Migrace ze služby Azure Disk Encryption na šifrování na hostiteli

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli nebo zvažte velikosti důvěrných virtuálních počítačů s šifrováním disku s operačním systémem pro důvěrné výpočetní úlohy. Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Tento článek obsahuje podrobné pokyny k migraci virtuálních počítačů ze služby Azure Disk Encryption (ADE) na šifrování na hostiteli. Proces migrace vyžaduje vytvoření nových disků a virtuálních počítačů, protože místní převod se nepodporuje.

Přehled migrace

Azure Disk Encryption (ADE) šifruje data v rámci virtuálního počítače pomocí nástroje BitLocker (Windows) nebo dm-crypt (Linux), zatímco šifrování na hostiteli šifruje data na úrovni hostitele virtuálního počítače bez využití prostředků procesoru virtuálního počítače. Šifrování na hostiteli vylepšuje výchozí šifrování na straně serveru (SSE) Azure tím, že poskytuje komplexní šifrování pro všechna data virtuálních počítačů, včetně dočasných disků, mezipamětí a toků dat mezi výpočetními prostředky a úložištěm.

Další informace najdete v tématu Přehled možností šifrování spravovaných disků a Povolení kompletního šifrování pomocí šifrování na hostiteli.

Omezení a aspekty migrace

Než začnete s procesem migrace, mějte na paměti tato důležitá omezení a důležité informace, které ovlivňují vaši strategii migrace:

  • Žádná místní migrace: Není možné přímo převádět disky šifrované pomocí ADE na šifrování v hostiteli. Migrace vyžaduje vytvoření nových disků a virtuálních počítačů.

  • Omezení disku s operačním systémem Linux: Zakázání ADE na discích s operačním systémem Linux není podporováno. U virtuálních počítačů s Linuxem s disky operačního systému šifrovanými pomocí ADE musíte vytvořit nový virtuální počítač s novým diskem s operačním systémem.

  • Vzory šifrování ADE pro Windows: Na virtuálních počítačích s Windows může Azure Disk Encryption šifrovat jenom samotný disk s operačním systémem NEBO všechny disky (OS + datové disky). Na virtuálních počítačích s Windows není možné šifrovat jenom datové disky.

  • Trvalost příznaku UDE: Disky šifrované pomocí služby Azure Disk Encryption mají příznak sjednoceného šifrování dat (UDE), který přetrvává i po dešifrování. Snímky i kopie disků pomocí možnosti Kopírovat zachovávají tento příznak UDE. Migrace vyžaduje vytvoření nových spravovaných disků pomocí metody Upload a kopírování dat objektů blob virtuálního pevného disku, které vytvoří nový diskový objekt bez jakýchkoli metadat ze zdrojového disku.

  • Vyžaduje se výpadek: Proces migrace vyžaduje výpadek virtuálního počítače pro operace disků a znovuvytvoření virtuálního počítače.

  • Virtuální počítače připojené k doméně: Pokud jsou vaše virtuální počítače součástí domény služby Active Directory, vyžadují se další kroky:

    • Původní virtuální počítač musí být před odstraněním odebrán z domény.
    • Po vytvoření nového virtuálního počítače se musí znovu připojit k doméně.
    • U virtuálních počítačů s Linuxem je možné připojení k doméně provést pomocí rozšíření Azure AD.

    Další informace naleznete v tématu Co je Microsoft Entra Domain Services?

Požadavky

Před zahájením migrace:

  1. Zálohování dat: Před zahájením procesu migrace vytvořte zálohy všech důležitých dat.

  2. Otestujte proces: Pokud je to možné, nejprve otestujte proces migrace na neprodukčním virtuálním počítači.

  3. Příprava šifrovacích prostředků: Ujistěte se, že velikost virtuálního počítače podporuje šifrování v hostiteli. Tuto funkci podporuje většina aktuálních velikostí virtuálních počítačů. Další informace o požadavcích na velikost virtuálních počítačů najdete v tématu Povolení komplexního šifrování pomocí šifrování na hostiteli.

  4. Konfigurace dokumentu: Zaznamená aktuální konfiguraci virtuálního počítače, včetně nastavení sítě, rozšíření a připojených prostředků.

Kroky migrace

Následující kroky migrace fungují pro většinu scénářů s konkrétními rozdíly uvedenými pro jednotlivé operační systémy.

Důležité

Virtuální počítače s Linuxem s šifrovanými disky operačního systému nelze dešifrovat na místě. U těchto virtuálních počítačů musíte vytvořit nový virtuální počítač s novým diskem s operačním systémem a migrovat data. Po kontrole obecného postupu níže si projděte část Migrace virtuálních počítačů s Linuxem se šifrovanými disky operačního systému .

Zakázání služby Azure Disk Encryption

Prvním krokem je zakázat stávající službu Azure Disk Encryption, pokud je to možné:

Po spuštění příkazu ADE disable se stav šifrování virtuálního počítače na webu Azure Portal okamžitě změní na SSE + PMK. Samotný proces dešifrování na úrovni operačního systému ale nějakou dobu trvá a závisí na množství zašifrovaných dat. Před pokračováním k dalšímu kroku musíte ověřit, že dešifrování na úrovni operačního systému je dokončené.

Pro virtuální počítače s Windows:

  • Otevřete příkazový řádek jako správce a spusťte: manage-bde -status
  • Ověřte, že všechny svazky zobrazují stav "Plně dešifrováno".
  • Procento dešifrování by mělo zobrazovat 100% pro všechny šifrované svazky.

Pro virtuální počítače s Linuxem (pouze datové disky):

  • Spusťte sudo cryptsetup status /dev/mapper/<device-name>.
  • Ověření, že šifrovaná zařízení už nejsou aktivní
  • Zkontrolujte pomocí: lsblk abyste potvrdili, že žádná šifrovaná mapování nezůstanou.

Než budete pokračovat v migraci disku, počkejte na úplné dešifrování, abyste zajistili integritu dat.

Vytvoření nových spravovaných disků

Vytvořte nové disky, které nepřenášejí metadata šifrování ADE. Tento proces funguje pro virtuální počítače s Windows i Linuxem, přičemž je třeba zohlednit některé specifické ohledy na disky operačního systému Linux.

Důležité

Při kopírování spravovaného disku z Azure je potřeba přidat posun o 512 bajtů. Důvodem je to, že Azure při hlášení velikosti disku vynechá zápatí. Pokud to neuděláte, kopírování se nezdaří. Následující skript už to udělá za vás.

Pokud vytváříte disk s operačním systémem, přidejte --hyper-v-generation <yourGeneration> do az disk createsouboru .

# Set variables
sourceDiskName="MySourceDisk"
sourceRG="MyResourceGroup"
targetDiskName="MyTargetDisk"
targetRG="MyResourceGroup"
targetLocation="eastus"
# For OS disks, specify either "Windows" or "Linux"
# For data disks, omit the targetOS variable and --os-type parameter
targetOS="Windows"

# Get source disk size in bytes
sourceDiskSizeBytes=$(az disk show -g $sourceRG -n $sourceDiskName --query '[diskSizeBytes]' -o tsv)

# Create a new empty target disk with upload capability
az disk create -g $targetRG -n $targetDiskName -l $targetLocation --os-type $targetOS --for-upload --upload-size-bytes $(($sourceDiskSizeBytes+512)) --sku standard_lrs

# Generate SAS URIs for both disks
targetSASURI=$(az disk grant-access -n $targetDiskName -g $targetRG --access-level Write --duration-in-seconds 86400 --query [accessSas] -o tsv)

sourceSASURI=$(az disk grant-access -n $sourceDiskName -g $sourceRG --access-level Read --duration-in-seconds 86400 --query [accessSas] -o tsv)

# Copy the disk data using AzCopy
azcopy copy $sourceSASURI $targetSASURI --blob-type PageBlob

# Revoke SAS access when complete
az disk revoke-access -n $sourceDiskName -g $sourceRG

az disk revoke-access -n $targetDiskName -g $targetRG

Tato metoda vytvoří nové disky bez metadat služby Azure Disk Encryption (příznak UDE), což je nezbytné pro čistou migraci.

Vytvoření nového virtuálního počítače s šifrováním

Vytvořte nový virtuální počítač pomocí nově vytvořených disků s zvolenou metodou šifrování.

V závislosti na požadavcích na zabezpečení si můžete vybrat z několika možností šifrování. Tento článek obsahuje postup vytvoření nového virtuálního počítače s šifrováním na hostiteli, což je nejběžnější cesta migrace. Další možnosti šifrování jsou popsané v přehledu možností šifrování spravovaných disků.

Vytvoření nového virtuálního počítače s šifrováním na hostiteli

Šifrování v hostiteli poskytuje nejbližší ekvivalent pokrytí služby Azure Disk Encryption a je popsáno v této části.

Pro disky s operačním systémem:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

Pro datové disky:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

Ověření a konfigurace nových disků

Po vytvoření nového virtuálního počítače s šifrováním na hostiteli je potřeba ověřit a správně nakonfigurovat disky pro váš operační systém.

Pro virtuální počítače s Windows:

  • Ověření správného přiřazení písmen na disku
  • Zkontrolujte, že aplikace mají správný přístup k diskům.
  • Aktualizace všech aplikací nebo skriptů, které odkazují na konkrétní ID disků

Pro virtuální počítače s Linuxem:

  • Aktualizace /etc/fstab pomocí nových identifikátorů UUID disku
  • Připojení datových disků ke správným přípojným bodům
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

Windows i Linux můžou vyžadovat další kroky konfigurace specifické pro vaše aplikace nebo úlohy.

Ověření šifrování a vyčištění

Ověřte, že je šifrování na hostiteli správně nakonfigurované na virtuálních počítačích s Windows i Linuxem.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

Po potvrzení, že šifrování na hostiteli funguje správně:

  1. Testování funkčnosti virtuálního počítače za účelem správného fungování aplikací
  2. Ověřte, že jsou data přístupná a nedotčená.
  3. Odstraňte původní zdroje, až budete s migrací spokojeni.
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Migrace virtuálních počítačů s Linuxem s šifrovanými disky operačního systému

Vzhledem k tomu, že šifrování na discích s operačním systémem Linux nemůžete zakázat, proces se liší od Windows.

  1. Vytvoření nového virtuálního počítače s povoleným šifrováním na hostiteli

    az vm create \
  --resource-group "MyResourceGroup" \
  --name "MyVM-New" \
  --image "Ubuntu2204" \
  --encryption-at-host true \
  --admin-username "azureuser" \
  --generate-ssh-keys

  2. Možnosti migrace dat:

    • Pro data aplikací: Kopírování dat pomocí SCP, rsync nebo jiných metod přenosu souborů
    • Konfigurace: Replikace důležitých konfiguračních souborů a nastavení
    • Pro složité aplikace: Použijte postupy zálohování a obnovení vhodné pro vaše aplikace.
    # Example of using SCP to copy files from source to new VM
az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
  --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"

Po vytvoření nového virtuálního počítače:

  1. Nakonfigurujte nový virtuální počítač tak, aby odpovídal původnímu prostředí.

    • Nastavení stejných konfigurací sítě
    • Instalace stejných aplikací a služeb
    • Použít stejná nastavení zabezpečení

  2. Důkladně otestujte před vyřazením původního virtuálního počítače z provozu.

Tento přístup funguje pro virtuální počítače s Windows i Linuxem, ale je zvlášť důležitý pro virtuální počítače s Linuxem se šifrovanými disky operačního systému, které se nedají dešifrovat na místě.

Pokyny k migraci dat najdete v tématu Nahrání virtuálního pevného disku do Azure a kopírování souborů do virtuálního počítače s Linuxem pomocí SCP.

Důležité informace o virtuálních počítačích připojených k doméně

Pokud jsou vaše virtuální počítače členy domény služby Active Directory, během procesu migrace se vyžadují další kroky:

Kroky pro doménu před migrací

  1. Členství v doméně dokumentu: Zaznamená aktuální doménu, organizační jednotku (OU) a všechna speciální členství ve skupinách.
  2. Účet počítače s poznámkami: Účet počítače ve službě Active Directory musí být spravovaný.
  3. Zálohování konfigurací specifických pro doménu: Uložte všechna nastavení specifická pro doménu, zásady skupiny nebo certifikáty.

Proces odebrání domény

  1. Odebrat z domény: Před odstraněním původního virtuálního počítače ho z domény odeberte některou z těchto metod:

    • Použijte Remove-Computer cmdlet PowerShellu ve Windows
    • Změna na pracovní skupinu pomocí dialogového okna Vlastnosti systému
    • Ruční odstranění účtu počítače z Active Directory Users and Computers

  2. Vyčištění služby Active Directory: Odebrání všech osamocených účtů počítačů nebo položek DNS

Opětovné připojení k doméně po migraci

  1. Připojte nový virtuální počítač k doméně: Po vytvoření nového virtuálního počítače s šifrováním na hostiteli:

    • Pro Windows: Použijte Add-Computer rutinu PowerShellu nebo vlastnosti systému
    • Pro Linux: Použití rozšíření připojení k doméně Azure AD nebo ruční konfigurace

  2. Obnovení nastavení domény: Znovu použít všechny konfigurace specifické pro doménu, zásady skupiny nebo certifikáty

  3. Ověření funkčnosti domény: Testování ověřování domény, aplikace zásad skupiny a přístup k síťovým prostředkům

Připojení k doméně Linuxu

Pro virtuální počítače s Linuxem můžete použít rozšíření virtuálního počítače Azure AD Domain Services:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Další informace naleznete v tématu Co je Microsoft Entra Domain Services?

Důležité aspekty domény

  • Nový virtuální počítač má jiný identifikátor SID počítače, který může mít vliv na některé aplikace.
  • Lístky protokolu Kerberos a přihlašovací údaje uložené v mezipaměti se musí aktualizovat.
  • Některé aplikace integrované do domény můžou vyžadovat rekonfiguraci.
  • Plánování potenciální dočasné ztráty doménových služeb během migrace

Ověření po migraci

Po dokončení migrace ověřte, že šifrování na hostiteli funguje správně:

  1. Zkontrolujte šifrování ve stavu hostitele: Ověřte, že je povolené šifrování v hostiteli:

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

  2. Funkce testovacího virtuálního počítače: Ujistěte se, že vaše aplikace a služby fungují správně.

  3. Ověření šifrování disku: Ověřte, že jsou disky správně zašifrované:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState

  4. Monitorování výkonu: Porovnejte výkon před migrací a po migraci, abyste potvrdili očekávaná vylepšení.

Další informace o ověřování šifrování najdete v tématu Povolení kompletního šifrování pomocí šifrování na hostiteli.

Cleanup

Po úspěšné migraci a ověření:

  1. Odstranění starého virtuálního počítače: Odebrání původního virtuálního počítače šifrovaného pomocí ADE

  2. Odstranění starých disků: Odeberte původní šifrované disky.

  3. Aktualizace zásad přístupu ke službě Key Vault: Jiná řešení pro šifrování disků používají standardní mechanismy autorizace služby Key Vault. Pokud už službu Key Vault pro Azure Disk Encryption nepotřebujete, aktualizujte její zásady přístupu a zakažte speciální nastavení šifrování disku:

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
  1. Vyčištění prostředků: Odebrání jakýchkoli dočasných prostředků vytvořených během migrace
  2. Dokumentace k aktualizaci: Aktualizujte dokumentaci infrastruktury tak, aby odrážela migraci na šifrování na hostiteli.

Běžné problémy a řešení

Velikost virtuálního počítače nepodporuje šifrování na hostiteli

Řešení: V případě potřeby zkontrolujte seznam podporovaných velikostí virtuálních počítačů a změňte jeho velikost.

Po migraci se virtuální počítač nespustí

Řešení: Zkontrolujte, jestli jsou všechny disky správně připojené a že je disk s operačním systémem nastavený jako spouštěcí disk.

Šifrování na hostiteli není povolené

Řešení: Ověřte, že byl virtuální počítač vytvořen s parametrem --encryption-at-host true a že vaše předplatné tuto funkci podporuje.

Problémy s výkonem přetrvávají

Řešení: Ověřte, že je správně povolené šifrování hostitele a jestli velikost virtuálního počítače podporuje očekávaný výkon.

Další kroky

  • Last updated on