Azure Disk Encryption-forgatókönyvek Linux rendszerű virtuális gépeken

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

A Linux rendszerű virtuális gépekhez készült Azure Disk Encryption a Linux DM-Crypt funkciójával biztosítja az operációs rendszer és az adatlemezek teljes lemeztitkosítását. Emellett az EncryptFormatAll funkció használatakor az ideiglenes lemez titkosítását is biztosítja.

Az Azure Disk Encryption integrálva van az Azure Key Vaulttal , így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat. A szolgáltatás áttekintését lásd: Linux rendszerű virtuális gépekhez készült Azure Disk Encryption.

Előfeltételek

Csak a támogatott virtuálisgép-méretű és operációs rendszerű virtuális gépekre alkalmazhat lemeztitkosítást. Emellett a következő előfeltételeknek is meg kell felelnie:

• A virtuális gépekkel kapcsolatos további követelmények
• Hálózati követelmények
• A titkosítási kulcs tárhelyével kapcsolatos követelmények

Minden esetben készítsen pillanatképet, és/vagy hozzon létre biztonsági másolatot a lemezek titkosítása előtt. A biztonsági mentések biztosítják, hogy lehetséges legyen a helyreállítási lehetőség, ha váratlan hiba történik a titkosítás során. A felügyelt lemezekkel rendelkező virtuális gépeken biztonsági mentésre van szükség a titkosítás előtt. A biztonsági mentést követően a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. A titkosított virtuális gépek biztonsági mentésével és visszaállításával kapcsolatos további információkért tekintse meg az Azure Backup-cikket .

Restrictions

Ha korábban a Microsoft Entra-azonosítóval rendelkező Azure Disk Encryptiont használta a virtuális gépek titkosításához, ezt a beállítást továbbra is használnia kell a virtuális gép titkosításához. A részletekért tekintse meg az Azure Disk Encryptiont a Microsoft Entra-azonosítóval (korábbi kiadás).

Linux operációsrendszer-kötetek titkosítása esetén a virtuális gépet nem elérhetőnek kell tekinteni. Határozottan javasoljuk, hogy kerülje az SSH-bejelentkezéseket, amíg a titkosítás folyamatban van, hogy elkerülje azon megnyitott fájlok blokkolásával kapcsolatos problémákat, amelyekhez a titkosítási folyamat során hozzá kell férni. Az állapot ellenőrzéséhez használja a Get-AzVMDiskEncryptionStatus PowerShell parancsmagot vagy a virtuálisgép-titkosítási parancssori felület parancsát. Ez a folyamat várhatóan néhány órát vesz igénybe egy 30 GB-os operációsrendszer-kötet esetében, plusz az adatkötetek titkosítása további időt vesz igénybe. Az adatkötet titkosítási ideje arányos az adatkötetek méretével és mennyiségével, kivéve, ha a mind titkosítási formátum lett használva.

Linux rendszerű virtuális gépeken a titkosítás letiltása csak adatkötetek esetében támogatott. Ha az operációsrendszer-kötet titkosítva van, nem támogatott adatok vagy operációsrendszer-kötetek esetében.

Az Azure Disk Encryption nem működik a következő linuxos forgatókönyvek, funkciók és technológiák esetében:

• A klasszikus virtuálisgép-létrehozási módszerrel létrehozott alapszintű virtuális gépek vagy virtuális gépek titkosítása.
• A titkosítás letiltása operációsrendszer-meghajtón vagy Linux rendszerű virtuális gép adatmeghajtóján az operációsrendszer-meghajtó titkosítása esetén.
• Linux rendszerű virtuálisgép-méretezési csoportok operációsrendszer-meghajtójának titkosítása.
• Egyéni rendszerképek titkosítása Linux rendszerű virtuális gépeken.
• Integráció helyszíni kulcskezelő rendszerrel.
• Azure Files (megosztott fájlrendszer).
• Hálózati fájlrendszer (NFS).
• Dinamikus kötetek.
• Rövid élettartamú operációsrendszer-lemezek.
• Megosztott/elosztott fájlrendszerek (például (de nem kizárólagosan): DFS, GFS, DRDB és CephFS titkosítása.
• Titkosított virtuális gép áthelyezése másik előfizetésbe vagy régióba.
• Egy titkosított virtuális gép képének vagy pillanatképének létrehozása és további virtuális gépek üzembe helyezése.
• Kernel összeomlási memóriaképe (kdump).
• Oracle ACFS (ASM-fürt fájlrendszere).
• NVMe-lemezek, például nagy teljesítményű számítási virtuálisgép-méreteken vagy tárhelyoptimalizált virtuálisgép-méreteken.
• "beágyazott csatlakoztatási pontokkal" rendelkező virtuális gép; vagyis több csatlakoztatási pont egyetlen útvonalon (például "/1stmountpoint/data/2stmountpoint").
• Olyan virtuális gép, amely egy operációsrendszer-mappa tetejére csatlakoztatott adatmeghajtóval rendelkezik.
• Olyan virtuális gép, amelyen egy gyökérszintű (operációsrendszer-lemez) logikai kötetet kiterjesztettek egy adatlemez használatával.
• M sorozatú virtuális gépek írásgyorsító lemezekkel.
• Az ADE alkalmazása olyan virtuális gépekre, amelyek lemezei titkosítással vannak titkosítva a gazdagépen, vagy kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal (S Standard kiadás + CMK). Az S Standard kiadás + CMK alkalmazása adatlemezre, vagy az ADE-vel titkosított virtuális gépre konfigurált S Standard kiadás + CMK-val rendelkező adatlemez hozzáadása szintén nem támogatott forgatókönyv.
• Az ADE-vel titkosított vagy valaha ADE-vel titkosított virtuális gép migrálása gazdagépen történő titkosításra vagy kiszolgálóoldali titkosításra ügyfél által felügyelt kulcsokkal.
• Virtuális gépek titkosítása feladatátvevő fürtökben.
• Azure ultralemezek titkosítása.
• Prémium SSD v2-lemezek titkosítása.
• A titkos kódokkal rendelkező előfizetésekben lévő virtuális gépek titkosításának engedélyeznie kell a megadott maximális érvényességi idejű szabályzatot a DENY effektussal.

Eszközök telepítése és csatlakozás az Azure-hoz

Az Azure Disk Encryption az Azure CLI és az Azure PowerShell használatával engedélyezhető és felügyelhető. Ehhez helyileg kell telepítenie az eszközöket, és csatlakoznia kell az Azure-előfizetéséhez.

Azure CLI

Az Azure CLI 2.0 egy parancssori eszköz az Azure-erőforrások kezeléséhez. A parancssori felület célja az adatok rugalmas lekérdezése, a hosszú ideig futó műveletek támogatása blokkolásmentes folyamatként, valamint a szkriptek egyszerűvé tétele. Telepítheti helyileg az Azure CLI telepítésének lépéseit követve.

Ha azure-fiókjába az Azure CLI-vel szeretne bejelentkezni, használja az az login parancsot.

az login

Ha ki szeretne választani egy bérlőt, amely alá szeretne bejelentkezni, használja a következőt:

az login --tenant <tenant>

Ha több előfizetéssel rendelkezik, és meg szeretne adni egy konkrétat, kérje le az előfizetési listát az az account listával, és adja meg az az fiókkészlettel.

az account list
az account set --subscription "<subscription name or ID>"

További információ: Az Azure CLI 2.0 használatának első lépései.

Azure PowerShell

Az Azure PowerShell az modul olyan parancsmagokat biztosít, amelyek az Azure Resource Manager-modellt használják az Azure-erőforrások kezeléséhez. Használhatja a böngészőben az Azure Cloud Shell használatával, vagy telepítheti a helyi gépére az Azure PowerShell-modul telepítésének utasításaival.

Ha már telepítette helyileg, győződjön meg arról, hogy az Azure PowerShell SDK legújabb verzióját használja az Azure Disk Encryption konfigurálásához. Töltse le az Azure PowerShell-kiadás legújabb verzióját.

Ha azure-fiókjába szeretne bejelentkezni az Azure PowerShell-lel, használja az Csatlakozás-AzAccount parancsmagot.

Connect-AzAccount

Ha több előfizetéssel rendelkezik, és meg szeretne adni egyet, a Get-AzSubscription parancsmaggal listázhatja őket, majd a Set-AzContext parancsmaggal:

Set-AzContext -Subscription <SubscriptionId>

A Get-AzContext parancsmag futtatása ellenőrzi, hogy a megfelelő előfizetés van-e kiválasztva.

Az Azure Disk Encryption parancsmagok telepítésének megerősítéséhez használja a Get-command parancsmagot:

Get-command *diskencryption*

További információ: Az Azure PowerShell használatának első lépései.

Titkosítás engedélyezése meglévő vagy futó Linux rendszerű virtuális gépen

Ebben az esetben a titkosítást a Resource Manager-sablon, a PowerShell-parancsmagok vagy a CLI-parancsok használatával engedélyezheti. Ha sémainformációra van szüksége a virtuálisgép-bővítményhez, olvassa el az Azure Disk Encryption for Linux-bővítményről szóló cikket.

Fontos

Az Azure Disk Encryption engedélyezése előtt kötelező pillanatképet készíteni és/vagy biztonsági másolatot készíteni egy felügyelt lemezalapú virtuálisgép-példányról. A felügyelt lemezről pillanatképet készíthet a portálról vagy az Azure Backupon keresztül. A biztonsági mentések biztosítják, hogy a titkosítás során váratlan meghibásodás esetén lehetséges legyen a helyreállítási lehetőség. A biztonsági mentést követően a Set-AzVMDiskEncryptionExtension parancsmag használható a felügyelt lemezek titkosítására a -skipVmBackup paraméter megadásával. A Set-AzVMDiskEncryptionExtension parancs a felügyelt lemezalapú virtuális gépeken sikertelen lesz, amíg biztonsági mentést nem végez, és ezt a paramétert meg nem adja.

A titkosítás titkosítása vagy letiltása a virtuális gép újraindítását okozhatja.

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

Az Azure parancssori felület használata

Az Azure CLI parancssori eszköz telepítésével és használatával engedélyezheti a lemeztitkosítást a titkosított VHD-n. Használhatja a böngészőjében az Azure Cloud Shell-lel, vagy telepítheti a helyi gépen, és használhatja bármely PowerShell-munkamenetben. Ha engedélyezni szeretné a titkosítást meglévő vagy futó Linux rendszerű virtuális gépeken az Azure-ban, használja a következő CLI-parancsokat:

Az az vm encryption enable paranccsal engedélyezheti a titkosítást egy futó virtuális gépen az Azure-ban.

• Futó virtuális gép titkosítása:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Futó virtuális gép titkosítása a KEK használatával:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Megjegyzés:

  A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ellenőrizze, hogy a lemezek titkosítva vannak-e: A virtuális gép titkosítási állapotának ellenőrzéséhez használja az az vm encryption show parancsot.

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

Using PowerShell

A Set-AzVMDiskEncryptionExtension parancsmaggal engedélyezheti a titkosítást az Azure-ban futó virtuális gépeken. Készítsen pillanatképet és/vagy készítsen biztonsági másolatot a virtuális gépről az Azure Backup használatával a lemezek titkosítása előtt. A -skipVmBackup paraméter már meg van adva a PowerShell-szkriptekben egy futó Linux rendszerű virtuális gép titkosításához.

• Futó virtuális gép titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoport, a virtuális gép és a kulcstartó előfeltételekként lett létrehozva. Cserélje le a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet az értékeire. Módosítsa a -VolumeType paramétert a titkosítandó lemezek megadásához.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

• Futó virtuális gép titkosítása a KEK használatával: Előfordulhat, hogy hozzá kell adnia a -VolumeType paramétert, ha adatlemezeket titkosít, és nem az operációsrendszer-lemezt.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

  Megjegyzés:

  A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ellenőrizze, hogy a lemezek titkosítva vannak-e: A virtuális gép titkosítási állapotának ellenőrzéséhez használja a Get-AzVmDiskEncryptionStatus parancsmagot.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

Resource Manager-sablon használata

A Resource Manager-sablonnal engedélyezheti a lemeztitkosítást egy meglévő vagy linuxos virtuális gépen az Azure-ban.

1. Kattintson az Azure-ban történő üzembe helyezés gombra az Azure rövid útmutatósablonján.

2. Válassza ki az előfizetést, az erőforráscsoportot, az erőforráscsoport helyét, a paramétereket, a jogi feltételeket és a szerződést. Kattintson a Létrehozás gombra a meglévő vagy a futó virtuális gép titkosításának engedélyezéséhez.

Az alábbi táblázat a Meglévő vagy futó virtuális gépek Resource Manager-sablonparamétereit sorolja fel:

Parameter	Leírás
vmName	A titkosítási művelet futtatásához használt virtuális gép neve.
keyVaultName	Annak a kulcstartónak a neve, amelybe a titkosítási kulcsot fel kell tölteni. A parancsmaggal (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname vagy az Azure CLI-paranccsal az keyvault list --resource-group "MyKeyVaultResourceGroupName"szerezheti be.
keyVaultResourceGroup	A kulcstartót tartalmazó erőforráscsoport neve.
keyEncryptionKeyURL	A titkosítási kulcs titkosításához használt kulcstitkosítási kulcs URL-címe. Ez a paraméter nem kötelező, ha a UseExistingKek legördülő listában a nokek lehetőséget választja. Ha a UseExistingKek legördülő listában a kek értéket választja, meg kell adnia a keyEncryptionKeyURL értéket.
volumeType	A titkosítási művelet által végrehajtott kötet típusa. Az érvényes értékek az operációs rendszer, az adatok és az összes.
forceUpdateTag	Adjon meg egyedi értéket, például GUID-t minden alkalommal, amikor a műveletet kényszeríteni kell.
hely	Az összes erőforrás helyei.

A Linux rendszerű virtuálisgép-lemeztitkosítási sablon konfigurálásával kapcsolatos további információkért lásd : Azure Disk Encryption for Linux.

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

A EncryptionFormatAll funkció használata Linux rendszerű virtuális gépeken lévő adatlemezekhez

A EncryptFormatAll paraméter csökkenti a Linux-adatlemezek titkosításának idejét. A megadott feltételeknek megfelelő partíciók a jelenlegi fájlrendszerükkel együtt formázva lesznek, majd vissza lesznek szerelve arra a helyre, ahol a parancs végrehajtása előtt voltak. Ha ki szeretne zárni egy olyan adatlemezt, amely megfelel a feltételeknek, a parancs futtatása előtt leválaszthatja azt.

A parancs futtatása után a korábban csatlakoztatott meghajtók formázva lesznek, és a titkosítási réteg a most üres meghajtón fog elindulni. Ha ezt a beállítást választja, a virtuális géphez csatolt ideiglenes lemez is titkosítva lesz. Ha az ideiglenes lemez alaphelyzetbe áll, a következő lehetőségnél az Azure Disk Encryption megoldás újraformálja és újra titkosítja a virtuális gép számára. Az erőforráslemez titkosítása után a Microsoft Azure Linux-ügynök nem fogja tudni kezelni az erőforráslemezt és engedélyezni a felcserélési fájlt, de manuálisan konfigurálhatja a felcserélési fájlt.

Figyelmeztetés:

A EncryptFormatAll nem használható, ha a virtuális gép adatkötetén adatokra van szükség. A lemezek leválasztásával kizárhatja a lemezeket a titkosításból. Először egy teszt virtuális gépen próbálja ki a EncryptFormatAll eszközt, és az éles virtuális gépen való kipróbálás előtt ismerje meg a funkcióparamétert és annak következményeit. A EncryptFormatAll beállítás formázja az adatlemezt, és a rajta lévő összes adat elveszik. A folytatás előtt ellenőrizze, hogy a kizárni kívánt lemezek megfelelően nincsenek-e csatlakoztatva.

Ha ezt a paramétert a titkosítási beállítások frissítésekor állítja be, az újraindításhoz vezethet a tényleges titkosítás előtt. Ebben az esetben azt a lemezt is el szeretné távolítani, amelyet nem szeretne formázni az fstab-fájlból. Hasonlóképpen, a titkosítási művelet megkezdése előtt hozzá kell adnia a titkosítandó partíciót az fstab-fájlhoz.

EncryptFormatAll feltétel

A paraméter végighalad az összes partíción, és titkosítja őket mindaddig, amíg megfelelnek az alábbi feltételeknek:

• Nem gyökér-/operációsrendszer-/rendszerindítási partíció
• Még nincs titkosítva
• Nem BEK-kötet
• Nem RAID-kötet
• Nem LVM-kötet
• Csatlakoztatva van

A RAID- vagy LVM-kötetet alkotó lemezek titkosítása a RAID vagy az LVM kötet helyett.

A EncryptFormatAll paraméter használata az Azure CLI-vel

Az az vm encryption enable paranccsal engedélyezheti a titkosítást egy futó virtuális gépen az Azure-ban.

• Futó virtuális gép titkosítása a EncryptFormatAll használatával:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "data" --encrypt-format-all
  

A EncryptFormatAll paraméter használata PowerShell-parancsmaggal

Használja a Set-AzVMDiskEncryptionExtension parancsmagot a EncryptFormatAll paraméterrel.

Futó virtuális gép titkosítása a EncryptFormatAll használatával: Az alábbi szkript például inicializálja a változókat, és a Set-AzVMDiskEncryptionExtension parancsmagot a EncryptFormatAll paraméterrel futtatja. Az erőforráscsoport, a virtuális gép és a kulcstartó előfeltételként lett létrehozva. Cserélje le a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet az értékeire.

$KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MySecureVM';
$KeyVaultName = 'MySecureVault';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "data" -EncryptFormatAll

A EncryptFormatAll paraméter használata a Logikai kötetkezelővel (LVM)

Javasoljuk az LVM titkosításon belüli beállítását. A titkosítási konfiguráció LVM-ével kapcsolatos részletes utasításokért lásd : LVM és RAID konfigurálása ADE-titkosított eszközökön.

Ügyfél által titkosított VHD-ből és titkosítási kulcsokból létrehozott új virtuális gépek

Ebben a forgatókönyvben a titkosítást PowerShell-parancsmagok vagy parancssori felületi parancsok használatával engedélyezheti.

Használja az Azure Disk titkosításának utasításait az Azure-ban használható előre titkosított rendszerképek előkészítéséhez. A rendszerkép létrehozása után a következő szakaszban ismertetett lépésekkel létrehozhat egy titkosított Azure-beli virtuális gépet.

• Előre titkosított Linux VHD előkészítése

Fontos

Az Azure Disk Encryption engedélyezése előtt kötelező pillanatképet készíteni és/vagy biztonsági másolatot készíteni egy felügyelt lemezalapú virtuálisgép-példányról. A felügyelt lemez pillanatképe készíthető a portálról, vagy az Azure Backup is használható. A biztonsági mentések biztosítják, hogy a titkosítás során váratlan meghibásodás esetén lehetséges legyen a helyreállítási lehetőség. A biztonsági mentést követően a Set-AzVMDiskEncryptionExtension parancsmag használható a felügyelt lemezek titkosítására a -skipVmBackup paraméter megadásával. A Set-AzVMDiskEncryptionExtension parancs a felügyelt lemezalapú virtuális gépeken sikertelen lesz, amíg biztonsági mentést nem végez, és ezt a paramétert meg nem adja.

A titkosítás titkosítása vagy letiltása a virtuális gép újraindítását okozhatja.

Virtuális gépek titkosítása előre titkosított virtuális merevlemezekkel az Azure PowerShell használatával

A titkosított VHD-n engedélyezheti a lemeztitkosítást a Set-AzVMOSDisk PowerShell-parancsmaggal. Az alábbi példa néhány gyakori paramétert mutat be.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Linux -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Titkosítás engedélyezése újonnan hozzáadott adatlemezen

Új adatlemezt az az vm disk attach használatával vagy az Azure Portalon vehet fel. A titkosítás előtt először csatlakoztatnia kell az újonnan csatlakoztatott adatlemezt. Az adatmeghajtó titkosítását kell kérnie, mivel a meghajtó nem használható, amíg a titkosítás folyamatban van.

Az Azure parancssori felület használata

Ha a virtuális gépet korábban az "Összes" kóddal titkosították, akkor a --volume-type paraméternek az "Összes" értéknek kell maradnia. Mindegyik tartalmazza az operációs rendszert és az adatlemezeket is. Ha a virtuális gépet korábban "OS" típusú kötettípussal titkosították, akkor a --volume-type paramétert "All" értékre kell módosítani, hogy az operációs rendszer és az új adatlemez is szerepeljen benne. Ha a virtuális gépet csak az "Adatok" kötettípussal titkosították, akkor az "Adatok" maradhat az alábbiak szerint. Az új adatlemezek virtuális géphez való hozzáadása és csatolása nem elegendő a titkosítás előkészítéséhez. Az újonnan csatlakoztatott lemezt a titkosítás engedélyezése előtt formázni és megfelelően kell csatlakoztatni a virtuális gépen. Linux rendszeren a lemezt állandó blokkeszköznévvel kell csatlakoztatni az /etc/fstab fájlba.

A PowerShell-szintaxissal ellentétben a parancssori felület nem követeli meg, hogy a felhasználó egyedi sorozatverziót adjon meg a titkosítás engedélyezésekor. A parancssori felület automatikusan létrehozza és felhasználja a saját egyedi sorozatverzió-értékét.

• Futó virtuális gép adatköteteinek titkosítása:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
  

• Futó virtuális gép adatköteteinek titkosítása a KEK használatával:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
  

Az Azure PowerShell használata

Ha a PowerShell használatával titkosít egy új lemezt Linuxhoz, meg kell adni egy új sorozatverziót. A sorozatverziónak egyedinek kell lennie. Az alábbi szkript létrehoz egy GUID azonosítót a sorozatverzióhoz. Készítsen pillanatképet és/vagy készítsen biztonsági másolatot a virtuális gépről az Azure Backup használatával a lemezek titkosítása előtt. A -skipVmBackup paraméter már meg van adva a PowerShell-szkriptekben egy újonnan hozzáadott adatlemez titkosításához.

• Futó virtuális gép adatköteteinek titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek és a kulcstartónak már előfeltételként létre kellett volna hoznia. Cserélje le a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet az értékeire. A -VolumeType paraméter elfogadható értékei az összes, az operációs rendszer és az adatok. Ha a virtuális gépet korábban "OS" vagy "All" kötettípussal titkosították, akkor a -VolumeType paramétert "All" értékre kell módosítani, hogy az operációs rendszer és az új adatlemez is szerepeljen benne.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MySecureVM';
  $KeyVaultName = 'MySecureVault';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

• Futó virtuális gép adatköteteinek titkosítása a KEK használatával: A -VolumeType paraméter elfogadható értékei az Összes, az operációs rendszer és az Adatok. Ha a virtuális gépet korábban "OS" vagy "All" kötettípussal titkosították, akkor a -VolumeType paramétert a Mind értékre kell módosítani, hogy az operációs rendszer és az új adatlemez is szerepeljen benne.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

  Megjegyzés:

  A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[KVresource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Titkosítás letiltása és a titkosítási bővítmény eltávolítása

Letilthatja az Azure lemeztitkosítási bővítményt, és eltávolíthatja az Azure lemeztitkosítási bővítményt. Ez két különböző művelet.

Az ADE eltávolításához javasoljuk, hogy először tiltsa le a titkosítást, majd távolítsa el a bővítményt. Ha letiltás nélkül távolítja el a titkosítási bővítményt, a lemezek továbbra is titkosítva lesznek. Ha a bővítmény eltávolítása után letiltja a titkosítást, a bővítmény újra lesz telepítve (a visszafejtési művelet végrehajtásához), és másodszor el kell távolítani.

Figyelmeztetés:

Nem tilthatja le a titkosítást, ha az operációsrendszer-lemez titkosítva van. (Az operációsrendszer-lemezek akkor lesznek titkosítva, ha az eredeti titkosítási művelet a volumeType=ALL vagy a volumeType=OS paramétert adja meg.)

A titkosítás letiltása csak akkor működik, ha az adatlemezek titkosítva vannak, de az operációsrendszer-lemez nem.

Titkosítás letiltása

Letilthatja a titkosítást az Azure PowerShell, az Azure CLI vagy egy Resource Manager-sablon használatával. A titkosítás letiltása nem távolítja el a bővítményt (lásd: A titkosítási bővítmény eltávolítása).

• Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás letiltásához használja a Disable-AzVMDiskEncryption parancsmagot.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "data"
  

• Titkosítás letiltása az Azure CLI-vel: A titkosítás letiltásához használja az az vm encryption disable parancsot.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "data"
  

• Titkosítás letiltása Resource Manager-sablonnal:

  1. A Linux rendszerű virtuálisgép-sablon lemeztitkosításának letiltása című témakörben kattintson az Üzembe helyezés az Azure-ba elemre.
  2. Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a virtuális gépet, a kötet típusát, a jogi feltételeket és a szerződést.
  3. A Vásárlás gombra kattintva letilthatja a lemeztitkosítást egy futó Linux rendszerű virtuális gépen.

A titkosítási bővítmény eltávolítása

Ha vissza szeretné fejteni a lemezeket, és el szeretné távolítani a titkosítási bővítményt, a bővítmény eltávolítása előtt le kell tiltania a titkosítást. Lásd: titkosítás letiltása.

A titkosítási bővítményt az Azure PowerShell vagy az Azure CLI használatával távolíthatja el.

• Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás eltávolításához használja a Remove-AzVMDiskEncryptionExtension parancsmagot.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Titkosítás letiltása az Azure CLI-vel: A titkosítás eltávolításához használja az az vm extension delete parancsot.

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryptionForLinux"
  

Következő lépések

• Az Azure Disk Encryption áttekintése
• Azure Disk Encryption – mintaszkriptek
• Azure Disk Encryption – hibaelhárítás