Scénáře azure Disk Encryption na virtuálních počítačích s Linuxem

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli . Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️

Azure Disk Encryption pro virtuální počítače s Linuxem používá funkci DM-Crypt Linuxu k zajištění plného šifrování disku disku s operačním systémem a datových disků. Služba dále umožňuje šifrovat dočasný disk funkcí EncryptFormatAll.

Služba Azure Disk Encryption je integrovaná se službou Azure Key Vault , která vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disků. Přehled služby najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem.

Požadavky

Šifrování disků je možné použít jen u virtuálních počítačů, které mají podporovanou velikost a operační systémy. Dále musí být splněny následující požadavky:

• Požadavky na virtuální počítače
• Požadavky na sítě
• Požadavky na úložiště šifrovacích klíčů

Ve všech případech byste měli pořídit snímek nebo vytvořit zálohu před zašifrovanými disky. Pokud máte zálohu a při šifrování dojde nečekaně k chybě, bude možné virtuální počítač obnovit. Virtuální počítače se spravovanými disky vyžadují před šifrováním zálohu. Po vytvoření zálohy můžete pomocí rutinySet-AzVMDiskEncryptionExtension zašifrovat spravované disky zadáním parametru -skipVmBackup. Další informace o zálohování a obnovení šifrovaných virtuálních počítačů najdete v tématu o Zálohování Azure.

Omezení

Pokud jste k šifrování virtuálního počítače použili službu Azure Disk Encryption s ID Microsoft Entra, musíte pokračovat v šifrování virtuálního počítače pomocí této možnosti. Podrobnější informace viz Azure Disk Encryption s Microsoft Entra ID (předchozí verze).

Při šifrování svazků s operačním systémem Linux bude potřeba virtuální počítač považovat za nedostupný. Důrazně doporučujeme vyhnout se přihlášením přes SSH, zatímco probíhá šifrování, aby nedocházelo k problémům, které blokují otevřené soubory, ke kterým je potřeba přistupovat během procesu šifrování. Pokud chcete zkontrolovat průběh, použijte rutinu Get-AzVMDiskEncryptionStatus v PowerShellu nebo příkaz vm encryption show v CLI. Tento proces může být očekáván trvat několik hodin pro objem OS o velikosti 30 GB, plus extra čas na šifrování datových svazků. Doba šifrování datového svazku je úměrná velikosti a množství datových svazků, pokud není použita možnost šifrovat celý formát.

Zákaz šifrování je na virtuálních počítačích s Linuxem podporovaný jen u datových svazků. Zakázání šifrování není podporováno u dat nebo svazků operačního systému, pokud je svazek operačního systému šifrovaný.

Azure Disk Encryption nefunguje v následujících linuxových scénářích, funkcích a technologiích:

• Šifrování virtuálních počítačů úrovně Basic nebo virtuálních počítačů vytvořených prostřednictvím metody vytvoření klasického virtuálního počítače
• Šifrování virtuálních počítačů řady v6 s dočasnými disky (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6, Epdsv6 nebo Endsv6). Další informace najdete na jednotlivých stránkách jednotlivých velikostí virtuálních počítačů uvedených na velikostech virtuálních počítačů v Azure.
• Zakázání šifrování na jednotce operačního systému nebo datové jednotce virtuálního počítače s Linuxem při šifrování jednotky operačního systému
• Šifrování disku operačního systému pro Linuxové škálovací sady virtuálních počítačů.
• Šifrování vlastních imagí na virtuálních počítačích s Linuxem
• Integrace s místním systémem pro správu klíčů
• Soubory Azure (sdílený systém souborů).
• Systém souborů NFS (Network File System).
• Dynamické svazky.
• Dočasné disky s operačním systémem
• Šifrování sdílených nebo distribuovaných systémů souborů, jako jsou (ale ne omezené na): DFS, GFS, DRDB a CephFS.
• Přesun šifrovaného virtuálního počítače do jiného předplatného nebo oblasti
• Vytvoření image nebo snímku šifrovaného virtuálního počítače a jeho použití k nasazení dalších virtuálních počítačů
• Výpis stavu systému jádra (kdump).
• Oracle ACFS (systém souborů clusteru ASM).
• Disky NVMe, jako jsou na velikostech virtuálních počítačů s vysokým výkonem nebo na velikostech optimalizovaných pro úložiště.
• Virtuální počítač s "vnořenými montážními body"; tj. více montážních bodů na jedné cestě (například "/1stmountpoint/data/2ndmountpoint").
• Virtuální počítač s datovou jednotkou namontovanou na vrchol složky operačního systému
• Virtuální počítač, na kterém je rozšířen logický svazek kořenového disku operačního systému s použitím datového disku.
• Změna velikosti disku s operačním systémem
• Řada velikostí virtuálních počítačů optimalizovaná pro úložiště "L".
• Virtuální počítače řady M s disky akcelerátoru zápisu
• Použití ADE na virtuální počítač, který má disky šifrované pomocí šifrování na straně hostitele nebo na straně serveru s využitím klíčů spravovaných zákazníkem (SSE + CMK). Použití SSE + CMK na datový disk nebo přidání datového disku s SSE + CMK nakonfigurovaným na virtuální počítač šifrovaný pomocí ADE je také nepodporovaný scénář.
• Migrace virtuálního počítače, který je šifrovaný pomocí ADE nebo byl někdy šifrovaný pomocí ADE, na šifrování na straně hostitele nebo na straně serveru pomocí klíčů spravovaných zákazníkem.
• Šifrování virtuálních počítačů v clusterech pro převzetí služeb při selhání
• Šifrování disků Azure ultra
• Šifrování disků SSD úrovně Premium v2
• Šifrování VM v předplatných, kde je povolena zásada Tajnosti by měly mít stanovenou maximální dobu platnosti s účinkem ODEPŘÍT.

Instalace nástrojů a připojení k Azure

Službu Azure Disk Encryption je možné povolit a spravovat prostřednictvím Azure CLI a Azure PowerShellu. K tomu je potřeba nainstalovat nástroje místně a připojit se k předplatnému Azure.

Azure CLI

Azure CLI 2.0 je nástroj příkazového řádku pro správu prostředků Azure. Rozhraní příkazového řádku je navržené tak, aby pružně dotazovala data, podporovala dlouhotrvající operace jako neblokující procesy a usnadnila skriptování. Můžete ho nainstalovat místně podle kroků v části Instalace Azure CLI.

Pokud se chcete přihlásit ke svému účtu Azure pomocí Azure CLI, použijte příkaz az login .

az login

Pokud chcete vybrat tenanta, pod který se chcete přihlásit, použijte:

az login --tenant <tenant>

Pokud máte více předplatných a chcete zadat konkrétní předplatné, získejte seznam předplatných pomocí příkazu az account list a zadejte příkazem az account set.

az account list
az account set --subscription "<subscription name or ID>"

Další informace najdete v tématu Začínáme s Azure CLI 2.0.

Azure PowerShell

Modul az Azure PowerShellu poskytuje sadu rutin, které ke správě prostředků Azure používají model Azure Resource Manageru . Můžete ho použít v prohlížeči s Azure Cloud Shellem nebo ho můžete nainstalovat na místní počítač podle pokynů v části Instalace modulu Azure PowerShell.

Pokud jste ho už nainstalovali místně, ujistěte se, že ke konfiguraci služby Azure Disk Encryption používáte nejnovější verzi sady Azure PowerShell SDK. Stáhněte si nejnovější verzi Azure PowerShellu.

Pokud se chcete přihlásit ke svému účtu Azure pomocí Azure PowerShellu, použijte rutinu Connect-AzAccount .

Connect-AzAccount

Pokud máte více předplatných a chcete ho zadat, pomocí rutiny Get-AzSubscription je vypíšete a pak rutinu Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

Spuštěním rutiny Get-AzContext ověříte, že je vybrané správné předplatné.

Pokud chcete ověřit, že jsou nainstalované rutiny Azure Disk Encryption, použijte rutinu Get-command :

Get-command *diskencryption*

Další informace najdete v tématu Začínáme s Azure PowerShellem.

Povolení šifrování na existujícím nebo spuštěném virtuálním počítači s Linuxem

V tomto scénáři můžete povolit šifrování pomocí šablony Resource Manageru, rutin PowerShellu nebo příkazů rozhraní příkazového řádku. Pokud potřebujete informace o schématu pro rozšíření virtuálního počítače, přečtěte si článek o rozšíření Azure Disk Encryption pro Linux .

Důležité

Vytvoření snímku nebo zálohování instance virtuálního počítače založeného na spravovaných discích mimo ni a před povolením služby Azure Disk Encryption je povinné. Snímek spravovaného disku můžete pořídit z portálu nebo prostřednictvím služby Azure Backup. Zálohy zajišťují, že možnost obnovení je možná v případě neočekávaného selhání během šifrování. Po vytvoření zálohy lze rutinu Set-AzVMDiskEncryptionExtension použít k šifrování spravovaných disků zadáním parametru -skipVmBackup. Příkaz Set-AzVMDiskEncryptionExtension selže s virtuálními počítači založenými na spravovaných discích, dokud se neprovede záloha a tento parametr se nezadá.

Šifrování nebo zakázání šifrování může způsobit restartování virtuálního počítače.

Pokud chcete šifrování zakázat, přečtěte si téma Zakázání šifrování a odebrání rozšíření šifrování.

Použití Azure CLI

Šifrování disků na šifrovaný virtuální pevný disk můžete povolit tak, že nainstalujete a použijete nástroj příkazového řádku Azure CLI . Můžete ho používat v prohlížeči pomocí služby Azure Cloud Shell nebo nainstalovat na místním počítači a používat ho v jakékoli relaci PowerShellu. Pokud chcete povolit šifrování u existujících nebo spuštěných virtuálních počítačů s Linuxem v Azure, použijte následující příkazy rozhraní příkazového řádku:

Povolte šifrování na spuštěném virtuálním počítači v Azure pomocí příkazu az vm encryption enable.

• Šifrování spuštěného virtuálního počítače:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Šifrování spuštěného virtuálního počítače pomocí KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI ke klíči KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače, použijte příkaz az vm encryption show .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Pokud chcete šifrování zakázat, přečtěte si téma Zakázání šifrování a odebrání rozšíření šifrování.

Pomocí PowerShellu

K povolení šifrování spuštěného virtuálního počítače v Azure použijte rutinu Set-AzVMDiskEncryptionExtension . Pořiďte snímek nebo zálohujte virtuální počítač pomocí služby Azure Backup , než se disky zašifrují. Parametr -skipVmBackup je již zadaný ve skriptech PowerShellu pro šifrování spuštěného virtuálního počítače s Linuxem.

• Šifrování spuštěného virtuálního počítače: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Skupina prostředků, virtuální počítač a trezor klíčů byly vytvořeny podle požadavků. Nahraďte MyVirtualMachineResourceGroup, MySecureVM a MySecureVault hodnotami. Upravte parametr -VolumeType tak, aby určil, které disky šifrujete.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

• Šifrování spuštěného virtuálního počítače pomocí KEK: Pokud šifrujete datové disky a ne disk s operačním systémem, budete možná muset přidat parametr -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI ke klíči KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače, použijte rutinu Get-AzVmDiskEncryptionStatus .

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Pokud chcete šifrování zakázat, přečtěte si téma Zakázání šifrování a odebrání rozšíření šifrování.

Použití šablony Resource Manageru

Šifrování disků můžete povolit na existujícím nebo spuštěném virtuálním počítači s Linuxem v Azure pomocí šablony Resource Manageru.

1. V šabloně Rychlého startu Azure klikněte na Nasadit do Azure .

2. Vyberte předplatné, skupinu prostředků, umístění skupiny prostředků, parametry, právní podmínky a smlouvu. Kliknutím na Vytvořit povolíte šifrování u existujícího nebo spuštěného virtuálního počítače.

Následující tabulka uvádí parametry šablony Resource Manageru pro existující nebo spuštěné virtuální počítače:

Parametr	Popis
vmName	Název virtuálního počítače pro spuštění operace šifrování
keyVaultName	Název trezoru klíčů, do kterého se má šifrovací klíč nahrát. Můžete ho získat pomocí rutiny (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname nebo příkazu az keyvault list --resource-group "MyKeyVaultResourceGroupName"Azure CLI .
keyVaultResourceGroup	Název skupiny zdrojů, která obsahuje klíčové úložiště.
keyEncryptionKeyURL	Adresa URL šifrovacího klíče, který se používá k šifrování šifrovacího klíče. Tento parametr je volitelný, pokud v rozevíracím seznamu UseExistingKek vyberete nokek . Pokud v rozevíracím seznamu UseExistingKek vyberete kek , musíte zadat hodnotu keyEncryptionKeyURL .
typ objemu	Typ svazku, na který se provádí operace šifrování. Platné hodnoty jsou operační systém, data a vše.
forceUpdateTag	Pokaždé, když potřebujete operaci násilně spustit, předejte jedinečnou hodnotu, jako je GUID.
poloha	Umístění pro všechny zdroje

Další informace o konfiguraci šablony šifrování disků virtuálního počítače s Linuxem najdete v tématu Azure Disk Encryption pro Linux.

Pokud chcete šifrování zakázat, přečtěte si téma Zakázání šifrování a odebrání rozšíření šifrování.

Použití funkce EncryptFormatAll pro datové disky na virtuálních počítačích s Linuxem

Parametr EncryptFormatAll zkracuje dobu šifrování datových disků Linuxu. Oddíly, které splňují určitá kritéria, jsou formátované spolu s jejich aktuálními systémy souborů a pak se znovu připojují k místa, kde byly před provedením příkazu. Pokud chcete vyloučit datový disk, který splňuje kritéria, můžete ho před spuštěním příkazu odpojit.

Po spuštění tohoto příkazu se všechny připojené jednotky naformátují a vrstva šifrování se spustí nad nyní prázdnou jednotkou. Pokud je tato možnost vybraná, dočasný disk připojený k virtuálnímu počítači se také zašifruje. Pokud se dočasný disk resetuje, Azure Disk Encryption přeformátuje a znovu zašifruje dočasný disk virtuálního počítače při další příležitosti. Jakmile je disk prostředku zašifrovaný, agent Microsoft Azure Linux nemůže spravovat disk prostředku a povolit prohození souboru, ale můžete ho nakonfigurovat ručně.

Výstraha

EncryptFormatAll by se nemělo používat, pokud jsou potřebná data na datových svazcích virtuálního počítače. Disky můžete z šifrování vyloučit tak, že je odpojíte. Nejprve byste měli vyzkoušet EncryptFormatAll na testovacím virtuálním počítači, porozumět parametru funkce a jeho implikaci předtím, než ho zkusíte na produkčním virtuálním počítači. Možnost EncryptFormatAll formátuje datový disk a všechna data na něm budou ztracena. Než budete pokračovat, ověřte, že disky, které chcete vyloučit, jsou správně odpojené.

Pokud tento parametr nastavujete při aktualizaci nastavení šifrování, může to před skutečným šifrováním vést k restartování. V takovém případě byste měli odebrat disk, který nechcete formátovat ze souboru fstab. Podobně byste měli před zahájením operace šifrování přidat oddíl, který chcete zašifrovat do souboru fstab.

Kritéria "EncryptFormatAll"

Parametr prochází všemi oddíly a šifruje je, pokud splňují všechna níže uvedená kritéria:

• Nejedná se o kořenový, systémový nebo spouštěcí oddíl.
• Není zašifrovaný.
• Není svazek BEK.
• Není svazek RAID.
• Není svazek LVM.
• Je namontováno.

Zašifrujte disky, které tvoří svazek RAID nebo LVM, a nikoli svazek RAID nebo LVM.

Použití parametru EncryptFormatAll s Azure CLI

Povolte šifrování na spuštěném virtuálním počítači v Azure pomocí příkazu az vm encryption enable.

• Šifrování spuštěného virtuálního počítače pomocí EncryptFormatAll:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "data" --encrypt-format-all
  

Použijte parametr EncryptFormatAll v příkazu cmdlet PowerShell

Použijte rutinu Set-AzVMDiskEncryptionExtension s parametrem EncryptFormatAll.

Šifrování spuštěného virtuálního počítače pomocí EncryptFormatAll: Například následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension s parametrem EncryptFormatAll. Skupina prostředků, virtuální počítač a úložiště klíčů byly vytvořeny jako předpoklady. Nahraďte MyVirtualMachineResourceGroup, MySecureVM a MySecureVault hodnotami.

$KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MySecureVM';
$KeyVaultName = 'MySecureVault';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "data" -EncryptFormatAll

Použití parametru EncryptFormatAll se správcem logických svazků (LVM)

Doporučujeme nastavit lvm-on-crypt. Podrobné pokyny k LVM v konfiguraci šifrování najdete v tématu Konfigurace LVM a RAID na šifrovaných zařízeních ADE.

Nové virtuální počítače vytvořené z virtuálních pevných disků šifrovaných zákazníkem a šifrovacích klíčů

V tomto scénáři můžete šifrování povolit pomocí rutin PowerShellu nebo příkazů rozhraní příkazového řádku.

Postupujte podle pokynů ve stejných skriptech Azure Disk Encryption pro přípravu předšifrovaných imagí, které je možné použít v Azure. Po vytvoření image můžete pomocí kroků v další části vytvořit šifrovaný virtuální počítač Azure.

• Příprava předšifrovaného virtuálního pevného disku s Linuxem

Důležité

Vytvoření snímku nebo zálohování instance virtuálního počítače založeného na spravovaných discích mimo ni a před povolením služby Azure Disk Encryption je povinné. Snímek spravovaného disku můžete pořídit z portálu nebo můžete použít Azure Backup . Zálohy zajišťují, že možnost obnovení je možná v případě neočekávaného selhání během šifrování. Po vytvoření zálohy lze rutinu Set-AzVMDiskEncryptionExtension použít k šifrování spravovaných disků zadáním parametru -skipVmBackup. Příkaz Set-AzVMDiskEncryptionExtension selže s virtuálními počítači založenými na spravovaných discích, dokud se neprovede záloha a tento parametr se nezadá.

Šifrování nebo zakázání šifrování může způsobit restartování virtuálního počítače.

Použití Azure PowerShellu k šifrování virtuálních počítačů s předšifrovanými virtuálními pevnými disky

Šifrování disku na šifrovaném virtuálním pevném disku můžete povolit pomocí rutiny PowerShell Set-AzVMOSDisk. V tomto příkladu jsou uvedeny některé běžné parametry.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Linux -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Povolení šifrování na nově přidaném datovém disku

Nový datový disk můžete přidat pomocí příkazu az vm disk attach nebo prostřednictvím webu Azure Portal. Před šifrováním je potřeba nejprve připojit nově připojený datový disk. Šifrování datové jednotky je nutné vyžádat, protože jednotka není použitelná, zatímco probíhá šifrování.

Použití Azure CLI

Pokud byl virtuální počítač dříve šifrovaný pomocí all, měl by parametr --volume-type zůstat "All". Vše zahrnuje jak disky operačního systému, tak datové disky. Pokud byl virtuální počítač dříve šifrovaný pomocí typu operačního systému, měl by být parametr --volume-type změněn na All, aby byl zahrnutý operační systém i nový datový disk. Pokud byl virtuální počítač zašifrován pouze typem svazku "Data", může zůstat "Data", jak je ukázáno níže. Přidání a připojení nového datového disku k virtuálnímu počítači není dostatečná příprava na šifrování. Před povolením šifrování musí být nově připojený disk také naformátovaný a správně připojený v rámci virtuálního počítače. V Linuxu musí být disk připojený do /etc/fstab s trvalým názvem blokového zařízení.

Na rozdíl od syntaxe PowerShellu rozhraní příkazového řádku nevyžaduje, aby uživatel při povolování šifrování poskytoval jedinečnou sekvenci. Rozhraní příkazového řádku automaticky vygeneruje a používá vlastní jedinečnou hodnotu verze sekvence.

• Šifrování datových svazků spuštěného virtuálního počítače:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
  

• Šifrování datových svazků spuštěného virtuálního počítače pomocí KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
  

Použití Azure PowerShellu

Při použití PowerShellu k šifrování nového disku pro Linux je potřeba zadat novou sekvenční verzi. Verze sekvence musí být jedinečná. Následující skript vygeneruje identifikátor GUID pro verzovou sekvenci. Pořiďte snímek nebo zálohujte virtuální počítač pomocí služby Azure Backup , než se disky zašifrují. Parametr -skipVmBackup je již zadaný ve skriptech PowerShellu pro šifrování nově přidaného datového disku.

• Šifrování datových svazků spuštěného virtuálního počítače: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Před spuštěním skriptu vytvořte skupinu prostředků, virtuální počítač a trezor klíčů jako předpoklady. Nahraďte MyVirtualMachineResourceGroup, MySecureVM a MySecureVault hodnotami. Přijatelné hodnoty pro parametr -VolumeType jsou Všechny, OS a Data. Pokud byl virtuální počítač dříve šifrovaný pomocí typu operačního systému nebo "Vše", měl by být parametr -VolumeType změněn na "Vše", aby byl zahrnutý operační systém i nový datový disk.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MySecureVM';
  $KeyVaultName = 'MySecureVault';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

• Šifrování datových svazků spuštěného virtuálního počítače pomocí KEK: Přijatelné hodnoty pro parametr -VolumeType jsou Všechny, OS a Data. Pokud byl virtuální počítač dříve šifrovaný pomocí typu operačního systému nebo "Vše", měl by se parametr -VolumeType změnit na Vše, aby byl zahrnutý operační systém i nový datový disk.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[KVresource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Syntaxe pro hodnotu parametru key-encryption-key je úplné URI ke klíči KEK, například: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Zakázání šifrování a odebrání rozšíření šifrování

Šifrování disků Azure můžete zakázat a můžete odebrat rozšíření Azure Disk Encryption. Zakázání a odebrání jsou dvě různé operace.

Pokud chcete ADE odebrat, doporučujeme nejprve zakázat šifrování a pak odebrat rozšíření. Pokud odeberete šifrovací rozšíření bez zakázání ADE, zůstanou disky zašifrované. Pokud šifrování zakážete po odebrání rozšíření, rozšíření se přeinstaluje (k provedení dešifrovací operace) a bude potřeba ho znovu odebrat.

Výstraha

Šifrování nelze zakázat, pokud je disk s operačním systémem zašifrovaný. (Disky s operačním systémem se šifrují, když původní operace šifrování určuje volumeType=ALL nebo volumeType=OS.)

Zakázání šifrování funguje jenom v případech, kdy jsou datové disky šifrované, ale disk s operačním systémem není.

Zakázání šifrování

Šifrování můžete zakázat pomocí Azure PowerShellu, Azure CLI nebo šablony Resource Manageru. Zakázání šifrování neodebere rozšíření (viz Odebrání rozšíření šifrování).

• Zakázání šifrování disků pomocí Azure PowerShellu: Pokud chcete šifrování zakázat, použijte rutinu Disable-AzVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "data"
  

• Zákaz šifrování pomocí Azure CLI: Pokud chcete zakázat šifrování, použijte příkaz az vm encryption disable .

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "data"
  

• Zakázání šifrování pomocí šablony Resource Manageru:

  1. Klikněte na Nasadit do Azure ze šablony Zakázat šifrování disků na běžícím Linuxovém virtuálním počítači.
  2. Vyberte předplatné, skupinu prostředků, umístění, VM, typ svazku, právní podmínky a smluvní podmínky.
  3. Kliknutím na tlačítko Koupit zakážete šifrování disků na spuštěném virtuálním počítači s Linuxem.

Výstraha

Jakmile se dešifrování spustí, doporučujeme nerušit proces.

Odstraňte rozšíření šifrování

Pokud chcete dešifrovat disky a odebrat rozšíření šifrování, musíte před odebráním rozšíření zakázat šifrování; viz zakázání šifrování.

Rozšíření šifrování můžete odebrat pomocí Azure PowerShellu nebo Azure CLI.

• Zakázání šifrování disků pomocí Azure PowerShellu: K odebrání šifrování použijte rutinu Remove-AzVMDiskEncryptionExtension .

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Zákaz šifrování pomocí Azure CLI: K odebrání šifrování použijte příkaz az vm extension delete .

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryptionForLinux"
  

Další kroky

• Přehled služby Azure Disk Encryption
• Ukázkové skripty pro službu Azure Disk Encryption
• Řešení potíží se službou Azure Disk Encryption