Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.
Pro nové virtuální počítače používejte šifrování na hostiteli nebo zvažte velikosti důvěrných virtuálních počítačů s šifrováním disku s operačním systémem pro důvěrné výpočetní úlohy. Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .
Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️
Tato příručka je určená odborníkům na IT, analytikům zabezpečení informací a správcům cloudu, jejichž organizace používají Službu Azure Disk Encryption. Tento článek vám pomůže s řešením potíží souvisejících s šifrováním disku.
Před provedením některého z těchto kroků nejprve zkontrolujte, že virtuální počítače, které se pokoušíte šifrovat, patří mezi podporované velikosti virtuálních počítačů a operační systémy a že splňujete všechny požadavky:
Řešení potíží s šifrováním disků s operačním systémem Linux
Šifrování disku operačního systému Linux (OS) musí před spuštěním procesu úplného šifrování disku odpojit jednotku OS. Pokud se jednotku nepodaří odpojit, pravděpodobně se zobrazí chybová zpráva „Nepodařilo se odpojit po …“.
K této chybě může dojít při pokusu o šifrování disku s operačním systémem na virtuálním počítači s prostředím, které bylo změněno z podporovaného obrazu z galerie. Odchylky od podporované image mohou narušit schopnost rozšíření odinstalovat OS disk. Příklady odchylek můžou zahrnovat následující položky:
- Přizpůsobené image už neodpovídají podporovanému systému souborů ani schématu dělení.
- Velké aplikace, jako jsou SAP, MongoDB, Apache Cassandra a Docker, se nepodporují, když jsou nainstalované a spuštěné v operačním systému před šifrováním. Azure Disk Encryption nemůže tyto procesy bezpečně vypnout podle potřeby při přípravě jednotky operačního systému na šifrování disku. Pokud jsou stále aktivní procesy, které drží otevřené popisovače souborů na disku OS, nelze tento disk odpojit, což vede k selhání šifrování.
- Vlastní skripty, které běží v těsné blízkosti povoleného šifrování, nebo pokud se na virtuálním počítači během procesu šifrování provádějí nějaké jiné změny. K tomuto konfliktu může dojít, když šablona Azure Resource Manageru definuje více rozšíření, která se mají spustit současně, nebo když se rozšíření vlastních skriptů nebo jiná akce spustí současně na šifrování disku. Problém může vyřešit serializace a izolace těchto kroků.
- Před povolením šifrování nebyl zakázán Security Enhanced Linux (SELinux), a proto krok odpojení selhal. PO dokončení šifrování je možné znovu použít SELinux.
- Disk s operačním systémem používá schéma Správce logických svazků (LVM). I když je k dispozici omezená podpora datových disků LVM, disk s operačním systémem LVM není.
- Minimální požadavky na paměť nejsou splněny (pro šifrování disku s operačním systémem se navrhuje 7 GB).
- Datové jednotky se rekurzivně připojují pod adresář /mnt/ nebo navzájem (například /mnt/data1, /mnt/data2, /data3 + /data3/data4).
Aktualizace výchozího jádra pro Ubuntu 14.04 LTS
Image Ubuntu 14.04 LTS se dodává s výchozí verzí jádra 4.4. Tato verze jádra obsahuje známý problém, kdy nástroj Out of Memory Killer nesprávně ukončí příkaz dd během procesu šifrování operačního systému. Tato chyba byla opravena v nejnovějším linuxovém jádru vyladěného v Azure. Pokud se chcete této chybě vyhnout, před povolením šifrování na obrazu aktualizujte na jádro upravené pro Azure 4.15 nebo novější pomocí následujících příkazů:
sudo apt-get update
sudo apt-get install linux-azure
sudo reboot
Po restartování virtuálního počítače do nového jádra je možné novou verzi jádra potvrdit pomocí:
uname -a
Aktualizace verzí agenta virtuálního počítače Azure a rozšíření
Operace Azure Disk Encryption můžou selhat u obrazů virtuálních počítačů používajících nepodporované verze Agenta virtuálního počítače Azure. Před povolením šifrování by se měly aktualizovat obrazy Linuxu s verzemi agentů staršími než 2.2.38. Další informace najdete v tématu Aktualizace agenta Azure Linux na virtuálním počítači a minimální verze podpory agentů virtuálních počítačů v Azure.
Vyžaduje se také správná verze rozšíření agenta hosta Microsoft.Azure.Security.AzureDiskEncryption nebo Microsoft.Azure.Security.AzureDiskEncryptionForLinux. Verze rozšíření se spravují a aktualizují automaticky podle platformy, když jsou splněné požadavky agenta virtuálního počítače Azure a použije se podporovaná verze agenta virtuálního počítače.
Rozšíření Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux je zastaralé a už se nepodporuje.
Nejde šifrovat disky s Linuxem
V některých případech se zdá, že šifrování disku s Linuxem uvízlo na kroku 'zahájeno šifrování disku OS' a SSH je zakázáno. Dokončení procesu šifrování na obrázku z fotobanky může trvat 3 až 16 hodin. Pokud se přidají datové disky s více terabajty, může proces trvat několik dnů.
Pořadí šifrování disku s operačním systémem Linux odpojí jednotku operačního systému dočasně. Poté provede šifrování celého disku operačního systému blok po bloku, než ho v šifrovaném stavu znovu připojí. Šifrování disků s Linuxem neumožňuje souběžné použití virtuálního počítače, zatímco probíhá šifrování. Charakteristiky výkonu virtuálního počítače můžou výrazně změnit dobu potřebnou k dokončení šifrování. Mezi tyto charakteristiky patří velikost disku a to, jestli je účet úložiště úrovně Standard nebo Premium (SSD).
Zatímco je jednotka operačního systému šifrovaná, virtuální počítač přejde do stavu údržby a zakáže SSH, aby se zabránilo přerušení probíhajícího procesu. Pokud chcete zkontrolovat stav šifrování, použijte příkaz Azure PowerShell Get-AzVmDiskEncryptionStatus a zkontrolujte pole ProgressMessage. ProgressMessage bude hlásit řadu stavů, protože data a disky s operačním systémem jsou šifrované:
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage : Transitioning
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for data volumes
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Provisioning succeeded
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : OS disk encryption started
ProgressMessage zůstane v šifrování disku s operačním systémem spuštěno pro většinu procesu šifrování. Po dokončení a úspěšném šifrování vrátí ProgressMessage :
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : Encrypted
DataVolumesEncrypted : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for all volumes
Jakmile bude tato zpráva dostupná, očekává se, že šifrovaná jednotka operačního systému bude připravená k použití a virtuální počítač je připravený k opětovnému použití.
Pokud informace o spuštění, zpráva o průběhu nebo chybová zpráva o selhání šifrování operačního systému uprostřed tohoto procesu selhala, obnovte virtuální počítač do snímku nebo zálohy pořízené bezprostředně před šifrováním. Příkladem zprávy je chyba "Nepodařilo se odpojit", která je popsaná v tomto průvodci.
Před opětovnou opravou šifrování znovu vyhodnocete charakteristiky virtuálního počítače a ujistěte se, že jsou splněné všechny požadavky.
Odstraňování problémů se službou Azure Disk Encryption za bránou firewall
Viz Šifrování disků v izolované síti.
Řešení potíží se stavem šifrování
Portál může disk zobrazit jako šifrovaný i poté, co byl v rámci virtuálního počítače nešifrovaný. K tomu může dojít, když se příkazy nízké úrovně použijí k přímému zrušení šifrování disku z virtuálního počítače místo použití příkazů pro správu služby Azure Disk Encryption vyšší úrovně. Příkazy vyšší úrovně nejen nešifrují disk z virtuálního počítače, ale mimo virtuální počítač také aktualizují důležitá nastavení šifrování na úrovni platformy a nastavení rozšíření přidružené k virtuálnímu počítači. Pokud tyto informace nejsou v souladu, platforma nebude moct hlásit stav šifrování nebo správně zřídit virtuální počítač.
Pokud chcete zakázat Azure Disk Encryption pomocí PowerShellu, použijte Disable-AzVMDiskEncryption následovaný remove-AzVMDiskEncryptionExtension. Spuštění Remove-AzVMDiskEncryptionExtension před zakázáním šifrování selže.
Pokud chcete azure Disk Encryption zakázat pomocí rozhraní příkazového řádku, použijte příkaz az vm encryption disable.
Další kroky
V tomto dokumentu jste se dozvěděli více o některých běžných problémech ve službě Azure Disk Encryption a o řešení těchto problémů. Další informace o této službě a jejích možnostech najdete v následujících článcích: