Déverrouillage d’un disque Linux chiffré pour une réparation hors connexion

Cet article explique comment déverrouiller un disque de système d’exploitation avec Azure Disk Encryption (ADE) pour une réparation hors connexion.

Azure Disk Encryption peut être appliqué aux machines virtuelles Linux approuvées par Microsoft. Voici quelques conditions de base pour activer Azure Disk Encryption dans les machines virtuelles Linux :

• Azure Key Vault
• Applets de commande Azure CLI ou Windows PowerShell
• Mappeur d’appareil (DM)-Crypt

Symptômes

Si ADE est activé sur le disque du système d’exploitation, les messages d’erreur suivants peuvent s’afficher après avoir essayé de monter le disque sur une machine virtuelle de réparation :

montage : type fs incorrect, option incorrecte, superblock incorrect sur /dev/sda2, page de code ou programme d’assistance manquant, ou autre erreur

mount : type de système de fichiers inconnu 'LVM2_member'

Préparation

Avant de déverrouiller le disque du système d’exploitation chiffré pour la réparation hors connexion, effectuez les tâches suivantes :

1. Vérifiez qu’ADE est activé sur le disque.
2. Déterminez si le disque du système d’exploitation utilise ADE version 0 (chiffrement double passage) ou ADE version 1 (chiffrement à passe unique).
3. Déterminez si le disque du système d’exploitation est géré ou non managé.
4. Sélectionnez la méthode pour déverrouiller le disque chiffré.

Vérifier qu’ADE est activé sur le disque

Vous pouvez effectuer cette étape dans le Portail Azure, PowerShell ou l’interface de ligne de commande Azure (Azure CLI).

Portail Azure

Affichez le panneau Vue d’ensemble de la machine virtuelle ayant échoué dans le Portail Azure. Sous Disque, l’entrée Azure Disk Encryption s’affiche comme Activé ou Non activé, comme illustré dans la capture d’écran suivante.

PowerShell

Vous pouvez utiliser l’applet de Get-AzVmDiskEncryptionStatus commande pour déterminer si les volumes de système d’exploitation ou de données d’une machine virtuelle sont chiffrés à l’aide d’ADE. L’exemple de sortie suivant indique que le chiffrement ADE est activé sur le volume du système d’exploitation :

Get-AzVmDiskEncryptionStatus -ResourceGroupName "ResourceGroupName" -VMName "VmName" 

Pour plus d’informations sur l’applet Get-AzureRmDiskEncryptionStatus de commande, consultez Get-AzVMDiskEncryptionStatus (Az.Compute).

Azure CLI

Vous pouvez utiliser la az vm encryption show commande pour case activée si ADE est activé sur les disques de machine virtuelle :

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

Pour plus d’informations sur la az vm encryption show commande, consultez az vm encryption show.

Remarque

Si ADE n’est pas activé sur le disque, consultez l’article suivant pour savoir comment attacher un disque à une machine virtuelle de réparation : Résoudre les problèmes d’une machine virtuelle Linux en attachant le disque du système d’exploitation à une machine virtuelle de réparation.

Déterminer si le disque du système d’exploitation utilise ADE version 0 (chiffrement double passe) ou ADE version 1 (chiffrement à passe unique)

Vous pouvez identifier la version DDE dans le Portail Azure en ouvrant les propriétés de la machine virtuelle, puis en sélectionnant Extensions pour ouvrir le panneau Extensions. Dans le panneau Extensions , affichez le numéro de version d’AzureDiskEncryptionForLinux.

• Si le numéro de version est 0.*, le disque utilise le chiffrement double passe.
• Si le numéro de version est 1.* ou une version ultérieure, le disque utilise le chiffrement à passe unique.

Si votre disque utilise ADE version 0 (chiffrement double passe), utilisez la méthode 3 pour déverrouiller le disque.

Déterminer si le disque du système d’exploitation est géré ou non managé

Si vous ne savez pas si le disque du système d’exploitation est géré ou non managé, consultez Déterminer si le disque du système d’exploitation est géré ou non managé.

Si le disque du système d’exploitation est un disque non managé, suivez les étapes de la méthode 3 pour déverrouiller le disque.

Sélectionnez la méthode pour déverrouiller le disque chiffré

Choisissez l’une des méthodes suivantes pour déverrouiller le disque chiffré :

• Si le disque est géré et chiffré à l’aide d’ADE version 1 et que votre infrastructure et votre stratégie d’entreprise vous permettent d’attribuer une adresse IP publique à une machine virtuelle de réparation, utilisez la méthode 1 : Déverrouiller automatiquement le disque chiffré à l’aide de la commande az vm repair.
• Si votre disque est à la fois géré et chiffré à l’aide d’ADE version 1, mais que votre infrastructure ou stratégie d’entreprise vous empêche d’attribuer une adresse IP publique à une machine virtuelle de réparation, utilisez la méthode 2 : Déverrouiller le disque chiffré par le fichier de clé dans le volume BEK. Une autre raison de choisir cette méthode est si vous n’avez pas les autorisations nécessaires pour créer un groupe de ressources dans Azure.
• Si l’une de ces méthodes échoue, ou si le disque n’est pas géré ou chiffré à l’aide d’ADE version 1 (chiffrement double passe), suivez les étapes de la méthode 3 pour déverrouiller le disque.

Méthode 1 : Déverrouiller automatiquement le disque chiffré à l’aide de la commande az vm repair

Cette méthode s’appuie sur les commandes az vm repair pour créer automatiquement une machine virtuelle de réparation, attacher le disque du système d’exploitation de la machine virtuelle Linux défaillante à cette machine virtuelle de réparation, puis déverrouiller le disque s’il est chiffré. Cette méthode nécessite l’utilisation d’une adresse IP publique pour la machine virtuelle de réparation, et elle déverrouille le disque chiffré, que la clé ADE soit décompressée ou encapsulée à l’aide d’une clé de chiffrement de clé (KEK).

Pour réparer la machine virtuelle à l’aide de cette méthode automatisée, suivez les étapes décrites dans Réparer une machine virtuelle Linux à l’aide des commandes de réparation de machine virtuelle Azure.

Si votre infrastructure et votre stratégie d’entreprise ne vous permettent pas d’attribuer une adresse IP publique, ou si la az vm repair commande ne déverrouille pas le disque, passez à la méthode suivante.

Méthode 2 : Déverrouiller le disque chiffré par le fichier de clé dans le volume BEK

Pour déverrouiller et monter manuellement le disque chiffré, procédez comme suit :

1. Créez une machine virtuelle de réparation et attachez le disque chiffré à cette machine virtuelle lors de la création de la machine virtuelle.

   Vous devez attacher le disque chiffré lorsque vous créez la machine virtuelle de réparation. Cela est dû au fait que le système détecte que le disque attaché est chiffré. Par conséquent, il extrait la clé ADE de votre coffre de clés Azure, puis crée un volume nommé « BEK VOLUME » pour stocker le fichier de clé.

2. Connectez-vous à la machine virtuelle de réparation, puis démontez toutes les partitions montées sur le disque chiffré.

3. Identifiez le fichier de clé ADE dans le volume BEK.

4. Identifiez le fichier d’en-tête dans la partition de démarrage du système d’exploitation chiffré.

5. Déverrouillez le disque chiffré à l’aide du fichier de clé ADE et du fichier d’en-tête.

6. Montez la partition : LVM, RAW ou non-LVM.

Créer une machine virtuelle de réparation

1. Prenez une instantané du disque de système d’exploitation chiffré.

2. Créez un disque à partir de la capture instantanée. Pour le nouveau disque, choisissez le même emplacement et la même zone de disponibilité que celui de la machine virtuelle problématique que vous souhaitez réparer.

3. Créez une machine virtuelle basée sur les instructions suivantes :

   • Dans la Place de marché Azure, choisissez la même image pour la machine virtuelle de réparation qui a été utilisée pour la machine virtuelle ayant échoué. (La version du système d’exploitation doit être la même.)
   • Choisissez une taille qui alloue au moins 8 Go de mémoire à la machine virtuelle.
   • Affectez cette nouvelle machine virtuelle aux mêmes paramètres de groupe de ressources, de région et de disponibilité que vous avez utilisés pour le nouveau disque que vous avez créé à l’étape 2.

4. Dans la page Disques de l’Assistant Création d’une machine virtuelle, attachez le nouveau disque (que vous venez de créer à partir du instantané) en tant que disque de données.

Importante

Étant donné que les paramètres de chiffrement sont détectés uniquement lors de la création de la machine virtuelle, veillez à attacher le disque lorsque vous créez la machine virtuelle. Cela permet d’ajouter automatiquement un volume qui contient le fichier de clé ADE à la machine virtuelle.

Démonter toutes les partitions montées sur le disque chiffré

1. Une fois la machine virtuelle de réparation créée, connectez-vous ssh à votre machine virtuelle de réparation, connectez-vous à l’aide des informations d’identification appropriées, puis élèvez le compte à la racine :

   sudo -s 
   

2. Répertoriez les appareils attachés à l’aide de la commande lsblk . Dans la sortie, vous devez voir plusieurs disques attachés. Ces disques incluent le disque du système d’exploitation actif et le disque chiffré. Ils peuvent apparaître dans n’importe quel ordre.

3. Identifiez le disque chiffré à l’aide des informations suivantes :

   • Le disque aura plusieurs partitions
   • Le disque ne répertorie pas le répertoire racine (« / ») comme point de montage pour l’une de ses partitions.
   • Le disque correspondra à la taille que vous avez notée lorsque vous l’avez créé à partir du instantané.

   Dans l’exemple suivant, la sortie indique que « sdd » est le disque chiffré. Il s’agit du seul disque qui a plusieurs partitions et qui ne répertorie pas « / » comme point de montage.

   

4. Démontez toutes les partitions sur le disque de données chiffré qui ont été montées dans le système de fichiers. Par exemple, dans l’exemple précédent, vous devrez démonter « /boot/efi »* et « /boot ».

   umount /boot/efi 
   
   umount /boot 
   

Identifier le fichier de clé ADE

Vous devez disposer à la fois du fichier de clé et du fichier d’en-tête pour déverrouiller le disque chiffré. Le fichier de clé est stocké dans le volume BEK, et le fichier d’en-tête se trouve dans la partition de démarrage du disque de système d’exploitation chiffré.

1. Déterminez quelle partition est le volume BEK :

   lsblk -fs | grep -i bek 
   

   L’exemple de sortie suivant indique que sdb1 est le volume BEK :

   >sdb1  vfat   BEK VOLUME      04A2-FE67 
   

   S’il n’existe aucun volume BEK, recréez la machine virtuelle de réparation en ayant le disque chiffré attaché. Si le volume BEK ne s’attache toujours pas automatiquement, essayez la méthode 3 pour récupérer le volume BEK.

2. Créez un répertoire nommé « azure_bek_disk » sous le dossier « /mnt » :

   mkdir /mnt/azure_bek_disk 
   

3. Montez le volume BEK dans le répertoire « /mnt/azure_bek_disk ». Par exemple, si sdb1 est le volume BEK, entrez la commande suivante :

   mount /dev/sdb1 /mnt/azure_bek_disk 
   

4. Répertoriez à nouveau les appareils disponibles :

   lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT  
   

   Note: Vous verrez que la partition que vous avez déterminée comme étant le volume BEK est désormais montée dans « /mnt/azure_bek_disk ».

5. Affichez le contenu dans le répertoire « /mnt/azure_bek_disk/ » :

   ls -l /mnt/azure_bek_disk
   

   Vous devez voir les fichiers suivants dans la sortie (le fichier de clé ADE est « LinuxPassPhraseFileName ») :

   >total 1 
   
    -rwxr-xr-x 1 root root 148 Aug  4 01:04 CRITICAL_DATA_WARNING_README.txt 
    -r-xr-xr-x 1 root root 172 Aug  4 01:04 LinuxPassPhraseFileName
   

   Vous pouvez voir plusieurs « LinuxPassPhraseFileName » si plusieurs disques sont attachés à la machine virtuelle chiffrée. Le « LinuxPassPhraseFileName » est énuméré en fonction du nombre de disques dans le même ordre que leurs numéros d’unité logique (LUN).

Identifier le fichier d’en-tête

La partition de démarrage du disque chiffré contient le fichier d’en-tête. Vous allez utiliser ce fichier, ainsi que le fichier de clé « LinuxPassPhraseFileName », pour déverrouiller le disque chiffré.

1. Utilisez la commande suivante pour afficher les attributs sélectionnés des disques et des partitions disponibles :

   lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT
   

2. Sur le disque chiffré, identifiez la partition du système d’exploitation (partition racine). Il s’agit de la plus grande partition sur le disque chiffré. Dans l’exemple de sortie précédent, la partition du système d’exploitation est « sda4 ». Cette partition doit être spécifiée lorsque vous exécutez la commande de déverrouillage.

3. Dans le répertoire racine (« / ») de la structure de fichiers, créez un répertoire sur lequel monter la partition racine du disque chiffré. Vous utiliserez ce répertoire ultérieurement, une fois le disque déverrouillé. Pour la distinguer de la partition de système d’exploitation active de la machine virtuelle de réparation, attribuez-lui le nom « investigateroot ».

   mkdir /{investigateboot,investigateroot}
   

4. Sur le disque chiffré, identifiez la partition de démarrage, qui contient le fichier d’en-tête. Sur le disque chiffré, la partition de démarrage est la deuxième plus grande partition qui n’affiche aucune valeur dans la colonne LABEL ou PARTLABEL. Dans l’exemple de sortie précédent, la partition de démarrage du disque chiffré est « sda2 ».

5. Montez la partition de démarrage que vous avez identifiée à l’étape 4 dans le répertoire /investigateboot/. Dans l’exemple suivant, la partition de démarrage du disque chiffré est sda2. Toutefois, l’emplacement sur votre système peut différer.

   mount /dev/sda2 /investigateboot/ 
   

   Si le montage de la partition échoue et retourne un message d’erreur « type fs incorrect, option incorrecte, superblock incorrect », réessayez à l’aide de la mount -o nouuid commande, comme dans l’exemple suivant :

   mount -o nouuid /dev/sda2 /investigateboot/ 
   

6. Répertoriez les fichiers qui se trouvent dans le répertoire /investigateboot/. Le sous-répertoire « luks » contient le fichier d’en-tête dont vous devez disposer pour déverrouiller le disque.

7. Répertoriez les fichiers qui se trouvent dans le répertoire /investigateboot/luks/. Le fichier d’en-tête est nommé « osluksheader ».

   ls -l /investigateboot/luks 
   

Utiliser le fichier de clé ADE et le fichier d’en-tête pour déverrouiller le disque

1. Utilisez la cryptsetup luksOpen commande pour déverrouiller la partition racine sur le disque chiffré. Par exemple, si le chemin d’accès à la partition racine qui contient le système d’exploitation chiffré est /dev/sda4 et que vous souhaitez affecter le nom « osencrypt » à la partition déverrouillée, exécutez la commande suivante :

   cryptsetup luksOpen --key-file /mnt/azure_bek_disk/LinuxPassPhraseFileName --header /investigateboot/luks/osluksheader /dev/sda4 osencrypt 
   

2. Maintenant que vous avez déverrouillé le disque, démontez la partition de démarrage du disque chiffré à partir du répertoire /investigateboot/ :

   umount /investigateboot/ 
   

   Note: Vous devrez monter cette partition dans un autre répertoire ultérieurement.

   L’étape suivante consiste à monter la partition que vous venez de déverrouiller. La méthode que vous utilisez pour monter la partition dépend de l’infrastructure de mappeur d’appareil (LVM ou non LVM) utilisée par le disque.

3. Répertoriez les informations sur l’appareil avec le type de système de fichiers :

   lsblk -o NAME,FSTYPE 
   

   Vous verrez la partition déverrouillée et le nom que vous lui avez attribué (dans notre exemple, ce nom est « osencrypt ») :

   • Pour la partition LVM telle que « LVM_member », consultez Monter la partition LVMRAW ou non LVM.
   • Pour la partition non-LVM, consultez Monter la partition non-LVM.

Montez la partition déverrouillée et entrez dans l’environnement chroot (LVM uniquement)

Si les disques utilisent l’infrastructure de mappeur de périphérique LVM, vous devez effectuer des étapes supplémentaires pour monter le disque et entrer dans l’environnement chroot. Pour utiliser l’outil chroot avec le disque chiffré, la partition déverrouillée (« osencrypt ») et ses volumes logiques doivent être reconnus comme le groupe de volumes nommé rootvg. Toutefois, par défaut, la partition du système d’exploitation de la machine virtuelle de réparation et ses volumes logiques sont déjà affectés à un groupe de volumes nommé rootvg. Nous devons résoudre ce conflit avant de pouvoir continuer.

1. Utilisez la pvs commande pour afficher les propriétés des volumes physiques LVM. Vous pouvez voir des messages d’avertissement, comme dans l’exemple suivant, qui indiquent que la partition déverrouillée (« /dev/mappeur/osencrypt ») et un autre appareil utilisent des identificateurs universels uniques (UIID) en double. Vous pouvez également voir deux partitions affectées à rootvg.

   Remarque

   Vous souhaitez que seule la partition déverrouillée (« osencrypt ») soit affectée au groupe de volumes rootvg afin que vous puissiez accéder à ses volumes logiques via l’utilitaire chroot. Pour résoudre ce problème, vous allez importer temporairement la partition dans un autre groupe de volumes et activer ce groupe de volumes. Ensuite, vous allez renommer le groupe de volumes rootvg actuel. Ce n’est qu’après avoir entré dans l’environnement chroot que vous renommez le groupe de volumes du disque chiffré en « rootvg ».

Affectation de la partition déverrouillée (exemple)

1. Importez la partition nouvellement déverrouillée dans un nouveau groupe de volumes. Dans cet exemple, nous nommons temporairement le nouveau groupe de volumes « rescuemevg ». Importez la partition nouvellement déverrouillée dans un nouveau groupe de volumes. Dans cet exemple, nous nommons temporairement le nouveau groupe de volumes « rescuemevg ».

2. Activez le nouveau groupe de volumes :

   vgimportclone -n rescuemevg /dev/mapper/osencrypt
   vgchange -a y rescuemevg
   

3. Renommez l’ancien groupe de volumes rootvg. Dans cet exemple, nous allons utiliser le nom « oldvg ».

   vgrename rootvg oldvg 
   

4. Exécutez lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT pour passer en revue les appareils disponibles. Vous devez maintenant voir les deux groupes de volumes répertoriés par les noms que vous leur avez attribués.

5. Montez le volume logique rescuemevg/rootlv dans le répertoire /investigateroot/ sans utiliser les UUID dupliqués :

   umount /investigateboot
   mount -o nouuid /dev/rescuemevg/rootlv /investigateroot/ 
   

   À présent, la partition racine de la machine virtuelle ayant échoué est déverrouillée et montée, et vous devez être en mesure d’accéder à la partition racine pour résoudre les problèmes. Pour plus d’informations, consultez Résoudre les problèmes de démarrage de machine virtuelle Linux en raison d’erreurs de système de fichiers.

   Toutefois, si vous souhaitez utiliser l’utilitaire chroot pour la résolution des problèmes, procédez comme suit.

6. Montez la partition de démarrage du disque chiffré dans le répertoire /investigateroot/boot/ sans utiliser les UUID en double. (N’oubliez pas que la partition de démarrage du disque chiffré est la deuxième plus grande à laquelle aucune étiquette de partition n’est affectée.) Dans notre exemple actuel, la partition de démarrage du disque chiffré est sda2.

   mount -o nouuid /dev/sda2 /investigateroot/boot
   

7. Montez la partition système EFI du disque chiffré dans le répertoire /investigateroot/boot/efi. Vous pouvez identifier cette partition par son étiquette. Dans notre exemple actuel, la partition système EFI est sda1.

   mount /dev/sda1 /investigateroot/boot/efi
   

8. Montez les volumes logiques non montés restants dans le groupe de volumes du disque chiffré sur les sous-répertoires de « /investigateroot/ » :

   mount -o nouuid /dev/mapper/rescuemevg-varlv /investigateroot/var
   mount -o nouuid /dev/mapper/rescuemevg-homelv /investigateroot/home
   mount -o nouuid /dev/mapper/rescuemevg-usrlv /investigateroot/usr
   mount -o nouuid /dev/mapper/rescuemevg-tmplv /investigateroot/tmp
   mount -o nouuid /dev/mapper/rescuemevg-optlv /investigateroot/opt
   

9. Remplacez active directory par la partition racine montée sur le disque chiffré :

   cd /investigateroot
   

10. Entrez les commandes suivantes pour préparer l’environnement chroot :

    mount -t proc proc proc
    mount -t sysfs sys sys/
    mount -o bind /dev dev/
    mount -o bind /dev/pts dev/pts/
    mount -o bind /run run/
    

11. Entrez l’environnement chroot :

    chroot /investigateroot/
    

12. Renommez le groupe de volumes rescuemevg en « rootvg » pour éviter les conflits ou les éventuels problèmes avec grub et initramfs. Conservez la même convention d’affectation de noms lorsque vous régénérez les initramfs. En raison des changements de nom vg, travaillez sur la machine virtuelle de secours. Il ne sera plus utile si vous le redémarrez. La machine virtuelle de secours doit être considérée comme une machine virtuelle temporaire.

    vgrename rescuemevg rootvg
    

13. Résolvez les problèmes dans l’environnement chroot. Par exemple, vous pouvez lire les journaux ou exécuter un script. Pour plus d’informations, consultez Effectuer des correctifs dans l’environnement chroot.

14. Quittez chroot et échangez le disque du système d’exploitation.

Montez le disque déverrouillé et entrez dans l’environnement chroot (RAW/non-LVM)

1. Dans le répertoire racine (« / ») de la structure de fichiers, créez un répertoire dans lequel monter la partition racine du disque chiffré. Vous utiliserez ce répertoire ultérieurement, une fois le disque déverrouillé. Pour la distinguer de la partition de système d’exploitation active de la machine virtuelle de réparation, nommez-la « investigateroot ».

   mkdir /{investigateboot,investigateroot}
   

2. Montez la partition nouvellement déverrouillée (« osencrypt ») dans le répertoire /investigateroot/ :

   mount /dev/mapper/osencrypt /investigateroot/ 
   

   Si le montage de la partition échoue et retourne un message d’erreur « type fs incorrect, option incorrecte, superblock incorrect », réessayez à l’aide de la commande de montage -o nouuid :

   mount -o nouuid /dev/mapper/osencrypt /investigateroot/ 
   

3. Essayez d’afficher le contenu du répertoire /investigateroot/ pour vérifier que la partition montée est désormais déverrouillée :

   ls /investigateroot/ 
   

4. Maintenant que la partition racine de la machine virtuelle ayant échoué est déverrouillée et montée, vous pouvez accéder à la partition racine pour résoudre les problèmes. Pour plus d’informations, consultez Résoudre les problèmes de démarrage de machine virtuelle Linux en raison d’erreurs de système de fichiers.

   Toutefois, si vous souhaitez utiliser l’utilitaire chroot pour la résolution des problèmes, passez à l’étape suivante.

5. Utilisez la commande lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT pour passer en revue les appareils disponibles. Identifiez la partition de démarrage sur le disque chiffré comme la deuxième plus grande partition à laquelle aucune étiquette n’est affectée.

6. Montez la partition de démarrage sur le disque chiffré dans le répertoire « /investigateroot/boot/ », comme dans l’exemple suivant :

   mount /dev/sdc2 /investigateroot/boot/ 
   

7. Remplacez active directory par la partition racine montée sur le disque chiffré :

   cd /investigateroot 
   

8. Entrez les commandes suivantes pour préparer l’environnement chroot :

   mount -t proc proc proc 
   
   mount -t sysfs sys sys/ 
   
   mount -o bind /dev dev/ 
   
   mount -o bind /dev/pts dev/pts/ 
   
   mount -o bind /run run/ 
   

9. Entrez l’environnement chroot :

   chroot /investigateroot/ 
   

10. Résolvez les problèmes dans l’environnement chroot. Vous pouvez lire les journaux ou exécuter un script. Pour plus d’informations, consultez Effectuer des correctifs dans l’environnement chroot.

11. Quittez chroot et échangez le disque du système d’exploitation.

Méthode 3 : rechiffrer le disque pour récupérer le fichier de clé et déverrouiller le disque chiffré

1. Créez la machine virtuelle de réparation et attachez une copie du disque verrouillé à une machine virtuelle de réparation :

   • Pour un disque managé, consultez Résoudre les problèmes d’une machine virtuelle Linux en attachant le disque du système d’exploitation managé à une machine virtuelle de réparation.
   • Pour un disque non managé, utilisez le Explorateur Stockage pour créer une copie du disque du système d’exploitation de la machine virtuelle affectée. Pour plus d’informations, consultez Attacher un disque non managé à une machine virtuelle pour une réparation hors connexion.

2. Une fois que vous avez attaché le disque chiffré en tant que disque de données à la machine virtuelle de réparation, utilisez le Key Vault et la clé clé chiffrée par clé (KEK) utilisées pour la machine virtuelle d’origine pour chiffrer à nouveau ce disque de données. Ce processus génère et monte automatiquement un volume BEK à l’aide d’un fichier de clé BKE dans la machine virtuelle de réparation. Vous ne devez pas utiliser l’option EncryptFormatAll , car l’extension ADE peut chiffrer le secteur de démarrage sur le disque de données.

   • Si la machine virtuelle d’origine est chiffrée par beK encapsulé, exécutez la commande suivante.

      az vm encryption enable -g "resource group" --name "VMName" --disk-encryption-keyvault "keyvault"  --key-encryption-key "kek" --volume-type "data"
     

   • Si la machine virtuelle d’origine est chiffrée par BEK, exécutez la commande suivante :

     az vm encryption enable -g "resource group" --name "VMName" --disk-encryption-keyvault "keyvault"  --volume-type "data"
     

     Pour déterminer les valeurs de disk-encryption-keyvault et key-encryption-key, exécutez la commande suivante :

     az vm encryption show --name "OriginalVmName" --resource-group "ResourceGroupName"
     

     Dans le tableau suivant, recherchez les valeurs dans la sortie. Si la valeur keyEncryptionKey est vide, votre machine virtuelle est chiffrée par BEK.

     Paramètre	Valeur dans la sortie	exemple
     disk-encryption-keyvault	diskEncryptionKey :id	/subscriptions/deb73ff9-0000-0000-0000-0000-0000c7a96d37/resourceGroups/Thomas/providers/Microsoft.KeyVault/vaults/ContosoKeyvault
     key-encryption-key	keyEncryptionKey :KeyURI	https://ContosoKeyvault.vault.azure.net/keys/mykey/00000000987145a3b79b0ed415fa0000

3. Exécutez la commande suivante pour case activée si un nouveau disque est attaché :

   lsblk -f
   

   Si un nouveau disque est attaché, accédez à Identifier le fichier de clé ADE dans le volume BEK, puis continuez à suivre les étapes fournies pour déverrouiller le disque.

Prochaines étapes

Si vous rencontrez des problèmes de connexion à votre machine virtuelle, consultez Résoudre les problèmes de connexion SSH à une machine virtuelle Azure.

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.