保护下的 Azure 密钥保管库的文档中提供了密钥保管库说明。
Azure 实例元数据服务
虚拟机必须能够访问这样的 Azure 实例元数据服务终结点:该终结点使用只能从 VM 内访问的已知不可路由 IP 地址 (169.254.169.254
)。 不支持将本地 HTTP 流量更改为此地址的代理配置(例如,添加 X-Forwarded-For 标头)。
后续步骤
- 请查看用于 Azure 磁盘加密故障排除的更多步骤
- Azure 静态数据加密