تشفير قرص Azure لنظام التشغيل Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
نظرة عامة
يعزز تشفير قرص Azure من النظام الفرعي dm-crypt في Linux لتوفير تشفير القرص الكامل في توزيعات Azure Linux المحددة. تم دمج هذا الحل مع Azure Key Vault لإدارة مفاتيح تشفير الأقراص والأسرار.
المتطلبات الأساسية
للحصول على قائمة كاملة بالمتطلبات الأساسية، راجع تشفير قرص Azure لأجهزة ظاهرية بنظام Linux، وتحديداً الأقسام التالية:
- الأجهزة الظاهرية وأنظمة التشغيل المدعومة
- المتطلبات الإضافية للأجهزة الظاهرية
- متطلبات الشبكات
- متطلبات تخزين مفتاح التشفير
مخطط الملحق
هناك إصداران من مخطط الملحق لتشفير قرص Azure (ADE):
- v1.1 - مخطط موصى به أحدث لا يستخدم خصائص Microsoft Entra.
- v0.1 - مخطط قديم يتطلب خصائص Microsoft Entra.
لتحديد المخطط المستهدف، يجب typeHandlerVersion
تعيين الخاصية بحيث تكون مساوية لإصدار المخطط الذي تريد استخدامه.
المخطط v1.1: لا يوجد معرف Microsoft Entra (مستحسن)
يوصى بمخطط v1.1 ولا يتطلب خصائص Microsoft Entra.
إشعار
تم DiskFormatQuery
إهمال المعلمة. تم استبدال وظيفته بخيار EncryptFormatAll بدلًا من ذلك، ويمثل الطريقة الموصى بها لتنسيق أقراص البيانات في وقت التشفير.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
المخطط v0.1: مع معرف Microsoft Entra
يتطلب المخطط 0.1 AADClientID
و إما AADClientSecret
أو AADClientCertificate
.
استخدام AADClientSecret
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
استخدام AADClientCertificate
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
قيم Property
ملاحظة: كافة قيم الخاصية حساسة لحالة الأحرف.
الاسم | القيمة / المثال | نوع البيانات |
---|---|---|
apiVersion | 2019-07-01 | date |
publisher | Microsoft.Azure.Security | سلسلة |
type | AzureDiskEncryptionForLinux | سلسلة |
typeHandlerVersion | 1.1, 0.1 | العدد الصحيح |
(مخطط 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
(مخطط 0.1) AADClientSecret | كلمة المرور | سلسلة |
(مخطط 0.1) AADClientCertificate | thumbprint | سلسلة |
(اختياري) (مخطط 0.1) عبارة المرور | كلمة المرور | سلسلة |
DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | قاموس JSON |
EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | سلسلة |
(اختياري - RSA-OAEP افتراضي) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | سلسلة |
KeyVaultURL | عنوان URL | سلسلة |
KeyVaultResourceId | عنوان URL | سلسلة |
(اختياري) KeyEncryptionKeyURL | عنوان URL | سلسلة |
(اختياري) KekVaultResourceId | عنوان URL | سلسلة |
(اختياري) SequenceVersion | uniqueidentifier | سلسلة |
VolumeType | نظام التشغيل، البيانات، الكل | سلسلة |
توزيع قالب
للحصول على مثال على نشر القالب استنادًا إلى المخطط إصدار 1.1، راجع قالب Azure Quickstart encrypt-running-linux-vm-without-aad.
للحصول على مثال على نشر القالب استنادًا إلى المخطط إصدار 0.1، راجع قالب Azure Quickstart encrypt-running-linux-vm.
التحذير
- إذا كنت قد استخدمت تشفير قرص Azure مسبقا مع معرف Microsoft Entra لتشفير جهاز ظاهري، يجب الاستمرار في استخدام هذا الخيار لتشفير الجهاز الظاهري الخاص بك.
- عند تشفير وحدات تخزين نظام التشغيل Linux، يجب اعتبار الجهاز الظاهري غير متوفر. نوصي بشدة بتجنب تسجيلات الدخول الخاصة ب SSH أثناء إجراء التشفير لتجنب حدوث مشكلات في حظر أي ملفات مفتوحة ستحتاج إلى الوصول إليها أثناء عملية التشفير. للتحقق من التقدم، استخدم أمر cmdlet لـPowerShellGet-AzVMDiskEncryptionStatus أو أمر CLI إظهار التشفير VM. يمكن توقع أن تستغرق هذه العملية بضع ساعات لوحدة تخزين نظام تشغيل تبلغ 30 جيجابايت، بالإضافة إلى وقت إضافي لتشفير أحجام البيانات. سيكون وقت تشفير حجم البيانات متناسبًا مع حجم وكمية أحجام البيانات؛ يكون
encrypt format all
الخيار أسرع من التشفير الموضعي، ولكنه سيؤدي إلى فقد جميع البيانات الموجودة على الأقراص. - تعطيل التشفير على أجهزة Linux الظاهرية مدعوم فقط لوحدات تخزين البيانات. ولا يكون مدعوماً على البيانات أو وحدات تخزين نظام التشغيل إذا تم تشفير وحدة تخزين نظام التشغيل.
إشعار
أيضًا إذا VolumeType
تم تعيين المعلمة إلى الكل، سيتم تشفير أقراص البيانات فقط إذا تم تحميلها بشكل صحيح.
استكشاف الأخطاء وإصلاحها والدعم
استكشاف الأخطاء وإصلاحها
لاستكشاف الأخطاء وإصلاحها، راجع دليل استكشاف أخطاء تشفير قرص Azure وإصلاحها.
يدعم
إذا احتجت إلى مزيد من المساعدة بخصوص هذه المقالة في أي وقت، يمكنك الاتصال بخبراء Azure على منتديات MSDN Azure وStack Overflow.
بدلاً من ذلك، يمكنك تقديم حدث دعم Azure. انتقل إلى Azure support، وحدد "Get support". للحصول على معلومات حول استخدام دعم Azure، اقرأ الأسئلة المتداولة حول دعم Microsoft Azure.
الخطوات التالية
- لمزيد من المعلومات حول ملحقات VM، راجع ملحقات الجهاز الظاهري وميزات لينكس.
- لمزيد من المعلومات حول تشفير قرص Azure لينكس، راجع أجهزة Linux الظاهرية.