Azure Disk Encryption-Szenarien auf virtuellen Linux-Computern
Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen
Azure Disk Encryption für virtuelle Linux-Computer (VMs) bietet mithilfe des DM-Crypt-Features von Linux eine vollständige Datenträgerverschlüsselung des Betriebssystemdatenträgers und der Datenträger für Daten. Darüber hinaus wird bei Verwendung des EncryptFormatAll-Features Verschlüsselung des temporären Datenträgers bereitstellt.
Azure Disk Encryption ist mit Azure Key Vault integriert, um Ihnen die Steuerung und Verwaltung der Datenträger-Verschlüsselungsschlüssel und -geheimnisse zu erleichtern. Eine Übersicht über den Dienst finden Sie unter Azure Disk Encryption für Linux-VMs.
Voraussetzungen
Sie können Datenträgerverschlüsselung nur auf virtuelle Computer mit unterstützten VM-Größen und Betriebssystemen anwenden. Außerdem müssen die folgenden Voraussetzungen erfüllt sein:
In allen Fällen sollten Sie eine Momentaufnahme und/oder eine Sicherung erstellen, bevor Datenträger verschlüsselt werden. Durch Sicherungen wird sichergestellt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Für VMs mit verwalteten Datenträgern ist eine Sicherung erforderlich, bevor die Verschlüsselung durchgeführt wird. Nach dem Erstellen einer Sicherung können Sie das Cmdlet Set-AzVMDiskEncryptionExtension verwenden, um verwaltete Datenträger durch das Angeben des Parameters „-skipVmBackup“ zu verschlüsseln. Weitere Informationen zum Sichern und Wiederherstellen von verschlüsselten VMs finden Sie im Artikel Azure Backup.
Beschränkungen
Wenn Sie zuvor Azure Disk Encryption mit Microsoft Entra ID zum Verschlüsseln eines virtuellen Computers verwendet haben, müssen Sie diese Option auch weiterhin zum Verschlüsseln Ihres virtuellen Computers verwenden. Weitere Informationen finden Sie unter Azure Disk Encryption mit Microsoft Entra ID (vorheriges Release).
Beim Verschlüsseln von Linux-Betriebssystemvolumes sollte die VM als nicht verfügbar angesehen werden. Es wird dringend empfohlen, SSH-Anmeldungen zu vermeiden, während die Verschlüsselung ausgeführt wird, um Probleme beim Blockieren von offenen Dateien zu vermeiden, auf die während des Verschlüsselungsprozesses zugegriffen werden muss. Verwenden Sie zum Überprüfen des Fortschritts das PowerShell-Cmdlet Get-AzVMDiskEncryptionStatus oder den CLI-Befehl vm encryption show. Es ist zu erwarten, dass dieser Prozess bei einem Betriebssystemvolume von 30 GB einige Stunden in Anspruch nimmt, zuzüglich zusätzlicher Zeit für die Verschlüsselung von Datenvolumes. Die Verschlüsselungszeit für das Datenvolume hängt proportional von der Größe und Menge der Datenvolumes ab, es sei denn, es wird die Option encrypt format all verwendet.
Das Deaktivieren der Verschlüsselung auf virtuellen Linux-Computern wird nur für Datenvolumes unterstützt. Das Deaktivieren der Verschlüsselung wird für Daten- oder Betriebssystemvolumes nicht unterstützt, wenn das Betriebssystemvolume verschlüsselt ist.
Die folgenden Linux-Szenarien,- Features und -Technologien werden von Azure Disk Encryption nicht unterstützt:
- Verschlüsseln von virtuellen Computern der Ebene „Standard“ und von virtuellen Computern, die mithilfe der klassischen Erstellungsmethode für virtuelle Computer erstellt wurden
- Deaktivieren der Verschlüsselung für ein Betriebssystemlaufwerk oder Datenlaufwerk auf einem virtuellen Linux-Computer, wenn das Betriebssystemlaufwerk verschlüsselt ist
- Verschlüsseln des Betriebssystemlaufwerks für Linux-VM-Skalierungsgruppen
- Verschlüsseln benutzerdefinierter Images auf virtuellen Linux-Computern
- Integration mit einem lokalen Schlüsselverwaltungssystem
- Azure Files (freigegebenes Dateisystem)
- Network File System (NFS)
- Dynamische Volumes
- Kurzlebige Betriebssystemdatenträger
- Verschlüsselung freigegebener/verteilter Dateisysteme, einschließlich der folgenden, aber nicht auf diese begrenzt: DFS, GFS, DRDB und CephFS.
- Verschieben eines verschlüsselten virtuellen Computers in ein anderes Abonnement oder in eine andere Region
- Erstellen eines Images oder einer Momentaufnahme einer verschlüsselten VM und dessen oder deren Verwendung zum Bereitstellen weiterer VMs
- Kernel-Absturzabbild (kdump).
- Oracle-ACFS (ASM-Clusterdateisystem).
- NVMe-Datenträger, so wie auf die auf High Performance Computing VM-Größen oder Speicheroptimierte VM-Größen.
- Eine VM mit „geschachtelten Bereitstellungspunkten“, also mehrere Bereitstellungspunkte in einem einzelnen Pfad (z. B. „/1stmountpoint/data/2stmountpoint“).
- Eine VM mit einem Datenlaufwerk, das über einem Betriebssystemordner eingebunden ist
- Eine VM, auf der ein logisches Stammvolume (Betriebssystemdatenträger) mithilfe eines Datenträgers für Daten erweitert wird.
- Ändern der Größe des Betriebssystemdatenträgers.
- VMs der M-Serie mit Datenträgern mit Schreibbeschleunigung
- Anwenden von ADE auf eine VM, die mit Verschlüsselung auf dem Host oder serverseitiger Verschlüsselung mit kundenseitig verwalteten Schlüsseln (SSE und CMK) verschlüsselte Datenträger aufweist. Das Anwenden von SSE und CMK auf einen Datenträger oder das Hinzufügen eines Datenträgers mit SSE und CMK, der für eine mit ADE verschlüsselte VM konfiguriert ist, ist ebenfalls ein nicht unterstütztes Szenario.
- Migrieren einer VM, die mit ADE verschlüsselt ist oder jemals mit ADE verschlüsselt war, zur Verschlüsselung auf dem Host oder serverseitigen Verschlüsselung mit kundenseitig verwalteten Schlüsseln.
- Verschlüsseln von VMs in Failoverclustern.
- Verschlüsselung von Azure Ultra-Datenträgern
- Verschlüsselung von SSD Premium v2-Datenträgern.
- Verschlüsselung von VMs in Abonnements, bei denen die Richtlinie Geheimnisse sollten die angegebene maximale Gültigkeitsdauer haben mit dem VERWEIGERN-Effekt aktiviert ist.
Installieren von Tools und Herstellen einer Verbindung mit Azure
Azure Disk Encryption kann über die Azure CLI und Azure PowerShell aktiviert und verwaltet werden. Zu diesem Zweck müssen Sie die Tools lokal installieren und eine Verbindung mit Ihrem Azure-Abonnement herstellen.
Die Azure CLI 2.0 ist ein Befehlszeilentool zum Verwalten von Azure-Ressourcen. Sie wurde entwickelt, um Daten flexible abzufragen, Vorgänge mit langer Ausführungsdauer als nicht blockierende Prozesse zu unterstützen und das Erstellen von Skripts zu vereinfachen. Sie können sie lokal installieren, indem Sie die Schritte unter Installieren der Azure CLI ausführen.
Um sich bei Ihrem Azure-Konto mit der Azure CLI anzumelden, verwenden Sie den Befehl az login.
az login
Verwenden Sie Folgendes, falls Sie für die Anmeldung einen Mandanten auswählen möchten:
az login --tenant <tenant>
Wenn Sie über mehrere Abonnements verfügen und ein bestimmtes Abonnement angeben möchten, können Sie Ihre Abonnementliste mit az account list abrufen und den Befehl az account set zum Angeben verwenden.
az account list
az account set --subscription "<subscription name or ID>"
Weitere Informationen finden Sie unter Erste Schritte mit Azure CLI 2.0.
Aktivieren der Verschlüsselung auf einem vorhandenen oder aktuell ausgeführten virtuellen Linux-Computer
In diesem Szenario können Sie die Verschlüsselung aktivieren, indem Sie die Resource Manager-Vorlage, PowerShell-Cmdlets oder CLI-Befehle verwenden. Wenn Sie Schemainformationen für die Erweiterung des virtuellen Computers benötigen, finden Sie diese im Artikel Azure Disk Encryption für Linux.
Wichtig
Es ist obligatorisch, außerhalb von Azure Disk Encryption und vor der Aktivierung von Azure Disk Encryption eine Momentaufnahme bzw. Sicherung einer VM zu erstellen, die auf einem verwalteten Datenträger basiert. Sie können über das Portal eine Momentaufnahme des verwalteten Datenträgers erstellen oder Azure Backup verwenden. Mit Sicherungen ist dafür gesorgt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Nach dem Erstellen einer Sicherung kann das Cmdlet „Set-AzVMDiskEncryptionExtension“ verwendet werden, um verwaltete Datenträger durch das Angeben des Parameters „-skipVmBackup“ zu verschlüsseln. Der Befehl „Set-AzVMDiskEncryptionExtension“ wird für VMs, die auf verwalteten Datenträgern basieren, zu einem Fehler führen, bis eine Sicherung erstellt und dieser Parameter angegeben wird.
Das Verschlüsseln bzw. Deaktivieren der Verschlüsselung kann dazu führen, dass die VM neu gestartet wird.
Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.
- Verwenden der Azure-Befehlszeilenschnittstelle
- Mithilfe von PowerShell
- Verwenden einer Resource Manager-Vorlage
Sie können die Datenträgerverschlüsselung auf Ihrer verschlüsselten VHD aktivieren, indem Sie das Befehlszeilentool Azure CLI installieren und verwenden. Azure PowerShell kann mit Azure Cloud Shell im Browser verwendet oder auf dem lokalen Computer installiert und in einer beliebigen PowerShell-Sitzung verwendet werden. Verwenden Sie die folgenden CLI-Befehle, um die Verschlüsselung auf vorhandenen oder aktuell ausgeführten virtuellen Linux-Computern in Azure zu aktivieren:
Verwenden Sie den Befehl az vm encryption enable, um die Verschlüsselung auf einem aktuell ausgeführten virtuellen Computer in Azure zu aktivieren.
Verschlüsseln eines ausgeführten virtuellen Computers:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
Verschlüsseln eines ausgeführten virtuellen Computers mit KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
Hinweis
Die Syntax für den Wert des Parameters disk-encryption-keyvault ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
. Die Syntax für den Wert des Parameters key-encryption-key ist der vollständige URI für den KEK wie in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Überprüfen der Datenträgerverschlüsselung: Verwenden Sie den Befehl az vm encryption show, um den Verschlüsselungsstatus eines virtuellen Computers zu überprüfen.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.
Verwenden des Features EncryptFormatAll für Datenträger auf virtuellen Linux-Computern
Mit dem Parameter EncryptFormatAll wird die Zeit reduziert, die zum Verschlüsseln von Linux-Datenträgern benötigt wird. Partitionen, die bestimmte Kriterien erfüllen, werden formatiert (zusammen mit ihrem aktuellen Dateisystem) und dann erneut an dem Speicherort eingebunden, an dem sie sich vor der Befehlsausführung befunden haben. Wenn Sie einen Datenträger ausschließen möchten, der die Kriterien erfüllt, können Sie die Bereitstellung vor dem Ausführen des Befehls aufheben.
Nach der Ausführung dieses Befehls werden alle zuvor eingebundenen Laufwerke formatiert, und die Verschlüsselungsschicht wird über dem jetzt leeren Laufwerk gestartet. Bei Auswahl dieser Option wird auch der temporäre Datenträger verschlüsselt, der an die VM angefügt ist. Nachdem der temporäre Datenträger zurückgesetzt wurde, wird er erneut formatiert und bei der nächsten Gelegenheit von der Azure Disk Encryption-Lösung für die VM erneut verschlüsselt. Nachdem der Ressourcendatenträger verschlüsselt wurde, kann der Microsoft Azure-Agent für Linux den Ressourcendatenträger nicht mehr verwalten und die Auslagerungsdatei nicht mehr aktivieren. Sie können die Auslagerungsdatei jedoch manuell konfigurieren.
Warnung
EncryptFormatAll sollte nicht verwendet werden, wenn sich auf den Datenvolumes der VM erforderliche Daten befinden. Sie können Datenträger von der Verschlüsselung ausschließen, indem Sie deren Bereitstellung aufheben. Sie sollten EncryptFormatAll zuerst auf einer Test-VM ausprobieren und sich mit dem Featureparameter und dessen Auswirkungen vertraut machen, bevor Sie das Feature auf einer VM für die Produktion einsetzen. Mit der EncryptFormatAll-Option wird der Datenträger formatiert, und alle darauf befindlichen Daten gehen verloren. Stellen Sie vor dem Fortfahren sicher, dass die Bereitstellung der auszuschließenden Datenträger ordnungsgemäß aufgehoben wird.
Wenn Sie diesen Parameter festlegen, während Sie die Verschlüsselungseinstellungen aktualisieren, wird vor der eigentlichen Verschlüsselung ggf. ein Neustart durchgeführt. In diesem Fall sollten Sie auch den Datenträger, der formatiert werden soll, aus der FSTAB-Datei entfernen. Entsprechend sollten Sie die Partition, die formatiert und verschlüsselt werden soll, der FSTAB-Datei hinzufügen, bevor Sie den Verschlüsselungsvorgang initiieren.
EncryptFormatAll-Kriterien
Der Parameter durchläuft alle Partitionen und verschlüsselt sie, solange alle hier aufgeführten Kriterien erfüllt sind:
- Ist keine Stamm-, Betriebssystem- oder Startpartition
- Ist nicht bereits verschlüsselt
- Ist kein BEK-Volume
- Ist kein RAID-Volume
- Ist kein LVM-Volume
- Ist bereitgestellt
Verschlüsselt die Datenträger, aus denen sich das RAID- oder LVM-Volume zusammensetzt, nicht das RAID- oder LVM-Volume selbst.
- Verwenden des Parameters EncryptFormatAll mit der Azure CLI
- Verwenden des Parameters EncryptFormatAll mit einem PowerShell-Cmdlet
Verwenden Sie den Befehl az vm encryption enable, um die Verschlüsselung auf einem aktuell ausgeführten virtuellen Computer in Azure zu aktivieren.
Verschlüsseln eines ausgeführten virtuellen Computers unter Verwendung von „EncryptFormatAll“:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "data" --encrypt-format-all
Verwenden des Parameters EncryptFormatAll mit Logical Volume Manager (LVM)
Wir empfehlen Ihnen, ein LVM-on-crypt-Setup zu verwenden. Ausführliche Anweisungen zur Konfiguration von LVM-on-crypt finden Sie unter Konfigurieren von LVM und RAID auf ADE-verschlüsselten Geräten.
Neue virtuelle Computer, die aus einer vom Kunden verschlüsselten VHD und mit Verschlüsselungsschlüsseln erstellt wurden
In diesem Szenario können Sie die Verschlüsselung mithilfe von PowerShell-Cmdlets oder CLI-Befehlen aktivieren.
Verwenden Sie die Anleitungen in den Azure Disk Encryption-Skripts zum Vorbereiten von vorverschlüsselten Images, die in Azure verwendet werden können. Nach dem Erstellen des Images können Sie die Schritte im nächsten Abschnitt ausführen, um eine verschlüsselte Azure-VM zu erstellen.
Wichtig
Es ist obligatorisch, außerhalb von Azure Disk Encryption und vor der Aktivierung von Azure Disk Encryption eine Momentaufnahme bzw. Sicherung einer VM zu erstellen, die auf einem verwalteten Datenträger basiert. Sie können über das Portal eine Momentaufnahme des verwalteten Datenträgers erstellen oder Azure Backup verwenden. Mit Sicherungen ist dafür gesorgt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Nach dem Erstellen einer Sicherung kann das Cmdlet „Set-AzVMDiskEncryptionExtension“ verwendet werden, um verwaltete Datenträger durch das Angeben des Parameters „-skipVmBackup“ zu verschlüsseln. Der Befehl „Set-AzVMDiskEncryptionExtension“ wird für VMs, die auf verwalteten Datenträgern basieren, zu einem Fehler führen, bis eine Sicherung erstellt und dieser Parameter angegeben wird.
Das Verschlüsseln bzw. Deaktivieren der Verschlüsselung kann dazu führen, dass die VM neu gestartet wird.
Verwenden von Azure PowerShell zum Verschlüsseln von virtuellen Computern mit vorverschlüsselten VHDs
Sie können die Datenträgerverschlüsselung auf einer verschlüsselten VHD aktivieren, indem Sie das PowerShell-Cmdlet Set-AzVMOSDisk verwenden. Dieses Beispiel zeigt Ihnen einige häufig verwendete Parameter.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Linux -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Aktivieren der Verschlüsselung auf einem neu hinzugefügten Datenträger
Sie können einen neuen Datenträger hinzufügen, indem Sie den Befehl az vm disk attach oder das Azure-Portal verwenden. Bevor Sie die Verschlüsselung durchführen können, müssen Sie den neu angefügten Datenträger bereitstellen. Sie müssen die Verschlüsselung des Datenträgers anfordern, da das Laufwerk nicht genutzt werden kann, während die Verschlüsselung durchgeführt wird.
Wenn der virtuelle Computer zuvor mit „All“ verschlüsselt war, sollte der Parameter --volume-type auf „All“ belassen werden. Bei „All“ sind sowohl Betriebssystem als auch Datenträger enthalten. Wenn der virtuelle Computer zuvor mit dem Volumetyp „OS“ verschlüsselt war, sollte der Parameter --volume-type in „All“ geändert werden, damit sowohl das Betriebssystem als auch der neue Datenträger enthalten sind. Wenn der virtuelle Computer nur mit dem Volumetyp „Data“ verschlüsselt war, kann er auf „Data“ belassen werden, wie es nachfolgend gezeigt ist. Das Hinzufügen und Anfügen eines neuen Datenträgers an einen virtuellen Computer ist keine ausreichende Vorbereitung für die Verschlüsselung. Der neu angefügte Datenträger muss außerdem formatiert und vor dem Aktivieren der Verschlüsselung ordnungsgemäß im virtuellen Computer bereitgestellt werden. Unter Linux muss der Datenträger in „/etc/fstab“ mit einem persistenten Blockgerätenamen bereitgestellt werden.
Im Gegensatz zur PowerShell-Syntax erfordert die Befehlszeilenschnittstelle vom Benutzer keine Angabe einer eindeutigen Sequenzversion beim Aktivieren der Verschlüsselung. Die Befehlszeilenschnittstelle wird automatisch generiert und verwendet einen eigenen eindeutigen Sequenzversionswert.
Verschlüsseln von Datenvolumes eines ausgeführten virtuellen Computers:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
Verschlüsseln von Datenvolumes eines ausgeführten virtuellen Computers mit KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung
Sie können die Azure Disk Encryption-Erweiterung deaktivieren und Sie können die Azure Disk Encryption-Erweiterung entfernen. Dies sind zwei unterschiedliche Vorgänge.
Um ADE zu entfernen, wird empfohlen, zuerst die Verschlüsselung zu deaktivieren und dann die Erweiterung zu entfernen. Wenn Sie die Verschlüsselungserweiterung entfernen, ohne sie zu deaktivieren, werden die Datenträger weiterhin verschlüsselt. Wenn Sie die Verschlüsselung nach dem Entfernen der Erweiterung deaktivieren, wird die Erweiterung neu installiert (um den Entschlüsselungsvorgang auszuführen) und muss ein zweites Mal entfernt werden.
Warnung
Sie können die Verschlüsselung nicht deaktivieren, wenn der Betriebssystemdatenträger verschlüsselt ist. (Betriebssystemdatenträger werden verschlüsselt, wenn der ursprüngliche Verschlüsselungsvorgang volumeType=ALL oder volumeType=OS angibt.)
Das Deaktivieren der Verschlüsselung funktioniert nur, wenn Datenträger verschlüsselt sind, der Betriebssystemdatenträger jedoch nicht.
Deaktivieren der Verschlüsselung
Sie können die Verschlüsselung mit Azure PowerShell, der Azure CLI oder einer Resource Manager-Vorlage deaktivieren. Wenn Sie die Verschlüsselung deaktivieren, wird die Erweiterung nicht entfernt (siehe Entfernen der Verschlüsselungserweiterung).
Deaktivieren der Datenträgerverschlüsselung mit Azure PowerShell: Verwenden Sie das Cmdlet Disable-AzVMDiskEncryption, um die Verschlüsselung zu deaktivieren.
Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "data"
Deaktivieren der Verschlüsselung mit der Azure CLI: Verwenden Sie den Befehl az vm encryption disable, um die Verschlüsselung zu deaktivieren.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "data"
Deaktivieren der Verschlüsselung mit einer Resource Manager-Vorlage:
- Klicken Sie in der Vorlage unter Disable disk encryption on running Linux VM (Deaktivieren der Datenträgerverschlüsselung auf einer ausgeführten Windows-VM) auf Deploy to Azure (In Azure bereitstellen).
- Wählen Sie das Abonnement, die Ressourcengruppe, den Standort, die VM, den Volumetyp, die rechtlichen Bedingungen und die Vereinbarung aus.
- Klicken Sie auf Purchase (Kaufen), um die Datenträgerverschlüsselung auf einer ausgeführten Linux-VM zu deaktivieren.
Warnung
Sobald die Entschlüsselung begonnen hat, ist es ratsam, den Prozess nicht zu stören.
Entfernen der Verschlüsselungserweiterung
Wenn Sie Ihre Datenträger entschlüsseln und die Verschlüsselungserweiterung entfernen möchten, müssen Sie die Verschlüsselung deaktivieren, bevor Sie die Erweiterung entfernen; siehe Verschlüsselung deaktivieren.
Sie können die Verschlüsselungserweiterung mit Azure PowerShell oder der Azure CLI entfernen.
Deaktivieren der Datenträgerverschlüsselung mit Azure PowerShell: Verwenden Sie das Cmdlet Remove-AzVMDiskEncryptionExtension, um die Verschlüsselung zu entfernen.
Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
Deaktivieren der Verschlüsselung mit der Azure CLI: Verwenden Sie den Befehl az vm extension delete, um die Verschlüsselung zu entfernen.
az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryptionForLinux"