Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Azure Disk Encryption est prévu pour la mise hors service le 15 septembre 2028. Jusqu’à cette date, vous pouvez continuer à utiliser Azure Disk Encryption sans interruption. Le 15 septembre 2028, les charges de travail compatibles avec ADE continueront d’être exécutées, mais les disques chiffrés ne pourront pas être déverrouillés après le redémarrage de la machine virtuelle, ce qui entraîne une interruption du service.
Utilisez le chiffrement sur l’hôte pour les nouvelles machines virtuelles. Toutes les machines virtuelles compatibles ADE (y compris les sauvegardes) doivent migrer vers le chiffrement à l’hôte avant la date de mise hors service pour éviter toute interruption de service. Pour plus d’informations, consultez Migrer d’Azure Disk Encryption vers le chiffrement sur l’hôte .
Attention
Cet article fait référence à CentOS, une distribution Linux ayant atteint l’état EOL (fin du service). Faites le point sur votre utilisation et organisez-vous en conséquence. Pour obtenir plus d’informations, consultez l’Aide sur la fin de vie de CentOS.
S’applique à : ✔️ Machines virtuelles Linux ✔️ Groupes identiques flexibles.
Lorsque la connectivité est limitée par un pare-feu, une exigence de proxy ou des paramètres de groupe de sécurité réseau (NSG), cela peut interrompre la capacité de l’extension à effectuer les tâches nécessaires. Cette interruption peut entraîner les messages d’état de type « État de l’extension non disponible sur la machine virtuelle ».
Gestion des packages
Azure Disk Encryption dépend de nombreux composants, qui sont généralement installés dans le cadre de l’activation ADE, s’ils ne sont pas déjà présents. Lorsqu’il se trouve derrière un pare-feu ou isolé d’Internet, ces packages doivent être préinstallés ou disponibles localement.
Voici les packages nécessaires pour chaque distribution. Pour obtenir la liste complète des distributions et des types de volumes pris en charge, consultez Machines virtuelles et systèmes d’exploitation pris en charge.
- Ubuntu 14.04, 16.04, 18.04 : lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
- CentOS 7.2 à 7.9, 8.1, 8.2 : lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
- CentOS 6.8 : lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
- RedHat 7.2 à 7.9, 8.1, 8.2 : lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
- RedHat 6.8 : lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
- openSUSE 42,3, SLES 12-SP4, 12-SP3 : lsscsi, cryptsetup
Sous Red Hat, lorsqu’un proxy est requis, vous devez absolument vous assurer que le gestionnaire d’abonnements et yum sont configurés correctement. Pour plus d’informations, consultez Guide pratique pour résoudre les problèmes du gestionnaire d’abonnement et yum.
Lorsque les packages sont installés manuellement, ils doivent également être mis à niveau manuellement au fur et à mesure de la publication de nouvelles versions.
Groupes de sécurité réseau
Les paramètres de groupe de sécurité réseau appliqués doivent permettre au point de terminaison de remplir les conditions requises de configuration réseau indiquées pour le chiffrement de disque. Voir Azure Disk Encryption : configuration réseau requise
Azure Disk Encryption avec Microsoft Entra ID (version précédente)
Si vous utilisez Azure Disk Encryption avec l’ID Microsoft Entra (version précédente), la bibliothèque d’authentification Microsoft doit être installée manuellement pour toutes les distributions (en plus des packages appropriés pour la distribution).
Quand le chiffrement est activé avec des informations d’identification Microsoft Entra, la machine virtuelle cible doit autoriser la connectivité sur les points de terminaison Microsoft Entra et les points de terminaison Key Vault. Les points de terminaison d’authentification Microsoft Entra actuels sont traités dans les sections 56 et 59 de la documentation URL et plages d’adresses IP Microsoft 365. Des instructions relatives à Key Vault sont fournies dans la documentation sur l’accès à Azure Key Vault derrière un pare-feu.
Service de métadonnées d’instance Azure
La machine virtuelle doit être en mesure d’accéder au point de terminaison du service métadonnées d’instance Azure , qui utilise une adresse IP non routable connue (169.254.169.254) accessible uniquement à partir de la machine virtuelle. Les configurations de proxy qui modifient le trafic HTTP local à cette adresse (par exemple, en ajoutant un en-tête X-Forwarded-For) ne sont pas prises en charge.
Étapes suivantes
- Voir davantage d'étapes sur la résolution des problèmes liés à Azure Disk Encryption
- Chiffrement des données au repos Azure