Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Azure Disk Encryption dijadwalkan untuk penghentian pada 15 September 2028. Hingga tanggal tersebut, Anda dapat terus menggunakan Azure Disk Encryption tanpa gangguan. Pada 15 September 2028, beban kerja berkemampuan ADE akan terus berjalan, tetapi disk terenkripsi akan gagal dibuka setelah reboot VM, mengakibatkan gangguan layanan.
Gunakan enkripsi di host untuk VM baru, atau pertimbangkan ukuran VM Rahasia dengan enkripsi disk OS untuk beban kerja komputasi rahasia. Semua VM yang diaktifkan ADE (termasuk cadangan) harus bermigrasi ke enkripsi di host sebelum tanggal penghentian untuk menghindari gangguan layanan. Lihat Migrasi dari Azure Disk Encryption ke enkripsi di host untuk detailnya.
Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Set skala fleksibel
Panduan ini untuk profesional IT, analis keamanan informasi, dan administrator cloud yang organisasinya menggunakan Azure Disk Encryption. Artikel ini untuk membantu pemecahan masalah terkait enkripsi disk.
Sebelum mengambil salah satu langkah ini, pertama-tama pastikan bahwa VM yang Anda coba enkripsi adalah salah satu ukuran VM dan sistem operasi yang didukung, dan Anda memenuhi semua prasyarat:
Pemecahan masalah enkripsi disk OS Linux
Enkripsi disk sistem operasi (OS) Linux harus melepas drive OS sebelum menjalankannya melalui proses enkripsi disk penuh. Jika tidak dapat melepas drive, pesan kesalahan "gagal melepas setelah..." kemungkinan akan muncul.
Kesalahan ini dapat terjadi ketika enkripsi disk OS dicoba untuk dilakukan pada VM dengan lingkungan yang berubah dari gambar galeri standar yang didukung. Penyimpangan dari gambar yang didukung dapat mengganggu kemampuan ekstensi untuk melepas drive OS. Contoh penyimpangan bisa mencakup item berikut:
- Gambar yang dikustomisasi tidak lagi cocok dengan sistem file atau skema partisi yang didukung.
- Aplikasi besar seperti SAP, MongoDB, Apache Cassandra, dan Docker tidak didukung saat aplikasi tersebut diinstal dan berjalan di OS sebelum enkripsi. Azure Disk Encryption tidak dapat mematikan proses ini dengan aman sebagaimana diperlukan dalam persiapan drive OS untuk enkripsi disk. Jika masih ada proses aktif yang memiliki handel file terbuka ke drive OS, drive OS tidak dapat dilepas, sehingga proses enkripsi drive OS akan gagal.
- Skrip kustom yang berjalan dalam waktu yang berdekatan dengan saat enkripsi diaktifkan, atau jika ada perubahan lain yang dilakukan pada VM dalam proses enkripsi. Konflik ini dapat terjadi ketika template Azure Resource Manager menentukan beberapa ekstensi untuk dijalankan secara bersamaan, atau ketika ekstensi skrip kustom atau tindakan lainnya berjalan secara bersamaan ke enkripsi disk. Menserialisasi dan mengisolasi langkah-langkah tersebut dapat menyelesaikan masalah.
- Security Enhanced Linux (SELinux) belum dinonaktifkan sebelum mengaktifkan enkripsi, sehingga langkah pelepasan gagal. SELinux dapat diaktifkan kembali setelah enkripsi selesai.
- Disk OS menggunakan skema Logical Volume Manager (LVM). Meskipun dukungan disk data LVM yang terbatas tersedia, dukungan untuk disk OS LVM tidak ada.
- Persyaratan memori minimum tidak terpenuhi (7 GB disarankan untuk enkripsi disk OS).
- Penyimpanan data dipasang secara rekursif di direktori /mnt/, atau di bawah satu sama lain (misalnya, /mnt/data1, /mnt/data2, /data3 + /data3/data4).
Memperbarui kernel default untuk Ubuntu 14.04 LTS
Gambar Ubuntu 14.04 LTS dikirim dengan versi kernel default 4.4. Versi kernel ini memiliki masalah umum di mana Out of Memory Killer secara tidak tepat mengakhiri perintah dd selama proses enkripsi OS. Bug ini telah diperbaiki di kernel Linux terbaru yang disesuaikan untuk Azure. Untuk menghindari kesalahan ini, sebelum mengaktifkan enkripsi pada gambar, perbarui ke kernel 4.15 yang disetel Azure atau yang lebih baru menggunakan perintah berikut:
sudo apt-get update
sudo apt-get install linux-azure
sudo reboot
Setelah VM dimulai ulang ke kernel baru, versi kernel baru dapat dikonfirmasi menggunakan:
uname -a
Memperbarui versi Agen Mesin Virtual Azure dan ekstensi
Operasi Azure Disk Encryption mungkin gagal pada gambar mesin virtual menggunakan versi Azure Virtual Machine Agent yang tidak didukung. Gambar Linux dengan versi agen yang lebih lama dari 2.2.38 harus diperbarui sebelum mengaktifkan enkripsi. Untuk informasi selengkapnya, lihat Cara memperbarui Azure Linux Agent pada VM dan Dukungan versi minimum untuk agen mesin virtual di Azure.
Versi ekstensi agen tamu Microsoft.Azure.Security.AzureDiskEncryption atau Microsoft.Azure.Security.AzureDiskEncryptionForLinux yang benar juga diperlukan. Versi ekstensi dipertahankan dan diperbarui secara otomatis oleh platform ketika prasyarat agen Azure Virtual Machine dipenuhi dan versi yang didukung dari agen mesin virtual digunakan.
Ekstensi Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux telah tidak lagi digunakan dan didukung.
Tidak dapat mengenkripsi disk Linux
Dalam beberapa kasus, enkripsi disk Linux tampaknya macet di "enkripsi disk OS dimulai" dan SSH dinonaktifkan. Proses enkripsi dapat memakan waktu antara 3 hingga 16 jam untuk gambar galeri stok hingga selesai. Jika disk data berukuran multi-terabyte ditambahkan, prosesnya mungkin memakan waktu berhari-hari.
Urutan enkripsi disk LINUX OS melepas drive OS untuk sementara. Kemudian melakukan enkripsi blok demi blok dari seluruh disk OS, sebelum memasangnya kembali dalam statusnya yang dienkripsi. Enkripsi Disk Linux tidak memungkinkan penggunaan VM secara bersamaan saat enkripsi sedang berlangsung. Karakteristik performa VM dapat membuat perbedaan yang signifikan dalam waktu yang diperlukan untuk menyelesaikan enkripsi. Karakteristik ini termasuk ukuran disk dan apakah akun penyimpanan adalah penyimpanan standar atau premium (SSD).
Saat drive OS sedang dienkripsi, VM memasuki status layanan dan menonaktifkan SSH untuk mencegah gangguan pada proses yang sedang berlangsung. Untuk memeriksa status enkripsi, gunakan perintah Azure PowerShell Get-AzVmDiskEncryptionStatus, dan periksa bidang ProgressMessage. ProgressMessage akan melaporkan serangkaian status saat disk OS dan data dienkripsi:
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage : Transitioning
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for data volumes
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Provisioning succeeded
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : OS disk encryption started
ProgressMessage akan tetap berada pada status memulai enkripsi disk OS untuk sebagian besar proses enkripsi. Ketika enkripsi selesai dan berhasil, ProgressMessage akan menampilkan:
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : Encrypted
DataVolumesEncrypted : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for all volumes
Setelah pesan ini tersedia, drive OS yang dienkripsi diharapkan siap digunakan dan VM siap digunakan lagi.
Jika informasi boot, pesan progres, atau kesalahan melaporkan bahwa enkripsi OS telah gagal di tengah proses ini, pulihkan VM ke rekam jepret atau cadangan yang langsung diambil sebelum enkripsi. Contoh pesan terkait dengan kesalahan "gagal melepas" yang dijelaskan dalam panduan ini.
Sebelum melakukan upaya enkripsi ulang, evaluasi kembali karakteristik VM dan pastikan bahwa semua prasyarat dipenuhi.
Pemecahan masalah Azure Disk Encryption di balik firewall
Lihat Enkripsi Disk pada jaringan yang terisolasi
Pemecahan masalah status enkripsi
Portal mungkin menunjukkan disk sebagai telah dienkripsi bahkan setelah disk tersebut didekripsi dalam VM. Ini dapat terjadi ketika perintah tingkat rendah digunakan untuk membatalkan enkripsi disk secara langsung dari dalam VM, bukan menggunakan perintah manajemen Azure Disk Encryption dengan tingkat yang lebih tinggi. Perintah tingkat yang lebih tinggi tidak hanya membatalkan enkripsi disk dari dalam VM, tetapi di luar VM, perintah tersebut juga memperbarui pengaturan enkripsi tingkat platform yang penting dan pengaturan ekstensi yang terkait dengan VM. Jika perintah ini tidak disesuaikan, platform tidak akan dapat melaporkan status enkripsi atau memprovisikan VM dengan benar.
Untuk menonaktifkan Azure Disk Encryption dengan PowerShell, gunakan Disable-AzVMDiskEncryption diikuti dengan Remove-AzVMDiskEncryptionExtension. Menjalankan Remove-AzVMDiskEncryptionExtension sebelum enkripsi dinonaktifkan akan mengakibatkan kegagalan.
Untuk menonaktifkan Azure Disk Encryption dengan CLI, gunakan az vm encryption disable.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari lebih lanjut beberapa masalah umum di Azure Disk Encryption dan cara memecahkan masalah tersebut. Untuk informasi selengkapnya tentang layanan ini dan kemampuannya, lihat artikel berikut: