Megosztás a következőn keresztül:

Azure Disk Encryption Linux rendszerű virtuális gépekhez – hibaelhárítási útmutató

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

Ez az útmutató olyan informatikai szakembereknek, információbiztonsági elemzőknek és felhőgazdáknak szól, akiknek a szervezete az Azure Disk Encryptiont használja. Ez a cikk a lemeztitkosítással kapcsolatos problémák hibaelhárításában nyújt segítséget.

Az alábbi lépések elvégzése előtt először győződjön meg arról, hogy a titkosítandó virtuális gépek a támogatott virtuálisgép-méretek és operációs rendszerek közé tartoznak, és hogy minden előfeltétel teljesült:

Linux operációsrendszer-lemeztitkosítás hibaelhárítása

A Linux operációs rendszer (OS) lemeztitkosításának le kell bontania az operációsrendszer-meghajtót, mielőtt a teljes lemeztitkosítási folyamaton keresztül futtatja. Ha nem tudja leválasztani a meghajtót, a következő hibaüzenet jelenik meg: "Nem sikerült leválasztani..." valószínűleg bekövetkezik.

Ez a hiba akkor fordulhat elő, ha operációsrendszer-lemeztitkosítást kísérel meg egy olyan virtuális gépen, amelyen a támogatott készletgyűjtemény rendszerképe módosult. A támogatott rendszerképtől való eltérések zavarhatják a bővítmény operációsrendszer-meghajtó leválasztásának képességét. Az eltérések például a következő elemeket tartalmazhatják:

  • A testreszabott rendszerképek már nem egyeznek a támogatott fájlrendszerrel vagy particionálási sémával.
  • Az olyan nagyméretű alkalmazások, mint az SAP, a MongoDB, az Apache Cassandra és a Docker nem támogatottak, ha a titkosítás előtt telepítve vannak és futnak az operációs rendszerben. Az Azure Disk Encryption nem tudja biztonságosan leállítani ezeket a folyamatokat az operációsrendszer-meghajtó lemeztitkosításra való előkészítése során. Ha még mindig vannak aktív folyamatok, amelyek nyitott fájlfogópontokat tartanak az operációsrendszer-meghajtóhoz, az operációsrendszer-meghajtó nem csatlakoztatható, ami az operációsrendszer-meghajtó titkosításának sikertelenségét eredményezi.
  • Az engedélyezett titkosításhoz közel futó egyéni szkriptek, vagy ha a titkosítási folyamat során bármilyen más módosítás történik a virtuális gépen. Ez az ütközés akkor fordulhat elő, ha egy Azure Resource Manager-sablon több bővítményt határoz meg az egyidejű végrehajtáshoz, vagy ha egy egyéni szkriptbővítmény vagy más művelet egyidejűleg fut a lemeztitkosítással. Az ilyen lépések szerializálása és elkülönítése megoldhatja a problémát.
  • A security Enhanced Linux (SELinux) nem lett letiltva a titkosítás engedélyezése előtt, ezért a leválasztási lépés meghiúsul. A SELinux újra szerkeszthető a titkosítás befejezése után.
  • Az operációsrendszer-lemez logikai kötetkezelő (LVM) sémát használ. Bár korlátozott LVM-adatlemez-támogatás érhető el, az LVM operációs rendszer lemeze nem.
  • A minimális memóriakövetelmények nem teljesülnek (az operációs rendszer lemeztitkosításához 7 GB javasolt).
  • Az adatmeghajtók rekurzívan vannak csatlakoztatva az /mnt/ könyvtár alatt vagy egymáshoz (például /mnt/data1, /mnt/data2, /data3 + /data3/data4).

Az Ubuntu 14.04 LTS alapértelmezett kernelének frissítése

Az Ubuntu 14.04 LTS rendszerkép a 4.4-es alapértelmezett kernelverzióval rendelkezik. Ennek a kernelverziónak van egy ismert problémája, amely miatt a Memóriakivételi gyilkos helytelenül leállítja a dd parancsot az operációs rendszer titkosítási folyamata során. Ezt a hibát kijavítottuk a legújabb Azure-ra hangolt Linux-kernelben. A hiba elkerülése érdekében a rendszerkép titkosításának engedélyezése előtt frissítsen az Azure-ra hangolt kernel 4.15-ös vagy újabb verziójára az alábbi parancsokkal:

sudo apt-get update
sudo apt-get install linux-azure
sudo reboot

Miután a virtuális gép újraindult az új kernelbe, az új kernelverzió a következővel erősíthető meg:

uname -a

Az Azure Virtual Machine Agent és a bővítményverziók frissítése

Előfordulhat, hogy az Azure Disk Encryption-műveletek meghiúsulnak a virtuálisgép-rendszerképeken az Azure Virtual Machine Agent nem támogatott verzióival. A titkosítás engedélyezése előtt frissíteni kell a 2.2.38-nál korábbi ügynökverziójú Linux-lemezképeket. További információ : Az Azure Linux-ügynök frissítése virtuális gépen és minimális verziótámogatás az Azure-beli virtuálisgép-ügynökök számára.

A Microsoft.Azure.Security.AzureDiskEncryption vagy a Microsoft.Azure.Security.AzureDiskEncryptionForLinux vendégügynök bővítmény megfelelő verziója is szükséges. A bővítményverziókat a platform automatikusan karbantartja és frissíti, amikor az Azure Virtual Machine-ügynök előfeltételei teljesülnek, és a virtuálisgép-ügynök támogatott verzióját használják.

A Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux bővítmény elavult, és már nem támogatott.

Linux-lemezek titkosítása nem sikerült

Bizonyos esetekben úgy tűnik, hogy a Linux lemeztitkosítás elakadt az "operációsrendszer-lemeztitkosítás elindult" és az SSH le van tiltva. A titkosítási folyamat 3–16 órát is igénybe vehet egy készletgyűjtemény képének befejezéséig. Ha több terabájt méretű adatlemezeket ad hozzá, a folyamat napokig is eltarthat.

A Linux operációsrendszer-lemeztitkosítási sorozat ideiglenesen leválasztja az operációsrendszer-meghajtót. Ezután blokkonkénti titkosítást hajt végre a teljes operációsrendszer-lemezen, mielőtt újracsatlakoztatja a titkosított állapotban. A Linux Lemeztitkosítás nem teszi lehetővé a virtuális gép egyidejű használatát, amíg a titkosítás folyamatban van. A virtuális gép teljesítményjellemzői jelentős különbséget tehetnek a titkosítás befejezéséhez szükséges idő tekintetében. Ezek a jellemzők magukban foglalják a lemez méretét, valamint azt, hogy a tárfiók standard vagy prémium szintű (SSD) tároló-e.

Miközben az operációsrendszer-meghajtó titkosítva van, a virtuális gép karbantartási állapotba kerül, és letiltja az SSH-t, hogy megakadályozza a folyamatban lévő folyamat megszakítását. A titkosítás állapotának ellenőrzéséhez használja az Azure PowerShell Get-AzVmDiskEncryptionStatus parancsot, és ellenőrizze a ProgressMessage mezőt. A ProgressMessage állapotok sorozatát jelenti az adatok és operációsrendszer-lemezek titkosítása során:

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage            : Transitioning

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for data volumes

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Provisioning succeeded

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : OS disk encryption started

A ProgressMessage a titkosítási folyamat nagy részében az operációsrendszer-lemeztitkosításban marad. Ha a titkosítás befejeződött és sikeres, a ProgressMessage a következőt adja vissza:

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for all volumes

Miután ez az üzenet elérhetővé válik, a titkosított operációsrendszer-meghajtó várhatóan használatra kész lesz, és a virtuális gép készen áll az újbóli használatra.

Ha a rendszerindítási információk, a folyamat előrehaladási üzenete vagy egy hibajelentés szerint az operációs rendszer titkosítása a folyamat közepén meghiúsult, állítsa vissza a virtuális gépet a titkosítás előtt közvetlenül készített pillanatképre vagy biztonsági mentésre. Ilyen üzenet például a jelen útmutatóban ismertetett "nem sikerült leválasztani" hibaüzenet.

A titkosítás újraértékelése előtt értékelje újra a virtuális gép jellemzőit, és győződjön meg arról, hogy az összes előfeltétel teljesül.

Az Azure Disk Encryption tűzfal mögötti hibaelhárítása

Lemeztitkosítás megtekintése izolált hálózaton

Titkosítási állapot hibaelhárítása

A portál akkor is megjeleníthet titkosítottként egy lemezt, ha az titkosítva lett a virtuális gépen belül. Ez akkor fordulhat elő, ha alacsony szintű parancsokkal közvetlenül feloldja a lemez titkosítását a virtuális gépen belülről a magasabb szintű Azure Disk Encryption felügyeleti parancsok használata helyett. A magasabb szintű parancsok nem csak a virtuális gépről oldják fel a lemez titkosítását, hanem a virtuális gépen kívül is frissítik a virtuális géphez társított fontos platformszintű titkosítási beállításokat és bővítménybeállításokat. Ha ezek nem igazodnak egymáshoz, a platform nem fogja tudni jelenteni a titkosítás állapotát, vagy nem tudja megfelelően kiépíteni a virtuális gépet.

Az Azure Disk Encryption PowerShell-lel való letiltásához használja a Disable-AzVMDiskEncryption és a Remove-AzVMDiskEncryptionExtension parancsot. A Remove-AzVMDiskEncryptionExtension futtatása a titkosítás letiltása előtt sikertelen lesz.

Az Azure Disk Encryption parancssori felülettel való letiltásához használja az az vm encryption disable parancsot.

Következő lépések

Ebben a dokumentumban többet is megtudhatott az Azure Disk Encryption néhány gyakori problémájáról, és arról, hogyan háríthatja el ezeket a problémákat. A szolgáltatással és képességeivel kapcsolatos további információkért tekintse meg a következő cikkeket: