Tento článek obsahuje odpovědi na nejčastější dotazy týkající se služby Azure Disk Encryption pro virtuální počítače s Linuxem. Další informace o této službě najdete v tématu Přehled služby Azure Disk Encryption.
Co je Azure Disk Encryption pro virtuální počítače s Linuxem?
Azure Disk Encryption pro virtuální počítače s Linuxem používá funkci dm-crypt linuxu k zajištění úplného šifrování disku s operačním systémem* a datových disků. Kromě toho poskytuje šifrování dočasného disku při použití funkce EncryptFormatAll. Obsah se šifruje z virtuálního počítače do back-endu úložiště pomocí klíče spravovaného zákazníkem.
Kde je Azure Disk Encryption v obecné dostupnosti (GA)?
Azure Disk Encryption pro virtuální počítače s Linuxem je obecně dostupná ve všech veřejných oblastech Azure.
Jaká uživatelská prostředí jsou k dispozici se službou Azure Disk Encryption?
Obecná dostupnost služby Azure Disk Encryption podporuje šablony Azure Resource Manageru, Azure PowerShell a Azure CLI. Různá uživatelská prostředí poskytují flexibilitu. Pro virtuální počítače máte tři různé možnosti povolení šifrování disků. Další informace o uživatelském prostředí a podrobných pokynech dostupných ve službě Azure Disk Encryption najdete ve scénářích služby Azure Disk Encryption pro Linux.
Kolik stojí Azure Disk Encryption?
Za šifrování disků virtuálních počítačů pomocí služby Azure Disk Encryption se neúčtují žádné poplatky, ale k používání služby Azure Key Vault se účtují poplatky. Další informace o nákladech na Azure Key Vault najdete na stránce s cenami služby Key Vault.
Jak začít používat Službu Azure Disk Encryption?
Začněte tím, že si přečtete přehled služby Azure Disk Encryption.
Jaké velikosti virtuálních počítačů a operační systémy podporují službu Azure Disk Encryption?
Přehled služby Azure Disk Encryption obsahuje seznam velikostí virtuálních počítačů a operačních systémů virtuálních počítačů , které podporují službu Azure Disk Encryption.
Můžu pomocí služby Azure Disk Encryption šifrovat spouštěcí i datové svazky?
Ano, spouštěcí i datové svazky můžete šifrovat nebo můžete datový svazek zašifrovat bez nutnosti nejprve šifrovat svazek operačního systému.
Po zašifrování svazku operačního systému se zakázání šifrování na svazku operačního systému nepodporuje. U virtuálních počítačů s Linuxem ve škálovací sadě je možné šifrovat pouze datový svazek.
Můžu šifrovat nepřipojíný svazek pomocí služby Azure Disk Encryption?
Ne, Azure Disk Encryption šifruje jenom připojené svazky.
Co je šifrování na straně serveru úložiště?
Šifrování na straně serveru úložiště šifruje spravované disky Azure ve službě Azure Storage. Spravované disky se ve výchozím nastavení šifrují pomocí šifrování na straně serveru pomocí klíče spravovaného platformou (od 10. června 2017). Šifrování spravovaných disků s vlastními klíči můžete spravovat zadáním klíče spravovaného zákazníkem. Další informace najdete v tématu: Šifrování spravovaných disků Azure na straně serveru.
Jak se Azure Disk Encryption liší od jiných řešení šifrování disků a kdy mám použít jednotlivá řešení?
Viz Přehled možností šifrování spravovaných disků.
Návody obměňovat tajné kódy nebo šifrovací klíče?
Pokud chcete tajné kódy otočit, stačí zavolat stejný příkaz, který jste původně použili k povolení šifrování disku a zadat jiný trezor klíčů Key Vault. Pokud chcete šifrovací klíč klíče otočit, zavolejte stejný příkaz, který jste původně použili k povolení šifrování disku, a zadejte nové šifrování klíče.
Upozorňující
- Pokud jste dříve použili Azure Disk Encryption s aplikací Microsoft Entra zadáním přihlašovacích údajů Microsoft Entra k šifrování tohoto virtuálního počítače, musíte tuto možnost dál používat k šifrování virtuálního počítače. Na tomto šifrovaném virtuálním počítači nemůžete použít Azure Disk Encryption, protože se nejedná o podporovaný scénář, což znamená, že přechod mimo aplikaci Microsoft Entra pro tento šifrovaný virtuální počítač ještě není podporovaný.
Návody přidat nebo odebrat šifrovací klíč klíče, pokud jsem ho původně nepoužíl?
Pokud chcete přidat šifrovací klíč klíče, zavolejte příkaz enable znovu a předejte parametr šifrovacího klíče klíče klíče. Pokud chcete šifrovací klíč klíče odebrat, zavolejte znovu příkaz enable bez parametru šifrovacího klíče klíče.
Umožňuje vám Azure Disk Encryption použít vlastní klíč (BYOK)?
Ano, můžete zadat vlastní šifrovací klíče klíče. Tyto klíče jsou chráněné ve službě Azure Key Vault, což je úložiště klíčů pro Službu Azure Disk Encryption. Další informace o scénářích podpory šifrovacích klíčů klíčů najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.
Můžu použít šifrovací klíč vytvořený v Azure?
Ano, službu Azure Key Vault můžete použít k vygenerování šifrovacího klíče pro šifrování disků Azure. Tyto klíče jsou chráněné ve službě Azure Key Vault, což je úložiště klíčů pro Službu Azure Disk Encryption. Další informace o šifrovacím klíči klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.
Můžu k ochraně šifrovacích klíčů použít místní službu pro správu klíčů nebo HSM?
Nemůžete použít místní službu pro správu klíčů ani HSM k ochraně šifrovacích klíčů pomocí služby Azure Disk Encryption. K ochraně šifrovacích klíčů můžete použít pouze službu Azure Key Vault. Další informace o scénářích podpory šifrovacího klíče klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.
Jaké jsou požadavky na konfiguraci služby Azure Disk Encryption?
Pro Službu Azure Disk Encryption existují požadavky. Přečtěte si článek Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption pro vytvoření nového trezoru klíčů nebo nastavení existujícího trezoru klíčů pro přístup k šifrování disků pro povolení šifrování a zabezpečení tajných kódů a klíčů. Další informace o scénářích podpory šifrovacího klíče klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.
Jaké jsou požadavky na konfiguraci služby Azure Disk Encryption s aplikací Microsoft Entra (předchozí verze)?
Pro Službu Azure Disk Encryption existují požadavky. Informace o vytvoření aplikace Microsoft Entra, vytvoření nového trezoru klíčů nebo nastavení existujícího trezoru klíčů pro přístup k šifrování disků pro povolení šifrování a zabezpečení tajných kódů a klíčů najdete v obsahu Azure Disk Encryption s obsahem Microsoft Entra ID . Další informace o scénářích podpory šifrovacího klíče klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption pomocí Microsoft Entra ID.
Je azure Disk Encryption stále podporováno pomocí aplikace Microsoft Entra (předchozí verze)?
Ano. Šifrování disků pomocí aplikace Microsoft Entra je stále podporováno. Při šifrování nových virtuálních počítačů se ale doporučuje místo šifrování pomocí aplikace Microsoft Entra použít novou metodu.
Můžu migrovat virtuální počítače, které byly šifrované pomocí aplikace Microsoft Entra, na šifrování bez aplikace Microsoft Entra?
V současné době neexistuje přímá cesta migrace pro počítače, které byly šifrované pomocí aplikace Microsoft Entra pro šifrování bez aplikace Microsoft Entra. Kromě toho neexistuje přímá cesta od šifrování bez aplikace Microsoft Entra k šifrování pomocí aplikace AD.
Jakou verzi Azure PowerShellu Azure Disk Encryption podporuje?
Ke konfiguraci služby Azure Disk Encryption použijte nejnovější verzi sady SDK Azure PowerShellu. Stáhněte si nejnovější verzi Azure PowerShellu. Azure Disk Encryption nepodporuje sadu Azure SDK verze 1.1.0.
Poznámka:
Rozšíření Microsoft.OSTCExtension.AzureDiskEncryptionForLinux ve verzi Preview pro Linux Disk Encryption je zastaralé. Toto rozšíření bylo publikováno pro verzi Preview služby Azure Disk Encryption. V testovacím nebo produkčním nasazení byste neměli používat verzi Preview rozšíření.
V případě scénářů nasazení, jako je Azure Resource Manager (ARM), kde potřebujete nasadit rozšíření Azure Disk Encryption pro virtuální počítač s Linuxem, abyste povolili šifrování na virtuálním počítači s Linuxem IaaS, musíte použít produkční rozšíření Microsoft.Azure.Security.AzureDiskEncryptionForLinux.
Můžu použít službu Azure Disk Encryption na vlastní image Linuxu?
Azure Disk Encryption nemůžete použít ve vlastní imagi Linuxu. Podporují se jenom image Linuxu z galerie pro podporované distribuce, které byly dříve uvedené. Vlastní image Linuxu se v současné době nepodporují.
Můžu na virtuální počítač s Linuxem Red Hat, který používá aktualizaci yum, použít aktualizace?
Ano, na virtuálním počítači s Red Hat Linuxem můžete provést aktualizaci yum. Další informace najdete v tématu Azure Disk Encryption v izolované síti.
Jaký je doporučený pracovní postup Azure Disk Encryption pro Linux?
Doporučuje se, aby měl následující pracovní postup nejlepší výsledky v Linuxu:
- Začněte od nemodifikované image galerie akcií odpovídající požadované distribuci operačního systému a verzi.
- Zálohujte všechny připojené jednotky, které chcete zašifrovat. Tato záloha umožňuje obnovení, pokud dojde k selhání, například pokud se virtuální počítač restartuje před dokončením šifrování.
- Šifrování (může trvat několik hodin nebo i dnů v závislosti na vlastnostech a velikosti připojených datových disků virtuálního počítače)
- Podle potřeby přizpůsobte a přidejte do image software.
Pokud tento pracovní postup není možný, může být alternativou k úplnému šifrování disku pomocí dm-cryptu závislosti na šifrování služby Storage (SSE) na úrovni účtu úložiště platformy.
Co je disk "Svazek Bek" nebo "/mnt/azure_bek_disk"?
"Svazek Bek" je místní datový svazek, který bezpečně ukládá šifrovací klíče pro šifrované virtuální počítače Azure.
Poznámka:
Neodstraňovat ani upravovat žádný obsah na tomto disku. Disk neodpojíte, protože pro všechny operace šifrování na virtuálním počítači IaaS je potřeba přítomnost šifrovacího klíče.
Jakou metodu šifrování azure Disk Encryption používá?
Azure Disk Encryption používá dešifrovací výchozí hodnotu aes-xts-plain64 s 256bitovým hlavním klíčem svazku.
Pokud používám EncryptFormatAll a zadám všechny typy svazků, vymažou se data na datových jednotkách, které jsme už zašifrovali?
Ne, data nebudou vymazána z datových jednotek, které jsou už šifrované pomocí služby Azure Disk Encryption. Podobně jako encryptFormatAll nešifroval jednotku operačního systému, nebude znovu šifrovat zašifrovanou datovou jednotku. Další informace naleznete v tématu EncryptFormatAll kritéria.
Podporuje se systém souborů XFS?
Podporuje se šifrování disků s operačním systémem XFS.
Šifrování datových disků XFS je podporováno pouze při použití parametru EncryptFormatAll. Tato možnost přeformátuje svazek a vymaže všechna data, která tam byla dříve. Další informace naleznete v tématu EncryptFormatAll kritéria.
Podporuje se změna velikosti oddílu operačního systému?
Změna velikosti šifrovaného disku s operačním systémem Azure Disk Encryption není podporovaná.
Můžu zálohovat a obnovit šifrovaný virtuální počítač?
Azure Backup poskytuje mechanismus zálohování a obnovení šifrovaných virtuálních počítačů ve stejném předplatném a oblasti. Pokyny najdete v tématu Zálohování a obnovení šifrovaných virtuálních počítačů pomocí služby Azure Backup. Obnovení šifrovaného virtuálního počítače do jiné oblasti se v současné době nepodporuje.
Kde můžu položit otázky nebo poskytnout zpětnou vazbu?
Můžete klást otázky nebo poskytovat zpětnou vazbu na stránce otázek Microsoft Q&A pro Službu Azure Disk Encryption.
Další kroky
V tomto dokumentu jste se dozvěděli více o nejčastějších otázkách souvisejících se službou Azure Disk Encryption. Další informace o této službě najdete v následujících článcích: