Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
O Azure Disk Encryption está programado para ser descontinuado a 15 de setembro de 2028. Até essa data, pode continuar a usar o Azure Disk Encryption sem interrupções. A 15 de setembro de 2028, cargas de trabalho com ADE continuarão a funcionar, mas os discos encriptados não conseguirão desbloquear após o reinício da VM, resultando em interrupção do serviço.
Use encriptação no host para novas VMs. Todas as VMs habilitadas por ADE (incluindo backups) devem migrar para encriptação no host antes da data de desativação para evitar interrupções do serviço. Consulte Migrar de Encriptação de Disco Azure para Encriptação no Host para mais detalhes.
Atenção
Este artigo faz referência ao CentOS, uma distribuição Linux com status de Fim de Vida (EOL). Considere a sua utilização e planeie em conformidade. Para obter mais informações, consulte o CentOS End Of Life guidance.
Aplica-se a: ✔️ Linux VMs ✔️ Conjuntos de escala flexível.
Quando a conectividade é restrita por um firewall, requisito de proxy ou configurações de NSG (grupo de segurança de rede), a capacidade da extensão de executar as tarefas necessárias pode ser interrompida. Essa interrupção pode resultar em mensagens de status como "Status da extensão não disponível na VM".
Gestão de pacotes
O Azure Disk Encryption depende de muitos componentes, que normalmente são instalados como parte da ativação do ADE, se ainda não estiverem presentes. Quando protegidos por um firewall ou isolados da Internet, esses pacotes devem estar pré-instalados ou disponíveis localmente.
Aqui estão os pacotes necessários para cada distribuição. Para obter uma lista completa das distribuições e tipos de volume suportados, consulte VMs e sistemas operacionais suportados.
- Ubuntu 14.04, 16.04, 18.04: lsscsi, psmisc, at, cryptsetup-bin, python-parted, python-six, procps, grub-pc-bin
- CentOS 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, pyparted, procps-ng, util-linux
- CentOS 6.8: lsscsi, psmisc, lvm2, uuid, at, cryptsetup-reencrypt, parted, python-six
- RedHat 7.2 - 7.9, 8.1, 8.2: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup, cryptsetup-reencrypt, procps-ng, util-linux
- Em RedHat 6.8, os pacotes incluem: lsscsi, psmisc, lvm2, uuid, at, patch, cryptsetup-reencrypt
- openSUSE 42.3, SLES 12-SP4, 12-SP3: lsscsi, cryptsetup
No Red Hat, quando um proxy é necessário, você deve certificar-se de que o gerenciador de assinaturas e o yum estão configurados corretamente. Para obter mais informações, consulte Como solucionar problemas do gerenciador de assinaturas e do yum.
Quando os pacotes são instalados manualmente, eles também devem ser atualizados manualmente à medida que novas versões são lançadas.
Grupos de segurança de rede
Todas as configurações de grupo de segurança de rede aplicadas devem ainda permitir que o endpoint satisfaça os requisitos de configuração de rede conforme documentado para a criptografia de disco. Consulte Azure Disk Encryption: Requisitos de rede
Azure Disk Encryption com Microsoft Entra ID (versão anterior)
Se estiver usando a Criptografia de Disco do Azure com a ID do Microsoft Entra (versão anterior), a Biblioteca de Autenticação da Microsoft deverá ser instalada manualmente para todas as distros (além dos pacotes apropriados para a distro).
Quando a criptografia é ativada com credenciais do Microsoft Entra, a VM de destino deve permitir a ligação aos pontos de extremidade do Microsoft Entra e aos do Azure Key Vault. Os endpoints de autenticação atuais do Microsoft Entra estão listados nas seções 56 e 59 da documentação URLs e intervalos de endereços IP do Microsoft 365. As instruções do Cofre da Chave são fornecidas na documentação sobre como acessar o Cofre da Chave do Azure atrás de um firewall.
Serviço de Metadados de Instância do Azure
A máquina virtual deve ser capaz de aceder ao ponto de extremidade do serviço de Metadados de Instância do Azure, que usa um conhecido endereço IP não roteável () que pode ser acedido somente de dentro da VM. Não há suporte para configurações de proxy que alteram o tráfego HTTP local para esse endereço (por exemplo, adicionando um cabeçalho X-Forwarded-For).
Próximos passos
- Veja mais etapas para solução de problemas de criptografia de disco do Azure
- Encriptação de dados inativa do Azure