隔離式網路上的 Azure 磁碟加密
警告
本文會參考 CentOS,這是生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據以考慮您的使用和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
適用於: ✔️ Linux VMs ✔️ 彈性擴展集。
當連線能力受防火牆、Proxy 需求或網路安全性群組 (NSG) 設定限制時,擴充功能執行所需工作的能力可能會受到中斷。 這個中斷會產生狀態訊息 (例如「無法在 VM 上使用擴充功能狀態」)。
套件管理
Azure 磁碟加密仰賴許多元件,如果元件不存在,通常會在 ADE 啟用過程中安裝。 若在防火牆後方或與網際網路隔離,則必須預先安裝這些套件或在本機上提供使用。
以下是每個發行版本所需的套件。 如需支援的發行版本和磁碟區類型完整清單,請參閱支援的 VM 與作業系統。
- Ubuntu 14.04、16.04、18.04:lsscsi、psmisc、at、cryptsetup-bin、python-parted、python-six、procps、grub-pc-bin
- CentOS 7.2 - 7.9、8.1、8.2:lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、pyparted、procps-ng、util-linux
- CentOS 6.8:lsscsi、psmisc、lvm2、uuid、at、cryptsetup-reencrypt、parted、python-six
- RedHat 7.2 - 7.9、8.1、8.2:lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、procps-ng、util-linux
- RedHat 6.8:lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup-reencrypt
- openSUSE 42.3、SLES 12-SP4、12-SP3:lsscsi、cryptsetup
在 Red Hat 上,在需要 Proxy 時,您必須確保已正確地設定您的訂用帳戶管理員和 Yum。 如需詳細資訊,請參閱如何針對訂用帳戶管理員和 Yum 問題進行疑難排解。
若是手動安裝套件,則發行新版本時也必須手動升級。
網路安全性群組
任何套用的網路安全性群組設定仍然必須允許端點,從而符合所述磁碟加密的網路組態必要條件。 請參閱 Azure 磁碟加密:網路需求
Azure 磁碟加密搭配 Microsoft Entra ID (舊版)
如果使用 Azure 磁碟加密搭配 Microsoft Entra ID (舊版),則必須針對所有發行版本手動安裝 Microsoft 驗證程式庫 (除了適用於該發行版本的套件以外)。
使用 Microsoft Entra 認證啟用加密時,目標 VM 必須允許連線至 Microsoft Entra 端點和 Key Vault 端點。 目前的 Microsoft Entra 驗證端點列在 Microsoft 365 URL 與 IP 位址範圍文件的第 56 和 59 小節。 如需金鑰保存庫的指示,請參閱文件中的如何在防火牆後存取 Azure 金鑰保存庫。
Azure 執行個體中繼資料服務
虛擬機器必須能夠存取 Azure 執行個體中繼資料服務端點,此端點會使用只能從 VM 內存取且無法路由的已知 IP 位址 (169.254.169.254)。 不支援將本機 HTTP 流量更改為此位址的 Proxy 組態 (例如,新增 X-Forwarded-For 標頭)。
下一步
- 如需詳細步驟,請參閱 Azure 磁碟加密的疑難排解
- 待用 Azure 資料加密