Azure Disk Encryption pro Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Přehled
Azure Disk Encryption využívá subsystém dm-crypt v Linuxu k zajištění úplného šifrování disků ve vybraných distribucích Azure Linuxu. Toto řešení je integrované se službou Azure Key Vault pro správu šifrovacích klíčů disků a tajných kódů.
Předpoklady
Úplný seznam požadavků najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem, konkrétně v následujících částech:
- Podporované virtuální počítače a operační systémy
- Další požadavky na virtuální počítač
- Požadavky na síť
- Požadavky na úložiště šifrovacích klíčů
Schéma rozšíření
Pro Azure Disk Encryption (ADE) existují dvě verze schématu rozšíření:
- v1.1 – Novější doporučené schéma, které nepoužívá vlastnosti Microsoft Entra.
- v0.1 – starší schéma, které vyžaduje vlastnosti Microsoft Entra.
Chcete-li vybrat cílové schéma, musí být vlastnost nastavena na verzi schématu, typeHandlerVersion kterou chcete použít.
Schéma v1.1: Žádné ID Microsoft Entra (doporučeno)
Schéma verze 1.1 se doporučuje a nevyžaduje vlastnosti Microsoft Entra.
Poznámka:
Parametr DiskFormatQuery je zastaralý. Jeho funkce byla nahrazena možností EncryptFormatAll místo toho, což je doporučený způsob formátování datových disků v době šifrování.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schéma v0.1: s ID Microsoft Entra
Schéma 0.1 vyžaduje AADClientID nebo AADClientSecretAADClientCertificate.
Pomocí AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Pomocí AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Hodnoty vlastností
Poznámka: U všech hodnot vlastností se rozlišují malá a velká písmena.
| Název | Hodnota / příklad | Datový typ |
|---|---|---|
| apiVersion | 2019-07-01 | datum |
| Vydavatel | Microsoft.Azure.Security | řetězec |
| type | AzureDiskEncryptionForLinux | řetězec |
| typeHandlerVersion | 1.1, 0.1 | int |
| (Schéma 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (Schéma 0.1) AADClientSecret | Heslo | řetězec |
| (Schéma 0.1) AADClientCertificate | Miniatura | řetězec |
| (volitelné) (Schéma 0.1) Heslo | Heslo | řetězec |
| DiskFormatQuery | {"dev_path":","name":",","file_system":"} | Slovník JSON |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | řetězec |
| (volitelné – výchozí RSA-OAEP ) KeyEncryptionAlgorithm | RSA-OAEP, RSA-OAEP-256, RSA1_5 | řetězec |
| KeyVaultURL | url | řetězec |
| KeyVaultResourceId | url | řetězec |
| (volitelné) KeyEncryptionKeyURL | url | řetězec |
| (volitelné) KekVaultResourceId | url | řetězec |
| (volitelné) SequenceVersion | Uniqueidentifier | řetězec |
| VolumeType | Operační systém, data, vše | řetězec |
Nasazení šablon
Příklad nasazení šablony na základě schématu verze 1.1 najdete v šabloně Rychlého startu Azure encrypt-running-linux-vm-without-aad.
Příklad nasazení šablony na základě schématu v0.1 najdete v šabloně Azure Pro rychlý start encrypt-running-linux-vm.
Upozorňující
- Pokud jste k šifrování virtuálního počítače použili službu Azure Disk Encryption s ID Microsoft Entra, musíte pokračovat v šifrování virtuálního počítače pomocí této možnosti.
- Při šifrování svazků s operačním systémem Linux bude potřeba virtuální počítač považovat za nedostupný. Během šifrování důrazně doporučujeme nepoužívat přihlášení SSH. Vyhnete se tak problémům se zablokováním otevřených souborů, ke kterým probíhající šifrování vyžaduje přístup. Pokud chcete zkontrolovat průběh, použijte rutinu PowerShellu Get-AzVMDiskEncryptionStatus nebo příkaz rozhraní příkazového řádku pro šifrování virtuálního počítače. U svazku s operačním systémem o velikosti 30 GB půjde o několikahodinový proces. A další čas bude vyžadovat šifrování datových svazků. Doba šifrování objemu dat bude úměrná velikosti a množství datových svazků; možnost
encrypt format allje rychlejší než místní šifrování, ale způsobí ztrátu všech dat na discích. - Zákaz šifrování je na virtuálních počítačích s Linuxem podporovaný jen u datových svazků. Zákaz není podporovaný u datových svazků ani u svazků s OS, pokud je zašifrovaný svazek operačního systému.
Poznámka:
VolumeType Pokud je parametr nastavený na Vše, datové disky se zašifrují jenom v případě, že jsou správně připojené.
Řešení potíží a podpora
Odstranění potíží
Informace o řešení potíží najdete v průvodci odstraňováním potíží pro službu Azure Disk Encryption.
Technická podpora
Pokud potřebujete další pomoc v libovolném bodě tohoto článku, můžete kontaktovat odborníky na Azure na fórech MSDN Azure a Stack Overflow.
Případně můžete podat incident podpora Azure. Přejděte na podpora Azure a vyberte Získat podporu. Informace o používání podpory Azure najdete v nejčastějších dotazech k podpoře Microsoft Azure.
Další kroky
- Další informace o rozšířeních virtuálních počítačů najdete v tématu Rozšíření a funkce virtuálního počítače pro Linux.
- Další informace o službě Azure Disk Encryption pro Linux najdete v tématu Virtuální počítače s Linuxem.