Important
Azure Disk Encryption は、 2028 年 9 月 15 日に廃止される予定です。 その日まで、中断することなく Azure Disk Encryption を引き続き使用できます。 2028 年 9 月 15 日に、ADE 対応ワークロードは引き続き実行されますが、暗号化されたディスクは VM の再起動後にロック解除に失敗し、サービスが中断されます。
新しい VM の ホストで暗号化 を使用するか、 コンフィデンシャル コンピューティング ワークロード用の OS ディスク暗号化を使用して機密 VM サイズ を検討します。 サービスの中断を回避するために、すべての ADE 対応 VM (バックアップを含む) を提供終了日より前にホストで暗号化に移行する必要があります。 詳細については、「 Azure Disk Encryption からホストでの暗号化への移行 」を参照してください。
注意事項
この記事では、サービス終了 (EOL) 状態の Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。
適用対象: ✔️ Linux VM ✔️ フレキシブル スケール セット
ファイアウォール、プロキシ要件、またはネットワーク セキュリティ グループ (NSG) 設定によって接続が制限されていると、必要なタスクを実行するための拡張機能が中断することがあります。 この中断によって、"拡張機能の状態が VM で取得できません" などのステータス メッセージが表示される可能性があります。
パッケージ管理
Azure Disk Encryption は多数のコンポーネントに依存しており、これらは通常は ADE の有効化の一部としてインストールされます (まだ存在しない場合)。 ファイアウォールの内側にある場合、またはインターネットから分離されている場合は、これらのパッケージを事前にインストールするか、ローカルで使用できる必要があります。
各ディストリビューションに必要なパッケージを次に示します。 サポートされているディストリビューションとボリュームの種類の完全な一覧については、「サポートされている VM とオペレーティング システム」を参照してください。
- Ubuntu 14.04、16.04、18.04: lsscsi、psmisc、at、cryptsetup-bin、python-parted、python-six、procps、grub-pc-bin
- CentOS 7.2 - 7.9、8.1、8.2: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、pyparted、procps-ng、util-linux
- CentOS 6.8: lsscsi、psmisc、lvm2、uuid、at、cryptsetup-reencrypt、parted、python-six
- RedHat 7.2 - 7.9、8.1、8.2: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup、cryptsetup-reencrypt、procps-ng、util-linux
- RedHat 6.8: lsscsi、psmisc、lvm2、uuid、at、patch、cryptsetup-reencrypt
- openSUSE 42.3、SLES 12-SP4、12-SP3: lsscsi、cryptsetup
Red Hat では、プロキシが必要な場合は、サブスクリプション マネージャーと yum が正しく設定されていることを確認する必要があります。 詳細については、「How to troubleshoot subscription-manager and yum problems」(subscription-manager と yum の問題をトラブルシューティングする方法) を参照してください。
パッケージを手動でインストールする場合は、新しいバージョンがリリースされたときも手動でアップグレードする必要があります。
ネットワーク セキュリティ グループ
適用されるあらゆるネットワーク セキュリティ グループ設定において、エンドポイントがディスクの暗号化のために規定されているネットワーク構成の前提条件を引き続き満たせるようにする必要があります。 Azure Disk Encryption:ネットワーク要件に関する記事を参照してください。
Microsoft Entra ID を使用した Azure Disk Encryption (以前のバージョン)
Microsoft Entra ID (以前のバージョン) で Azure Disk Encryption を使用する場合は、(ディストリビューションに適したパッケージに加えて) すべてのディストリビューションに対して Microsoft 認証ライブラリを手動でインストールする必要があります。
Microsoft Entra の資格情報で暗号化が有効にされている場合は、ターゲットの VM で、Microsoft Entra のエンドポイントと Key Vault のエンドポイントの両方への接続を許可する必要があります。 現在の Microsoft Entra 認証エンドポイントは、Microsoft 365 の URL と IP アドレスの範囲に関するドキュメントのセクション 56 と 59 に記載されています。 Key Vault の説明は、「ファイアウォールの向こう側にある Access Azure Key Vault へのアクセス」方法に関するドキュメンテーションにあります。
Azure Instance Metadata Service
仮想マシンは、VM 内からのみアクセスできる既知のルーティング不可能な IP アドレス () を使用する 169.254.169.254 エンドポイントにアクセスできる必要があります。 ローカル HTTP トラフィックをこのアドレスに変更する (たとえば X-Forwarded-For ヘッダーを追加する) プロキシ構成はサポートされません。
次のステップ
- Azure Disk Encryption のトラブルシューティングの追加のステップを参照してください
- 静止状態の Azure データ暗号化