الترحيل من تشفير قرص Azure إلى التشفير في المضيف

هام

من المقرر إيقاف تشفير الأقراص Azure في 15 سبتمبر 2028. حتى ذلك التاريخ، يمكنك الاستمرار في استخدام تشفير الأقراص Azure دون انقطاع. في 15 سبتمبر 2028، ستستمر أحمال العمل المفعلة ب ADE، لكن الأقراص المشفرة ستفشل في فتح التشغيل بعد إعادة تشغيل الجهاز الافتراضي، مما يؤدي إلى تعطيل الخدمة.

استخدم التشفير في المضيف للأجهزة الافتراضية الجديدة. يجب على جميع الأجهزة الافتراضية المفعلة بدعم ADE (بما في ذلك النسخ الاحتياطية) الانتقال إلى التشفير عند المضيف قبل تاريخ التقاعد لتجنب تعطيل الخدمة. راجع Migrationate from Azure Disk Encryption إلى Encryption في المضيف لمزيد من التفاصيل.

توفر هذه المقالة إرشادات خطوة بخطوة لترحيل أجهزتك الظاهرية من تشفير قرص Azure (ADE) إلى التشفير في المضيف. تتطلب عملية الترحيل إنشاء أقراص وأجهزة ظاهرية جديدة، حيث لا يتم دعم التحويل الموضعي

نظرة عامة على الترحيل

يقوم تشفير قرص Azure (ADE) بتشفير البيانات داخل الجهاز الظاهري باستخدام BitLocker (Windows) أو dm-crypt (Linux)، بينما يقوم التشفير في المضيف بتشفير البيانات على مستوى مضيف الجهاز الظاهري دون استهلاك موارد وحدة المعالجة المركزية للجهاز الظاهري. يعمل التشفير في المضيف على تحسين التشفير الافتراضي من جانب الخادم (SSE) من Azure من خلال توفير تشفير من طرف إلى طرف لجميع بيانات الجهاز الظاهري، بما في ذلك الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفقات البيانات بين الحوسبة والتخزين.

لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المداروتمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف.

قيود واعتبارات الترحيل

قبل بدء عملية الترحيل، كن على دراية بهذه القيود والاعتبارات المهمة التي تؤثر على استراتيجية الترحيل الخاصة بك:

• لا يوجد ترحيل موضعي: لا يمكنك تحويل الأقراص المشفرة ب ADE مباشرة إلى تشفير في المضيف. يتطلب الترحيل إنشاء أقراص وأجهزة ظاهرية جديدة.

• قيود قرص نظام التشغيل Linux: تعطيل ADE على أقراص نظام التشغيل Linux غير مدعوم. بالنسبة لأجهزة Linux الظاهرية المزودة بأقراص نظام التشغيل المشفرة بواسطة ADE، يجب عليك إنشاء جهاز ظاهري جديد بقرص نظام تشغيل جديد.

• أنماط تشفير Windows ADE: على الأجهزة الظاهرية التي تعمل بنظام Windows، يمكن ل Azure Disk Encryption تشفير قرص نظام التشغيل وحده أو جميع الأقراص (OS + أقراص البيانات) فقط. لا يمكن تشفير أقراص البيانات فقط على أجهزة Windows الظاهرية.

• استمرار علامة UDE: تحتوي الأقراص المشفرة باستخدام تشفير قرص Azure على علامة تشفير البيانات الموحدة (UDE) التي تستمر حتى بعد فك التشفير. تحتفظ كل من اللقطات ونسخ القرص باستخدام خيار النسخ بعلامة UDE هذه. يتطلب الترحيل إنشاء أقراص مدارة جديدة باستخدام طريقة التحميل ونسخ بيانات كائن ثنائي كبير الحجم VHD، مما يؤدي إلى إنشاء كائن قرص جديد بدون أي بيانات تعريف من القرص المصدر.

• وقت التوقف عن العمل المطلوب: تتطلب عملية الترحيل تعطل الجهاز الظاهري لعمليات القرص وإعادة إنشاء الجهاز الظاهري.

• الأجهزة الظاهرية المرتبطة بالمجال: إذا كانت الأجهزة الظاهرية الخاصة بك جزءا من مجال Active Directory، فستكون هناك حاجة إلى مزيد من الخطوات:

  • يجب إزالة الجهاز الظاهري الأصلي من المجال قبل الحذف
  • بعد إنشاء الجهاز الظاهري الجديد، يجب إعادة ضمه إلى المجال
  • بالنسبة لأجهزة Linux الظاهرية، يمكن تحقيق الانضمام إلى المجال باستخدام ملحقات Azure AD

  لمزيد من المعلومات، راجع ما هي خدمات مجال Microsoft Entra؟

المتطلبات الأساسية

قبل بدء الترحيل:

1. النسخ الاحتياطي لبياناتك: قم بإنشاء نسخ احتياطية من جميع البيانات الهامة قبل بدء عملية الترحيل.

2. اختبار العملية: إذا أمكن، اختبر عملية الترحيل على جهاز ظاهري غير إنتاجي أولا.

3. إعداد موارد التشفير: تأكد من أن حجم الجهاز الظاهري الخاص بك يدعم التشفير في المضيف. تدعم معظم أحجام الأجهزة الظاهرية الحالية هذه الميزة. لمزيد من المعلومات حول متطلبات حجم الجهاز الظاهري، راجع تمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف.

4. تكوين المستند: سجل تكوين الجهاز الظاهري الحالي، بما في ذلك إعدادات الشبكة والملحقات والموارد المرفقة.

خطوات الترحيل

تعمل خطوات الترحيل التالية مع معظم السيناريوهات، مع ملاحظة اختلافات محددة لكل نظام تشغيل.

هام

لا يمكن فك تشفير أجهزة Linux الظاهرية المزودة بأقراص نظام التشغيل المشفرة في مكانها. بالنسبة لهذه الأجهزة الظاهرية، يجب عليك إنشاء جهاز ظاهري جديد بقرص نظام تشغيل جديد وترحيل بياناتك. راجع قسم ترحيل أجهزة Linux الظاهرية باستخدام أقراص نظام التشغيل المشفرة بعد مراجعة العملية العامة أدناه.

تعطيل تشفير قرص Azure

تتمثل الخطوة الأولى في تعطيل تشفير قرص Azure الموجود عندما يكون ذلك ممكنا:

• Windows: اتبع الإرشادات الواردة في تعطيل التشفير وإزالة امتداد التشفير على Windows
• Linux: إذا تم تشفير أقراص البيانات فقط ، فاتبع تعطيل التشفير وإزالة امتداد التشفير على Linux. إذا كان قرص نظام التشغيل مشفرا، فراجع ترحيل أجهزة Linux الظاهرية بأقراص نظام التشغيل المشفرة.

بعد تشغيل الأمر ADE disable، تتغير حالة تشفير الجهاز الظاهري في مدخل Microsoft Azure إلى "SSE + PMK" على الفور. ومع ذلك ، فإن عملية فك التشفير الفعلية على مستوى نظام التشغيل تستغرق وقتا وتعتمد على كمية البيانات المشفرة. يجب التحقق من اكتمال فك التشفير على مستوى نظام التشغيل قبل المتابعة إلى الخطوة التالية.

بالنسبة لأجهزة Windows الظاهرية:

• افتح موجه الأوامر كمسؤول وقم بتشغيل: manage-bde -status
• تحقق من أن جميع وحدات التخزين تظهر حالة "تم فك تشفيرها بالكامل"
• يجب أن تظهر النسبة المئوية لفك التشفير 100% لجميع وحدات التخزين المشفرة

بالنسبة لأجهزة Linux الظاهرية (أقراص البيانات فقط):

• ركض: sudo cryptsetup status /dev/mapper/<device-name>
• التحقق من أن الأجهزة المشفرة لم تعد نشطة
• تحقق مع: lsblk للتأكد من عدم وجود تعيينات مشفرة

انتظر فك التشفير الكامل قبل متابعة ترحيل القرص لضمان سلامة البيانات.

إنشاء أقراص مدارة جديدة

قم بإنشاء أقراص جديدة لا تحمل بيانات تعريف تشفير ADE. تعمل هذه العملية مع كل من الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows وLinux، مع بعض الاعتبارات المحددة لأقراص نظام التشغيل Linux.

المبادره القطريه

هام

تحتاج إلى إضافة إزاحة قدرها 512 بايت عند نسخ قرص مدار من Azure. وذلك لأن Azure يحذف التذيل عند الإبلاغ عن حجم القرص. النسخة ستفشل إذا لم تفعل ذلك. النص التالي يفعل ذلك بالفعل نيابة عنك.

إذا كنت تنشئ قرص نظام تشغيل، أضف --hyper-v-generation <yourGeneration> إلى az disk create.

# Set variables
sourceDiskName="MySourceDisk"
sourceRG="MyResourceGroup"
targetDiskName="MyTargetDisk"
targetRG="MyResourceGroup"
targetLocation="eastus"
# For OS disks, specify either "Windows" or "Linux"
# For data disks, omit the targetOS variable and --os-type parameter
targetOS="Windows"

# Get source disk size in bytes
sourceDiskSizeBytes=$(az disk show -g $sourceRG -n $sourceDiskName --query '[diskSizeBytes]' -o tsv)

# Create a new empty target disk with upload capability
az disk create -g $targetRG -n $targetDiskName -l $targetLocation --os-type $targetOS --for-upload --upload-size-bytes $(($sourceDiskSizeBytes+512)) --sku standard_lrs

# Generate SAS URIs for both disks
targetSASURI=$(az disk grant-access -n $targetDiskName -g $targetRG --access-level Write --duration-in-seconds 86400 --query [accessSas] -o tsv)

sourceSASURI=$(az disk grant-access -n $sourceDiskName -g $sourceRG --access-level Read --duration-in-seconds 86400 --query [accessSas] -o tsv)

# Copy the disk data using AzCopy
azcopy copy $sourceSASURI $targetSASURI --blob-type PageBlob

# Revoke SAS access when complete
az disk revoke-access -n $sourceDiskName -g $sourceRG

az disk revoke-access -n $targetDiskName -g $targetRG

تنشئ هذه الطريقة أقراصا جديدة بدون بيانات تعريف تشفير قرص Azure (علامة UDE)، وهو أمر ضروري للترحيل النظيف.

# Get source disk information
$sourceDisk = Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MySourceDisk"

# Create a new empty target disk
# For Windows OS disks
$diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload `
  -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512) -OsType Windows `
  -HyperVGeneration "V2"

# For Linux OS disks (if not ADE-encrypted)
# $diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload `
#   -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512) -OsType Linux `
#   -HyperVGeneration "V2"

# For data disks (no OS type needed)
# $diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload `
#   -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512)

$targetDisk = New-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyTargetDisk" -Disk $diskConfig

# Generate SAS URIs and copy the data
# Get SAS URIs for both disks
$sourceSAS = Grant-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $sourceDisk.Name `
  -Access Read -DurationInSecond 7200
$targetSAS = Grant-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $targetDisk.Name `
  -Access Write -DurationInSecond 7200

# Copy the disk data using AzCopy
azcopy copy $sourceSAS.AccessSAS $targetSAS.AccessSAS --blob-type PageBlob

# Revoke SAS access when complete
Revoke-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $sourceDisk.Name
Revoke-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $targetDisk.Name

إنشاء جهاز ظاهري جديد بالتشفير

قم بإنشاء جهاز ظاهري جديد باستخدام الأقراص التي تم إنشاؤها حديثا باستخدام طريقة التشفير التي اخترتها.

يمكنك الاختيار من بين العديد من خيارات التشفير، وفقا لمتطلبات الأمان الخاصة بك. توفر هذه المقالة خطوات لإنشاء جهاز ظاهري جديد مع التشفير في المضيف، وهو مسار الترحيل الأكثر شيوعا. تتم تغطية خيارات التشفير الأخرى في نظرة عامة على خيارات تشفير القرص المدار.

إنشاء جهاز ظاهري جديد مع التشفير في المضيف

يوفر التشفير في المضيف أقرب مكافئ لتغطية تشفير قرص Azure، ويتم تغطيته في هذا القسم.

المبادره القطريه

بالنسبة لأقراص نظام التشغيل:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

بالنسبة لأقراص البيانات:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

بالنسبة لأقراص نظام التشغيل:

# Define VM configuration
$vmConfig = New-AzVMConfig -VMName "MyVM-New" -VMSize "Standard_D2s_v3"

# Add the OS disk (Windows example)
$vmConfig = Set-AzVMOSDisk -VM $vmConfig -ManagedDiskId $targetDisk.Id -CreateOption Attach -Windows

# For Linux OS disk, use -Linux instead of -Windows

# Enable encryption at host
$vmConfig = Set-AzVMSecurityProfile -VM $vmConfig -EncryptionAtHost $true

# Create the VM with network settings (you'll need to specify your own)
New-AzVM -ResourceGroupName "MyResourceGroup" -Location $targetDisk.Location -VM $vmConfig

بالنسبة لأقراص البيانات:

# Get the VM
$vm = Get-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-New"

# Attach the data disk
$vm = Add-AzVMDataDisk -VM $vm -ManagedDiskId $targetDisk.Id -Lun 0 -CreateOption Attach

# Update the VM
Update-AzVM -ResourceGroupName "MyResourceGroup" -VM $vm

التحقق من الأقراص الجديدة وتكوينها

بعد إنشاء الجهاز الظاهري الجديد مع التشفير في المضيف، تحتاج إلى التحقق من الأقراص وتكوينها بشكل صحيح لنظام التشغيل الخاص بك.

المبادره القطريه

بالنسبة لأجهزة Windows الظاهرية:

• التحقق من تعيين أحرف القرص بشكل صحيح
• تحقق من أن التطبيقات يمكنها الوصول إلى الأقراص بشكل صحيح
• تحديث أي تطبيقات أو برامج نصية تشير إلى معرفات أقراص معينة

لأجهزة Linux الظاهرية:

• التحديث /etc/fstab باستخدام UUIDs القرص الجديد
• قم بتحميل أقراص البيانات على نقاط التحميل الصحيحة

# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

بالنسبة لأجهزة Windows الظاهرية:

• تحقق من تعيين أحرف القرص بشكل صحيح باستخدام إدارة الأقراص أو PowerShell
• تحقق من أن التطبيقات يمكنها الوصول إلى الأقراص بشكل صحيح

# List all disks and their partitions
Get-Disk | Get-Partition | Format-Table -AutoSize

# Check drive letters
Get-PSDrive -PSProvider FileSystem

لأجهزة Linux الظاهرية:

• تحتاج إلى الاتصال بجهاز Linux الظاهري عبر SSH لتنفيذ هذه المهام، ولكن يمكن استخدام PowerShell للتحقق من تشغيل الجهاز الظاهري:

# Verify VM is running
Get-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-New" -Status

قد يتطلب كل من Windows وLinux خطوات تكوين إضافية خاصة بتطبيقاتك أو أحمال العمل.

التحقق من التشفير والتنظيف

تحقق من تكوين التشفير في المضيف بشكل صحيح على كل من الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows وLinux.

المبادره القطريه

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

بعد التأكد من أن التشفير في المضيف يعمل بشكل صحيح:

1. اختبار وظائف الجهاز الظاهري للتأكد من أن التطبيقات تعمل بشكل صحيح
2. التحقق من إمكانية الوصول إلى البيانات وسليمها
3. احذف الموارد الأصلية عندما تكون راضيا عن الترحيل:

# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

# Check encryption at host status
Get-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-New" | `
Select-Object -ExpandProperty SecurityProfile | Select-Object EncryptionAtHost

# Verify disk encryption status
Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyTargetDisk" | Select-Object Name, Encryption

بعد التأكد من أن التشفير في المضيف يعمل بشكل صحيح:

1. اختبار وظائف الجهاز الظاهري للتأكد من أن التطبيقات تعمل بشكل صحيح
2. التحقق من إمكانية الوصول إلى البيانات وسليمها
3. احذف الموارد الأصلية عندما تكون راضيا عن الترحيل:

# Delete the original VM
Remove-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-Original" -Force

# Delete the original disk
Remove-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MySourceDisk" -Force

ترحيل أجهزة Linux الظاهرية باستخدام أقراص نظام التشغيل المشفرة

نظرا لأنه لا يمكنك تعطيل التشفير على أقراص نظام التشغيل Linux ، فإن العملية تختلف عن Windows.

المبادره القطريه

1. إنشاء جهاز ظاهري جديد مع تمكين التشفير عند المضيف

   az vm create \
     --resource-group "MyResourceGroup" \
     --name "MyVM-New" \
     --image "Ubuntu2204" \
     --encryption-at-host true \
     --admin-username "azureuser" \
     --generate-ssh-keys
   

2. بالنسبة إلى خيارات نقل البيانات:

   • بالنسبة لبيانات التطبيق: استخدم SCP أو rsync أو طرق نقل الملفات الأخرى لنسخ البيانات
   • للتهيئة: نسخ ملفات التكوين والإعدادات المهمة
   • للتطبيقات المعقدة: استخدم إجراءات النسخ الاحتياطي / الاستعادة المناسبة لتطبيقاتك

   # Example of using SCP to copy files from source to new VM
   az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
     --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"
   

1. إنشاء جهاز ظاهري جديد مع تمكين التشفير عند المضيف

   # Create a new VM with encryption at host
   $vmConfig = New-AzVMConfig -VMName "MyVM-New" -VMSize "Standard_D2s_v3" | 
     Set-AzVMOperatingSystem -Linux -ComputerName "MyVM-New" -Credential (Get-Credential) |
     Set-AzVMSourceImage -PublisherName "Canonical" -Offer "UbuntuServer" -Skus "18.04-LTS" -Version "latest" |
     Set-AzVMSecurityProfile -EncryptionAtHost $true
   
   # Add networking and create the VM
   New-AzVM -ResourceGroupName "MyResourceGroup" -Location "EastUS" -VM $vmConfig
   

2. بالنسبة إلى خيارات نقل البيانات:

   • بالنسبة لبيانات التطبيق: استخدام التتبع عن بعد أو البرامج النصية ل PowerShell لنسخ البيانات
   • للتهيئة: نسخ ملفات التكوين والإعدادات المهمة
   • للتطبيقات المعقدة: استخدم إجراءات النسخ الاحتياطي / الاستعادة المناسبة لتطبيقاتك

بعد إنشاء الجهاز الظاهري الجديد:

1. تكوين الجهاز الظاهري الجديد لمطابقة البيئة الأصلية

   • إعداد نفس تكوينات الشبكة
   • تثبيت نفس التطبيقات والخدمات
   • تطبيق نفس إعدادات الأمان

2. اختبر جيدا قبل إيقاف تشغيل الجهاز الظاهري الأصلي

يعمل هذا الأسلوب مع كل من الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows وLinux، ولكنه مهم بشكل خاص لأجهزة Linux الظاهرية ذات أقراص نظام التشغيل المشفرة التي لا يمكن فك تشفيرها في مكانها.

للحصول على إرشادات حول ترحيل البيانات، راجع تحميل VHD إلى Azureونسخ الملفات إلى جهاز ظاهري Linux باستخدام SCP.

اعتبارات الجهاز الظاهري المرتبط بالمجال

إذا كانت الأجهزة الظاهرية أعضاء في مجال Active Directory، فستكون هناك حاجة إلى خطوات إضافية أثناء عملية الترحيل:

خطوات نطاق ما قبل الترحيل

1. عضوية نطاق المستند: تسجيل النطاق الحالي والوحدة التنظيمية (OU) وأي عضويات للمجموعة الخاصة
2. ملاحظة حساب الكمبيوتر: يجب إدارة حساب الكمبيوتر في Active Directory
3. عمليات الضبط الخاصة بالمجال الاحتياطي: حفظ أي إعدادات أو نهج مجموعة أو شهادات خاصة بالمجال

عملية إزالة النطاق

1. إزالة من المجال: قبل حذف الجهاز الظاهري الأصلي، قم بإزالته من المجال باستخدام إحدى الطرق التالية:

   • استخدام Remove-Computer PowerShell cmdlet على Windows
   • استخدام مربع الحوار خصائص النظام للتغيير إلى مجموعة عمل
   • حذف حساب الكمبيوتر يدويا من مستخدمي Active Directory وأجهزة الكمبيوتر

2. تنظيف Active Directory: إزالة أي حسابات كمبيوتر معزولة أو إدخالات DNS

إعادة الانضمام إلى نطاق ما بعد الترحيل

1. الانضمام إلى جهاز ظاهري جديد إلى المجال: بعد إنشاء الجهاز الظاهري الجديد مع التشفير في المضيف:

   • لنظام التشغيل Windows: استخدام Add-Computer PowerShell cmdlet أو خصائص النظام
   • بالنسبة إلى Linux: استخدم ملحق الانضمام إلى مجال Azure AD أو التكوين اليدوي

2. استعادة إعدادات المجال: إعادة تطبيق أي عمليات ضبط أو نهج مجموعة أو شهادات خاصة بالمجال

3. التحقق من وظائف المجال: اختبار مصادقة المجال وتطبيق نهج المجموعة والوصول إلى موارد الشبكة

الانضمام إلى مجال Linux

بالنسبة لأجهزة Linux الظاهرية، يمكنك استخدام ملحق الجهاز الظاهري Azure AD Domain Services:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

لمزيد من المعلومات، راجع ما هي خدمات مجال Microsoft Entra؟

اعتبارات المجال الهامة

• يحتوي الجهاز الظاهري الجديد على SID مختلف للكمبيوتر ، مما قد يؤثر على بعض التطبيقات
• يجب تحديث تذاكر Kerberos وبيانات الاعتماد المخزنة مؤقتا
• قد تتطلب بعض التطبيقات المتكاملة بالمجال إعادة التكوين
• التخطيط للخسارة المؤقتة المحتملة لخدمات النطاق أثناء الترحيل

التحقق بعد الترحيل

بعد إكمال الترحيل، تحقق من أن التشفير في المضيف يعمل بشكل صحيح:

1. التحقق من التشفير في حالة المضيف: تحقق من تمكين التشفير في المضيف:

   az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"
   

2. اختبار وظيفة الجهاز الظاهري: تأكد من أن تطبيقاتك وخدماتك تعمل بشكل صحيح.

3. التحقق من تشفير القرص: تأكد من تشفير الأقراص بشكل صحيح:

   Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState
   

4. مراقبة الأداء: قارن الأداء قبل الترحيل وبعده لتأكيد التحسينات المتوقعة.

لمزيد من المعلومات حول التحقق من التشفير، راجع تمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف.

التنظيف

بعد الترحيل والتحقق بنجاح:

1. حذف الجهاز الظاهري القديم: قم بإزالة الجهاز الظاهري الأصلي المشفر ب ADE

2. حذف الأقراص القديمة: قم بإزالة الأقراص المشفرة الأصلية

3. تحديث نهج الوصول إلى Key Vault: تستخدم حلول تشفير القرص الأخرى آليات تخويل Key Vault القياسية. إذا لم تعد بحاجة إلى Key Vault لتشفير قرص Azure، فقم بتحديث نهج الوصول الخاصة به لتعطيل إعداد تشفير القرص الخاص:

   المبادره القطريه

   az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
   

   Update-AzKeyVault -VaultName "YourKeyVaultName" -ResourceGroupName "YourResourceGroup" -EnabledForDiskEncryption $false
   

---

4. تنظيف الموارد: إزالة أي موارد مؤقتة تم إنشاؤها أثناء الترحيل
5. تحديث الوثائق: تحديث وثائق البنية الأساسية لتعكس الترحيل إلى التشفير في المضيف

المشكلات والحلول الشائعة

حجم الجهاز الظاهري لا يدعم التشفير في المضيف

الحل: تحقق من قائمة أحجام الأجهزة الظاهرية المدعومة وقم بتغيير حجم الجهاز الظاهري إذا لزم الأمر

فشل الجهاز الظاهري في البدء بعد الترحيل

الحل: تحقق من توصيل جميع الأقراص بشكل صحيح وتعيين قرص نظام التشغيل كقرص التمهيد

التشفير في المضيف غير ممكن

الحل: تحقق من إنشاء الجهاز الظاهري باستخدام المعلمة --encryption-at-host true وأن اشتراكك يدعم هذه الميزة

تستمر مشكلات الأداء

الحل: تحقق من تمكين التشفير في المضيف بشكل صحيح ومن أن حجم الجهاز الظاهري يدعم الأداء المتوقع.

الخطوات التالية

• نظرة عامة على خيارات تشفير القرص المدار
• تمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف - مدخل Microsoft Azure
• تمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف - Azure PowerShell
• تمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف - Azure CLI
• التشفير من جانب الخادم ل Azure Disk Storage
• ⁧⁩تشفير قرص Azure لأجهزة Windows⁧ الظاهرية
• تشفير قرص Azure لأجهزة Linux الظاهرية
• الأسئلة المتداولة حول تشفير قرص Azure
• تحميل VHD إلى Azure أو نسخ قرص مدار إلى منطقة أخرى
• تشفير قرص Azure لأجهزة Linux الظاهرية
• الأسئلة المتداولة حول تشفير قرص Azure
• تحميل VHD إلى Azure أو نسخ قرص مدار إلى منطقة أخرى
• الأسئلة المتداولة حول تشفير قرص Azure
• تحميل VHD إلى Azure أو نسخ قرص مدار إلى منطقة أخرى
• تشفير قرص Azure لأجهزة Linux الظاهرية
• الأسئلة المتداولة حول تشفير قرص Azure
• تحميل VHD إلى Azure أو نسخ قرص مدار إلى منطقة أخرى