Azure Disk Encryption for Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Áttekintés

Az Azure Disk Encryption a Linux dm-crypt alrendszerét használja, hogy teljes lemeztitkosítást biztosítson a kiválasztott Azure Linux-disztribúciókon. Ez a megoldás integrálva van az Azure Key Vaulttal a lemeztitkosítási kulcsok és titkos kódok kezeléséhez.

Előfeltételek

Az előfeltételek teljes listáját a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptionben találja, különösen a következő szakaszokban:

• Támogatott virtuális gépek és operációs rendszerek
• További virtuálisgép-követelmények
• Hálózati követelmények
• A titkosítási kulcs tárhelyével kapcsolatos követelmények

Bővítményséma

Az Azure Disk Encryption (ADE) bővítményséma két verziója létezik:

• v1.1 – Egy újabb javasolt séma, amely nem használja a Microsoft Entra tulajdonságait.
• v0.1 – Egy régebbi séma, amely Microsoft Entra-tulajdonságokat igényel.

Célséma kiválasztásához a typeHandlerVersion tulajdonságnak a használni kívánt séma verziójával egyenlőnek kell lennie.

Séma v1.1: Nincs Microsoft Entra-azonosító (ajánlott)

Az 1.1-s verziós séma használata ajánlott, és nem igényel Microsoft Entra-tulajdonságokat.

Megjegyzés:

A DiskFormatQuery paraméter elavult. A funkcióját ehelyett a EncryptionFormatAll beállítás váltotta fel, amely az adatlemezek titkosításkor történő formázásának ajánlott módja.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Séma v0.1: Microsoft Entra-azonosítóval

A 0.1 sémához vagy AADClientIDAADClientSecret vagy AADClientCertificate.

A következő használatával AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

A következő használatával AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Tulajdonságértékek

Megjegyzés: Minden tulajdonságérték megkülönbözteti a kis- és nagybetűket.

Name	Érték/ Példa	Adattípus
apiVersion	2019-07-01	dátum:
Publisher	Microsoft.Azure.Security	sztring
típus	AzureDiskEncryptionForLinux	sztring
typeHandlerVersion	1.1, 0.1	egész
(0.1 séma) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(0.1 séma) AADClientSecret	jelszó	sztring
(0.1 séma) AADClientCertificate	Ujjlenyomat	sztring
(nem kötelező) (0.1 séma) Jelszót	jelszó	sztring
DiskFormatQuery	{"dev_path":"","name":""","file_system":""}	JSON-szótár
EncryptionOperation	EnableEncryption, EnableEncryptionFormatAll	sztring
(nem kötelező – alapértelmezett RSA-OAEP ) KeyEncryptionAlgorithm	"RSA-OAEP", "RSA-OAEP-256", "RSA1_5"	sztring
KeyVaultURL	url	sztring
KeyVaultResourceId	url	sztring
(nem kötelező) KeyEncryptionKeyURL	url	sztring
(nem kötelező) KekVaultResourceId	url	sztring
(nem kötelező) SequenceVersion	uniqueidentifier	sztring
VolumeType	Operációs rendszer, Adatok, Minden	sztring

Sablonalapú telepítés

A séma 1.1-en alapuló sablontelepítésre példa az Azure Quickstart Template encrypt-running-linux-vm-without-aad című témakörben található.

A séma v0.1-en alapuló sablontelepítésre példa az Azure Rövid útmutató sablonja , a encrypt-running-linux-vm.

Figyelmeztetés:

• Ha korábban a Microsoft Entra-azonosítóval rendelkező Azure Disk Encryptiont használta a virtuális gépek titkosításához, ezt a beállítást továbbra is használnia kell a virtuális gép titkosításához.
• Linux operációsrendszer-kötetek titkosítása esetén a virtuális gépet nem elérhetőnek kell tekinteni. Határozottan javasoljuk, hogy kerülje az SSH-bejelentkezéseket, amíg a titkosítás folyamatban van, hogy elkerülje azon megnyitott fájlok blokkolásával kapcsolatos problémákat, amelyekhez a titkosítási folyamat során hozzá kell férni. Az állapot ellenőrzéséhez használja a Get-AzVMDiskEncryptionStatus PowerShell parancsmagot vagy a virtuálisgép-titkosítási parancssori felület parancsát. Ez a folyamat várhatóan néhány órát vesz igénybe egy 30 GB-os operációsrendszer-kötet esetében, plusz az adatkötetek titkosítása további időt vesz igénybe. Az adatkötet titkosítási ideje arányos lesz az adatkötetek méretével és mennyiségével; a encrypt format all beállítás gyorsabb, mint a helyszíni titkosítás, de a lemezeken lévő összes adat elvesztését eredményezi.
• Linux rendszerű virtuális gépeken a titkosítás letiltása csak adatkötetek esetében támogatott. Ha az operációsrendszer-kötet titkosítva van, nem támogatott adatok vagy operációsrendszer-kötetek esetében.

Megjegyzés:

VolumeType Ha a paraméter Értéke Minden, akkor az adatlemezek csak akkor lesznek titkosítva, ha megfelelően vannak csatlakoztatva.

Hibaelhárítás és támogatás

Hibaelhárítás

A hibaelhárításhoz tekintse meg az Azure Disk Encryption hibaelhárítási útmutatóját.

Support

Ha a cikk bármely pontján további segítségre van szüksége, forduljon az Azure szakértőihez az MSDN Azure és a Stack Overflow fórumain.

Másik lehetőségként Azure-támogatás incidenst is beszedhet. Nyissa meg a Azure-támogatás, és válassza a Támogatás kérése lehetőséget. Az Azure-támogatással kapcsolatos további információkért olvassa el a Microsoft Azure támogatási gyakori kérdéseit.

Következő lépések

• A virtuálisgép-bővítményekről további információt a Linux virtuálisgép-bővítményei és funkciói című témakörben talál.
• További információ a Linuxhoz készült Azure Disk Encryptionről: Linux rendszerű virtuális gépek.