警告
本文引用了 CentOS,这是一个处于生命周期结束(EOL)状态的 Linux 发行版。 请根据您的使用情况进行规划。 有关详细信息,请参阅 CentOS 生命周期结束指导。
适用于:✔️ Linux VM ✔️ 灵活规模集。
如果连接受到防火墙、代理要求或网络安全组(NSG)设置的限制,扩展执行所需任务的能力可能会受到干扰。 此干扰可能会导致出现类似于“VM 上未提供扩展状态”的状态消息。
包管理
Azure 磁盘加密取决于多个组件,这些组件通常在启用 ADE 的过程中安装(如果这些组件尚不存在)。 在防火墙后面或其他与 Internet 隔离时,这些包必须预安装或在本地可用。
下面是每次发行所需的包。 有关支持的发行版和卷类型的完整列表,请参阅支持的 VM 和操作系统。
- Ubuntu 14.04、16.04、18.04: lsscsi、psmisc、at、cryptsetup-bin、python-parted、python-six、procps、grub-pc-bin
- CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、pyparted、procps-ng、util-linux
- CentOS 6.8: lsscsi、psmisc、lvm2、uuid、at、cryptsetup-reencrypt、parted、python-six
- RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、procps-ng、util-linux
- RedHat 6.8: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup-reencrypt
- openSUSE 42.3、SLES 12-SP4、12-SP3: lsscsi、cryptsetup
在 Red Hat 上,如果需要代理,则必须确保正确设置订阅管理器和 yum。 有关详细信息,请参阅如何排除有关订阅管理器和 yum 的问题。
手动安装包时,还必须在发布新版本时手动升级包。
网络安全组
应用的任何网络安全组设置仍必须允许终结点满足所述的与磁盘加密相关的网络配置先决条件。 请参阅 Azure 磁盘加密: 网络要求
使用 Microsoft Entra ID 执行 Azure 磁盘加密(以前版本)
如果将 Azure 磁盘加密和 Microsoft Entra ID(以前的版本)一起使用,则除了适用于该发行版的包以外,还需要为所有发行版手动安装 Microsoft 身份验证库。
使用 Microsoft Entra 凭据启用加密时,目标 VM 必须允许连接到 Microsoft Entra 终结点和密钥保管库终结点。 当前 Microsoft Entra 身份验证终结点在 Microsoft 365 URL 和 IP 地址范围文档中的第 56 和 59 节中进行维护。 在有关如何访问防火墙保护下的 Azure 密钥保管库的文档中提供了密钥保管库说明。
Azure 实例元数据服务
虚拟机必须能够访问 Azure 实例元数据服务 终结点,该终结点使用已知的不可路由 IP 地址(169.254.169.254),该地址只能从 VM 内部访问。 不支持将本地 HTTP 流量更改为此地址的代理配置(例如,添加 X-Forwarded-For 标头)。
后续步骤
- 请查看用于 Azure 磁盘加密故障排除的更多步骤
- Azure 静态数据加密