Důležité
Podpora hardwarového šifrování pro Data Box Disk je aktuálně dostupná pro oblasti v USA, Evropě a Japonsku.
Azure Data Box Disk s hardwarovým šifrováním vyžaduje připojení SATA III. Všechna ostatní připojení, včetně USB, nejsou podporována.
Upozornění
Tento článek odkazuje na linuxovou distribuci CentOS, která již není podporována. Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Tento kurz popisuje, jak rozbalit, připojit a odemknout Azure Data Box Disk.
V tomto kurzu se naučíte:
- Rozbalte svůj Data Box Disk
- Připojit se k diskům a získat klíč
- Odemknutí disků v klientovi pro Windows
- Odemknout disky v klientovi pro Linux
Požadavky
Než začnete, ujistěte se, že:
- Dokončili jste Kurz: Objednání Azure Data Box Disku.
- Obdrželi jste disky a stav úlohy na portálu je aktualizovaný na Dodáno.
- Máte počítač klienta, na který můžete nainstalovat nástroj pro odemknutí disků Data Box. Váš klientský počítač musí:
Rozbalení disků
Disky rozbalíte pomocí následujících kroků.
Disky Data Box jsou zasílány v malém přepravním obalu. Otevřete obal a vyjměte jeho obsah. Zkontrolujte, že obal obsahuje 1 až 5 disků SSD (solid-state drive) a připojovací kabel USB pro každý disk. Zkontrolujte obal, zda nenese stopy porušení nebo není zjevně poškozen.
Pokud je přepravní obal porušen nebo vážně poškozen, neotevírejte ho. Obraťte se na podporu Microsoftu, aby vám pomohla určit, jestli jsou disky v dobrém funkčním stavu nebo zda je potřeba poslat náhradní.
Ověřte, že obal obsahuje průhlednou obálku s expedičním štítkem (pod aktuálním štítkem) pro zpáteční zásilku. Pokud se tento štítek ztratí nebo poškodí, můžete vždy stáhnout a vytisknout nový z webu Azure Portal.
Uschovejte si obal a výplňový materiál pro zpáteční odeslání disků.
Připojení disků
Důležité
Disk Azure Data Box s hardwarovým šifrováním se podporuje a testuje pouze pro operační systémy založené na Linuxu. Pokud chcete získat přístup k diskům pomocí zařízení s operačním systémem Windows, stáhněte sadu nástrojů Data Box Disku a spusťte nástroj Data Box Disk SED Unlock.
Připojte disky k dostupnému portu SATA na hostiteli se systémem Linux, na kterém běží podporovaná verze. Další informace o podporovaných verzích operačního systému najdete v článku Systémové požadavky pro službu Azure Data Box.
Získejte svůj přístupový klíč
V Azure Portal přejděte k vaší objednávce Data Box Disk. Vyhledejte ho tak, že přejdete na Obecné > všechny prostředky a pak vyberete objednávku Data Box Disku. Pomocí ikony kopírování zkopírujte klíč. Tento klíč se použije k odemknutí disků.
Klíč pro odemknutí Data Box Disku
Postup odemknutí disků se liší v závislosti na tom, jestli jste připojeni ke klientovi pro Windows nebo Linux.
Odemknutí disků
Disky připojíte a odemknete pomocí následujících kroků.
Disky připojíte a odemknete pomocí následujících kroků.
V Azure Portal přejděte k vaší objednávce Data Box Disk. Vyhledejte ho přechodem na Všeobecné > všechny prostředky a poté vyberte svou objednávku disku Data Box.
Stáhněte si sadu nástrojů Data Box Disk odpovídající klientovi pro Windows. Tato sada nástrojů obsahuje 3 nástroje: Data Box Disk Unlock, Data Box Disk Validation a Data Box Disk Split Copy.
Poznámka:
PowerShell ISE se nepodporuje pro nástroje Data Box Disk Tools.
Tento postup vyžaduje pouze nástroj Data Box Disk Unlock. Zbývající nástroje se použijí v dalších krocích.
Rozbalte sadu nástrojů na stejném počítači, který budete používat ke kopírování dat.
Ve stejném počítači otevřete okno příkazového řádku nebo spusťte Windows PowerShell jako správce.
Ověřte, že klientský počítač splňuje požadavky na operační systém pro nástroj Data Box Unlock. Spusťte systémovou kontrolu ve složce obsahující extrahovaný sadu nástrojů Data Box Disk, jak je znázorněno v následujícím příkladu.
.\DataBoxDiskUnlock.exe /SystemCheck
Následující ukázkový výstup potvrzuje, že klientský počítač splňuje požadavky operačního systému.
Spusťte DataBoxDiskUnlock.exe a zadejte klíč získaný v části Získat váš klíč. Klíč se odešle jako hodnota parametru Passkey , jak je znázorněno v následujícím příkladu.
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
Úspěšná odpověď obsahuje písmeno jednotky přiřazené k disku, jak je ukázáno na následujícím příkladu výstupu.
Opakujte tento postup odemknutí vždy, když v budoucnu znovu vložíte disk. Pokud potřebujete pomoc s odemčením Data Box Disku, použijte help příkaz, jak je znázorněno v následujícím ukázkovém kódu a ukázkovém výstupu.
.\DataBoxDiskUnlock.exe /help
Po odemknutí disku můžete zobrazit obsah disku.
Poznámka:
Neformátujte ani neupravujte obsah ani existující strukturu souborů disku.
Pokud při odemykání disků narazíte na nějaké problémy, přečtěte si, jak řešit potíže s odemykáním.
Pokud chcete připojit a odemknout hardwarové šifrované disky Data Boxu na počítači s Linuxem, proveďte následující kroky.
Čip TPM (Trusted Platform Module) musí být povolený v systémech Linux pro jednotky SATA. Pokud chcete povolit TPM, nastavte libata.allow_tpm na 1 úpravou konfigurace GRUB, jak je znázorněno v následujících příkladech specifických pro distribuci. Další podrobnosti najdete na veřejném wikiwebu Drive-Trust-Alliance umístěném na https://github.com/Drive-Trust-Alliance/sedutil/wikiadrese .
Varování
Povolení modulu TPM na zařízení může vyžadovat restart.
Následující příklad obsahuje reboot příkaz. Před spuštěním skriptu se ujistěte, že se neztratí žádná data.
Pro aktivaci čipu TPM pro CentOS použijte následující příkazy.
sudo nano /etc/default/grub
Další. ručně přidejte do argumentu příkazového řádku grub "libata.allow_tpm=1".
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Pro systémy založené na systému BIOS: grub2-mkconfig -o /boot/grub2/grub.cfg
Pro systémy založené na rozhraní UEFI: grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
reboot
Nakonec ověřte, že je nastavení TPM správně nastavené, a to kontrolou spouštěcí image.
cat /proc/cmdline
K povolení čipu TPM pro Ubuntu/Debian použijte následující příkazy.
sudo nano /etc/default/grub
Potom do argumentu příkazového řádku grubu ručně přidejte "libata.allow_tpm=1".
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Aktualizujte GRUB a restartujte.
sudo update-grub
reboot
Nakonec ověřte, že je nastavení TPM správně nakonfigurované, a to kontrolou spouštěcí image.
cat /proc/cmdline
---
Stáhněte sadu nástrojů Data Box Disk. Extrahujte a zkopírujte nástroj Data Box Disk Unlock Utility na místní disk ve vašem počítači.
Stáhněte si nástroj SEDUtil. Další informace najdete na veřejném wikiwebu Drive-Trust-Alliance.
Důležité
SEDUtil je externí nástroj pro samonastavovací šifrovací disky. Microsoft to nespravuje. Další informace, včetně licenčních informací pro tento nástroj, naleznete na adrese https://sedutil.com/.
Pomocí následujícího příkladu extrahujte SEDUtil do místní cesty na počítači a vytvořte symbolický odkaz na cestu nástroje. Alternativně můžete přidat cestu nástroje do PATH proměnné prostředí.
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
Příkaz sedutil-cli –scan zobrazí seznam všech jednotek připojených k serveru. Příkaz je nezávislý na distribuci.
sudo sedutil-cli --scan
Následující příklad výstupu potvrzuje, že se ověření úspěšně dokončilo.
Disky Azure je možné identifikovat pomocí následujícího příkazu. Sériová čísla disku lze ověřit pro svazek pomocí následujícího příkazu.
sedutil-cli --query <volume>
Spusťte nástroj Data Box Disk Unlock Utility ze sady nástrojů Pro Linux extrahovaný v předchozím kroku. Zadejte klíč z webu Azure Portal, který jste získali v části Připojení k diskům . Volitelně můžete zadat seznam šifrovaných svazků BitLockeru, které se mají odemknout. Klíč pro přístup a seznam svazků by se měly zadat v jednoduchých uvozovkách, jak je znázorněno v následujícím příkladu.
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
Následující příklad výstupu označuje, že svazek byl úspěšně odemknut. Přípojný bod se také zobrazí pro svazek, do nějž se dají vaše data zkopírovat.
Důležité
Opakujte kroky pro odemknutí disku pro jakékoli budoucí vložení disku.
Přepínač nápovědy můžete použít, pokud potřebujete další pomoc s nástrojem Data Box Disk Unlock Utility, jak je znázorněno v následujícím příkladu.
sudo ./DataBoxDiskUnlock /Help
Následující obrázek ukazuje ukázkový výstup.
Po odemknutí disku můžete přejít na přípojný bod a zobrazit obsah disku. Teď jste připraveni zkopírovat data do složek na základě požadovaného cílového datového typu.
Po dokončení kopírování dat na disk nezapomeňte disk bezpečně odpojit a odebrat pomocí následujícího příkazu.
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'>
/Unmount /SED
Následující příklad výstupu potvrzuje, že se svazek úspěšně odpojí.
Data na disku můžete ověřit připojením k počítači s Windows s podporovaným operačním systémem. Před připojením disků k místnímu počítači nezapomeňte zkontrolovat požadavky operačního systému pro operační systém Windows.
Pomocí následujících kroků odemkněte disky se samošifrováním pomocí počítačů se systémem Windows.
Stáhněte sadu nástrojů Data Box Disk pro klienty Windows a extrahujte ji do stejného počítače. I když sada nástrojů obsahuje čtyři nástroje, pro hardware šifrované disky se používá pouze nástroj Data Box SED Unlock.
Připojte Data Box Disk k dostupnému připojení SATA 3 na počítači s Windows.
Spuštěním následujícího příkazu pomocí příkazového řádku nebo PowerShellu odemkněte disky se samošifrováním.
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
Následující příklad výstupu potvrzuje, že disk byl úspěšně odemknut.
Nezapomeňte před vysunutím bezpečně odebrat jednotky.
Pokud při odemknutí disků narazíte na problémy, projděte si článek o řešení potíží s odemknutím.
Pomocí následujících kroků se připojte a odemkněte softwarové šifrované disky Data Boxu na počítači s Linuxem.
Na webu Azure Portal přejděte na Obecné > podrobnosti o zařízení.
Stáhněte sadu nástrojů Data Box Disk. Extrahujte a zkopírujte nástroj Data Box Disk Unlock Utility do místní cesty na vašem počítači.
Přejděte do složky obsahující sadu nástrojů Data Box Disk. Otevřete okno terminálu v klientovi s Linuxem a změňte oprávnění k souboru tak, aby povolte provádění, jak je znázorněno v následující ukázce:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
chmod Po provedení příkazu ověřte, že se oprávnění k souboru změnila spuštěním ls příkazu, jak je znázorněno v následujícím ukázkovém výstupu.
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
Spuštěním následujícího skriptu nainstalujte binární soubory Data Box Disk Unlock. Pomocí sudo spusťte příkaz jako uživatel root. V terminálu se zobrazí potvrzení, které vás upozorní na úspěšnou instalaci.
sudo ./DataBoxDiskUnlock_Prep.sh
Skript ověří, že váš klientský počítač používá podporovaný operační systém, jak je znázorněno v ukázkovém výstupu.
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
Zadáním y pokračujte v instalaci. Skript nainstaluje následující balíčky:
epel-release – úložiště obsahující následující tři balíčky.
dislocker a fuse-dislocker – nástroje pro dešifrování šifrovaných disků BitLockeru.
ntfs-3g – balíček, který pomáhá připojit svazky NTFS.
Oznámení se zobrazí v terminálu, aby vás informovalo, že balíčky jsou úspěšně nainstalovány.
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
Spusťte nástroj Data Box Disk Unlock a zadejte klíč načtený z webu Azure Portal. Volitelně můžete zadat seznam sériových čísel zašifrovaných nástrojem BitLocker, která se mají odemknout. Klíč a sériová čísla by měly být obsaženy v jednoduchých uvozovkách, jak je znázorněno.
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
Následující ukázkový výstup potvrzuje, že svazek byl úspěšně odemknut. Přípojný bod se také zobrazí pro svazek, do nějž se dají vaše data zkopírovat.
Opakujte tento postup odemknutí vždy, když v budoucnu znovu vložíte disk. Použijte příkaz help pro další pomoc s nástrojem pro odemykání disků Data Box.
sudo //DataBoxDiskUnlock /Help
Níže je uveden ukázkový výstup.
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
Po odemknutí disku můžete přejít na přípojný bod a zobrazit obsah disku. Nyní jste připraveni ke kopírování dat do složek BlockBlob nebo PageBlob.
Poznámka:
Neformátujte ani neupravujte obsah ani existující strukturu souborů disku.
Po zkopírování požadovaných dat na disk nezapomeňte disk bezpečně odpojit a odebrat pomocí následujícího příkazu.
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2'
Následující příklad výstupu potvrzuje, že se svazek úspěšně odpojí.
Další kroky
V tomto kurzu jste se dozvěděli o tématech spojených s Azure Data Box Diskem, například:
- Rozbalte váš Data Box Disk
- Připojit se k diskům a získat klíč
- Odemknutí disků v klientovi pro Windows
- Odemknout disky v klientovi pro Linux
V dalším kurzu se dozvíte, jak na Data Box Disk zkopírovat data.
