Skenario Azure Disk Encryption pada Mesin Virtual Linux

Penting

Azure Disk Encryption dijadwalkan untuk penghentian pada 15 September 2028. Hingga tanggal tersebut, Anda dapat terus menggunakan Azure Disk Encryption tanpa gangguan. Pada 15 September 2028, beban kerja berkemampuan ADE akan terus berjalan, tetapi disk terenkripsi akan gagal dibuka setelah reboot VM, mengakibatkan gangguan layanan.

Gunakan enkripsi di host untuk VM baru, atau pertimbangkan ukuran VM Rahasia dengan enkripsi disk OS untuk beban kerja komputasi rahasia. Semua VM yang diaktifkan ADE (termasuk cadangan) harus bermigrasi ke enkripsi di host sebelum tanggal penghentian untuk menghindari gangguan layanan. Lihat Migrasi dari Azure Disk Encryption ke enkripsi di host untuk detailnya.

Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Set skala fleksibel

Azure Disk Encryption untuk mesin virtual Linux menggunakan fitur DM-Crypt Linux untuk menyediakan enkripsi disk penuh dari disk OS dan disk data. Selain itu, ini menyediakan enkripsi disk sementara saat menggunakan fitur EncryptFormatAll.

Azure Disk Encryption terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk. Untuk gambaran umum layanan, lihat Azure Disk Encryption untuk VM Linux.

Prasyarat

Anda hanya dapat menerapkan enkripsi disk ke komputer virtual dengan ukuran VM dan sistem operasi yang didukung. Anda juga harus memenuhi prasyarat berikut:

• Persyaratan untuk VM
• Persyaratan jaringan
• Persyaratan penyimpanan kunci enkripsi

Dalam semua kasus, Anda harus mengambil snapshot dan / atau membuat cadangan sebelum disk dienkripsi. Cadangan memastikan bahwa opsi pemulihan memungkinkan jika kegagalan tak terduga terjadi selama enkripsi. Komputer virtual dengan disk terkelola memerlukan cadangan sebelum enkripsi terjadi. Setelah cadangan dibuat, Anda dapat menggunakan cmdlet Set-AzVMDiskEncryptionExtension untuk mengenkripsi disk terkelola dengan menentukan parameter -skipVmBackup. Untuk informasi lebih lanjut tentang cara mencadangkan dan memulihkan VM terenkripsi, lihat artikel Azure Backup.

Batasan

Jika sebelumnya Anda menggunakan Azure Disk Encryption dengan MICROSOFT Entra ID untuk mengenkripsi komputer virtual, Anda harus terus menggunakan opsi ini untuk mengenkripsi komputer virtual Anda. Lihat Azure Disk Encryption dengan Microsoft Entra ID (rilis sebelumnya) untuk detailnya.

Saat Anda mengenkripsi volume OS Linux, VM harus dianggap tidak tersedia. Kami sangat menyarankan untuk menghindari login SSH saat enkripsi sedang berlangsung untuk menghindari masalah memblokir file terbuka yang perlu diakses selama proses enkripsi. Untuk memeriksa kemajuan, gunakan cmdlet PowerShell Get-AzVMDiskEncryptionStatus atau perintah CLI vm encryption show. Proses ini dapat memakan waktu beberapa jam untuk volume OS 30GB, ditambah waktu tambahan untuk mengenkripsi volume data. Waktu enkripsi volume data sebanding dengan ukuran dan kuantitas volume data kecuali jika opsi 'format enkripsi semua' digunakan.

Menonaktifkan enkripsi pada Linux VM hanya didukung untuk volume data. Menonaktifkan enkripsi tidak didukung pada volume data atau OS jika volume OS dienkripsi.

Azure Disk Encryption tidak berfungsi untuk skenario, fitur, dan teknologi Linux berikut:

• Mengenkripsi VM tingkat dasar atau VM yang dibuat melalui metode pembuatan VM klasik.
• Mengenkripsi VM seri v6 dengan disk sementara (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6, Epdsv6, atau Endsv6). Untuk informasi selengkapnya, lihat halaman individual untuk masing-masing ukuran VM ini yang tercantum di Ukuran untuk komputer virtual di Azure
• Mengenkripsi seri V7 dan ukuran VM yang lebih baru.
• Menonaktifkan enkripsi pada drive OS atau drive data VM Linux saat drive OS dienkripsi.
• Mengenkripsi drive OS untuk Linux Virtual Machine Scale Sets.
• Mengenkripsi gambar kustom di Linux VMs.
• Integrasi dengan sistem manajemen kunci lokal.
• Azure Files (sistem file bersama).
• Sistem File Jaringan (NFS).
• Volume dinamis.
• Disk OS sementara.
• Enkripsi sistem file bersama/terdistribusi seperti (tetapi tidak terbatas pada): DFS, GFS, DRDB, dan CephFS.
• Memindahkan VM terenkripsi ke langganan atau wilayah lain.
• Membuat gambar atau rekam jepret VM terenkripsi dan menggunakannya untuk menyebarkan lebih banyak VM.
• Kernel Crash Dump (kdump) - Proses pembuatan cadangan data saat kernel mengalami kegagalan.
• Oracle ACFS (Sistem File Klaster ASM).
• Disk NVMe seperti yang ada pada ukuran VM performa komputasi tinggi atau ukuran VM yang dioptimalkan untuk penyimpanan.
• Mesin Virtual dengan "titik pemasangan berlapis"; yaitu, beberapa titik pemasangan pada satu jalur (seperti "/1stmountpoint/data/2ndmountpoint").
• VM dengan drive data yang dipasang di atas folder OS.
• VM di mana volume logis root (disk OS) diperluas menggunakan disk data.
• Mengubah ukuran disk OS.
• Penyimpanan keluarga 'L' mengoptimalkan seri ukuran VM.
• VM seri M dengan diska Write Accelerator.
• Menerapkan ADE ke VM yang memiliki disk yang dienkripsi dengan Enkripsi di Host atau enkripsi sisi server dengan kunci yang dikelola pelanggan (SSE + CMK). Menerapkan SSE + CMK ke disk data atau menambahkan disk data dengan SSE + CMK yang dikonfigurasi ke VM yang dienkripsi dengan ADE juga merupakan skenario yang tidak didukung.
• Memigrasikan VM yang dienkripsi dengan ADE, atau pernah dienkripsi dengan ADE, ke Enkripsi di Host atau enkripsi sisi server dengan kunci yang dikelola pelanggan.
• Mengenkripsi VM dalam kluster failover.
• Enkripsi Azure Disk Ultra.
• Enkripsi Premium SSD v2 disks.
• Enkripsi VM dalam langganan yang memiliki kebijakan kunci rahasia harus memiliki periode validitas maksimum yang telah ditentukan diaktifkan dengan efek PENOLAKAN.

Memasang alat dan menyambungkan ke Azure

Azure Disk Encryption dapat diaktifkan dan dikelola melalui Azure CLI dan Azure PowerShell. Untuk melakukannya, Anda harus menginstal alat secara lokal dan menyambungkan ke langganan Azure Anda.

Azure CLI

Azure CLI 2.0 merupakan alat baris perintah untuk mengelola sumber daya Azure. CLI dirancang untuk secara fleksibel mengkueri data, mendukung operasi jangka panjang sebagai proses non-pemblokiran, dan memudahkan proses pembuatan skrip. Anda dapat menginstalnya secara lokal dengan mengikuti langkah-langkah dalam Menginstal Azure CLI.

Untuk Masuk ke akun Azure Anda dengan Azure CLI, gunakan perintah login az.

az login

Jika Anda ingin memilih penyewa untuk masuk di bawah ini, gunakan:

az login --tenant <tenant>

Jika Anda memiliki beberapa langganan dan ingin menentukan langganan tertentu, dapatkan daftar langganan Anda dengan daftar akun az dan tentukan dengan kumpulan akun az.

az account list
az account set --subscription "<subscription name or ID>"

Untuk informasi selengkapnya, lihat Mulai menggunakan Azure CLI 2.0.

Azure PowerShell

Modul az Azure PowerShell menyediakan kumpulan cmdlet yang menggunakan model Azure Resource Manager untuk mengelola sumber daya Azure Anda. Anda dapat menggunakannya di browser Anda dengan Azure Cloud Shell, atau Anda dapat menginstalnya di mesin lokal Anda menggunakan instruksi di Menginstal modul Azure PowerShell.

Jika Anda sudah menginstalnya secara lokal, pastikan Anda menggunakan versi terbaru Azure PowerShell SDK untuk mengonfigurasi Azure Disk Encryption. Unduh versi terbaru rilis Azure PowerShell.

Untuk Masuk ke akun Azure Anda dengan Azure PowerShell, gunakan cmdlet Connect-AzAccount.

Connect-AzAccount

Jika Anda memiliki beberapa langganan dan ingin menentukannya, gunakan cmdlet Get-AzSubscription untuk mencantumkannya, diikuti dengan cmdlet Set-AzContext:

Set-AzContext -Subscription <SubscriptionId>

Menjalankan cmdlet Get-AzContext memverifikasi bahwa langganan yang benar dipilih.

Untuk mengonfirmasi bahwa cmdlet Azure Disk Encryption telah diinstal, gunakan cmdlet Get-command:

Get-command *diskencryption*

Untuk informasi selengkapnya, lihat Memulai Azure PowerShell.

Aktifkan enkripsi pada VM Linux yang sudah ada atau yang sedang berjalan

Dalam skenario ini, Anda dapat mengaktifkan enkripsi dengan menggunakan templat Resource Manager, cmdlet PowerShell, atau perintah CLI. Jika Anda memerlukan informasi skema untuk ekstensi mesin virtual, lihat artikel ekstensi Azure Disk Encryption for Linux.

Penting

Wajib untuk rekam jepret dan/atau mencadangkan instans VM berbasis disk terkelola di luar, dan sebelum mengaktifkan Azure Disk Encryption. Cuplikan dari disk terkelola dapat diambil melalui portal, atau menggunakan Azure Backup. Cadangan memastikan bahwa opsi pemulihan dimungkinkan jika terjadi kegagalan tak terduga selama enkripsi. Setelah cadangan dibuat, cmdlet Set-AzVMDiskEncryptionExtension dapat digunakan untuk mengenkripsi disk yang dikelola dengan menentukan parameter -skipVmBackup. Perintah Set-AzVMDiskEncryptionExtension gagal terhadap VM berbasis disk terkelola hingga cadangan dibuat dan parameter ini ditentukan.

Mengenkripsi atau menonaktifkan enkripsi dapat menyebabkan VM mulai ulang.

Untuk menonaktifkan enkripsi, lihat Menonaktifkan enkripsi dan menghapus ekstensi enkripsi.

Menggunakan Azure CLI

Anda dapat mengaktifkan enkripsi disk pada VHD terenkripsi dengan memasang dan menggunakan alat baris perintah Azure CLI. Anda dapat menggunakannya di browser dengan Azure Cloud Shell atau memasangnya di komputer lokal dan menggunakannya di sesi PowerShell apa pun. Untuk mengaktifkan enkripsi pada VM Linux yang sudah ada atau yang berjalan di Azure, gunakan perintah CLI berikut:

Gunakan perintah aktifkan enkripsi az vm untuk mengaktifkan enkripsi pada komputer virtual yang berjalan di Azure.

• Enkripsikan VM yang sedang berjalan:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Mengenkripsi VM yang sedang berjalan menggunakan KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Catatan

  Sintaks untuk nilai parameter disk-encryption-keyvault adalah string identitas lengkap: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Sintaks untuk nilai parameter key-encryption-key adalah URI lengkap ke KEK seperti: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Memverifikasi bahwa disk dienkripsi: Untuk memeriksa status enkripsi VM, gunakan perintah tampilkan enkripsi az vm .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Untuk menonaktifkan enkripsi, lihat Menonaktifkan enkripsi dan menghapus ekstensi enkripsi.

Menggunakan PowerShell

Gunakan cmdlet Set-AzVMDiskEncryptionExtension untuk mengaktifkan enkripsi pada mesin virtual yang sedang berjalan di Azure. Ambil snapshot dan/atau cadangkan VM dengan Azure Backup sebelum disk dienkripsi. Parameter -skipVmBackup sudah ditentukan dalam skrip PowerShell untuk mengenkripsi Linux VM yang sedang berjalan.

• Enkripsikan satu VM yang sedang berjalan: Skrip di bawah ini menginisialisasi variabel Anda dan menjalankan cmdlet Set-AzVMDiskEncryptionExtension. Grup sumber daya, VM, dan penyimpanan kunci, dibuat sebagai bagian dari prasyarat. Ganti MyVirtualMachineResourceGroup, MySecureVM, dan MySecureVault dengan nilai Anda. Ubah parameter -VolumeType untuk menentukan disk mana yang sedang Anda enkripsi.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

• Mengenkripsi VM yang sedang berjalan menggunakan KEK: Anda mungkin perlu menambahkan parameter -VolumeType jika Anda mengenkripsi disk data dan bukan disk OS.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

  Catatan

  Sintaks untuk nilai parameter disk-encryption-keyvault adalah string identitas lengkap: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Sintaks untuk nilai parameter key-encryption-key adalah URI lengkap ke KEK seperti: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Pastikan disk dienkripsi: Untuk memeriksa status enkripsi komputer virtual IaaS, gunakan cmdlet Get-AzVmDiskEncryptionStatus.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Untuk menonaktifkan enkripsi, lihat Menonaktifkan enkripsi dan menghapus ekstensi enkripsi.

Menggunakan templat Resource Manager

Anda dapat mengaktifkan enkripsi disk pada VM Linux yang sudah ada atau yang berjalan di Azure dengan menggunakan templat Resource Manager.

1. Klik Sebarkan ke Azure di Templat Mulai Cepat Azure.

2. Pilih langganan, grup sumber daya, lokasi grup sumber daya, parameter, persyaratan hukum, dan perjanjian. Klik Buat untuk mengaktifkan enkripsi pada VM yang sudah ada atau yang berjalan.

Tabel berikut ini mencantumkan parameter templat Resource Manager untuk VM yang sudah ada atau yang sedang berjalan:

Pengaturan	Deskripsi
vmName	Nama VM untuk menjalankan operasi enkripsi.
keyVaultName	Nama key vault tempat kunci enkripsi harus diunggah. Anda bisa mendapatkannya dengan menggunakan cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname atau perintah Azure CLI az keyvault list --resource-group "MyKeyVaultResourceGroupName".
keyVaultResourceGroup	Nama grup sumber daya yang berisi key vault.
keyEncryptionKeyURL	URL dari kunci yang digunakan untuk mengenkripsi kunci enkripsi. Parameter ini bersifat opsional jika Anda memilih nokek di menu drop-down UseExistingKek. Jika Anda memilih kek di menu drop-down UseExistingKek, Anda harus memasukkan nilai keyEncryptionKeyURL.
tipeVolume	Jenis volume tempat operasi enkripsi dilakukan. Nilai yang valid adalah OS, Data, dan Semua.
forceUpdateTag	Teruskan nilai unik seperti GUID setiap kali operasi perlu dijalankan secara paksa.
lokasi	Lokasi untuk semua sumber.

Untuk informasi selengkapnya tentang mengonfigurasi template enkripsi disk Linux VM, lihat Azure Disk Encryption untuk Linux.

Untuk menonaktifkan enkripsi, lihat Menonaktifkan enkripsi dan menghapus ekstensi enkripsi.

Gunakan fitur EncryptFormatAll untuk disk data di Linux VMs

Parameter EncryptFormatAll mengurangi waktu untuk mengenkripsi disk data Linux. Partisi yang memenuhi kriteria tertentu diformat, bersama dengan sistem file mereka saat ini, lalu di-remount kembali ke tempat mereka berada sebelum eksekusi perintah. Jika Anda ingin mengecualikan disk data yang memenuhi kriteria, Anda dapat melepaskan pemasangannya sebelum menjalankan perintah.

Setelah menjalankan perintah ini, setiap drive yang dipasang sebelumnya diformat, dan lapisan enkripsi akan dimulai di atas drive yang sekarang kosong. Saat opsi ini dipilih, disk sementara yang terpasang pada VM juga dienkripsi. Jika disk sementara diatur ulang, Azure Disk Encryption akan memformat ulang dan mengenkripsi ulang disk sementara VM pada kesempatan berikutnya. Setelah disk sumber daya dienkripsi, Agen Linux Microsoft Azure tidak dapat mengelola disk sumber daya dan mengaktifkan file pertukaran, tetapi Anda dapat mengonfigurasi file pertukaran secara manual.

Peringatan

EncryptFormatAll tidak boleh digunakan ketika ada data yang diperlukan pada volume data VM. Anda dapat mengecualikan disk dari enkripsi dengan melepasnya. Anda harus terlebih dahulu mencoba EncryptFormatAll terlebih dahulu pada VM pengujian, memahami parameter fitur dan implikasinya sebelum mencobanya pada VM produksi. Opsi EncryptFormatAll memformat disk data dan semua data di dalamnya akan hilang. Sebelum melanjutkan, verifikasi bahwa cakram yang ingin Anda kecualikan sudah dilepas dengan benar.

Jika Anda mengatur parameter ini saat memperbarui pengaturan enkripsi, hal ini mungkin menyebabkan reboot sebelum enkripsi sebenarnya. Dalam hal ini, Anda harus menghapus disk yang tidak ingin Anda format dari file fstab. Demikian pula, Anda harus menambahkan partisi yang ingin Anda format enkripsi ke file fstab sebelum memulai operasi enkripsi.

Kriteria untuk EncryptFormatAll

Parameter melewati semua partisi dan mengenkripsinya selama memenuhi semua kriteria di bawah ini:

• Bukan partisi root/OS/boot
• Belum dienkripsi
• Bukan volume BEK
• Bukan volume RAID
• Bukan volume LVM
• Dipasang

Enkripsi disk yang membentuk volume RAID atau LVM, dan bukan volume RAID atau LVM itu sendiri.

Menggunakan parameter EncryptFormatAll dengan Azure CLI

Gunakan perintah aktifkan enkripsi az vm untuk mengaktifkan enkripsi pada komputer virtual yang berjalan di Azure.

• Mengenkripsi VM yang sedang berjalan menggunakan EncryptFormatAll:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "data" --encrypt-format-all
  

Menggunakan parameter EncryptFormatAll dengan cmdlet PowerShell

Gunakan cmdlet Set-AzVMDiskEncryptionExtension dengan parameter EncryptFormatAll.

Enkripsi VM yang berjalan menggunakan EncryptFormatAll: Sebagai contoh, skrip di bawah ini menginisialisasi variabel Anda dan menjalankan cmdlet Set-AzVMDiskEncryptionExtension dengan parameter EncryptFormatAll. Grup sumber daya, VM, dan key vault dibuat sebagai prasyarat. Ganti MyVirtualMachineResourceGroup, MySecureVM, dan MySecureVault dengan nilai Anda.

$KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MySecureVM';
$KeyVaultName = 'MySecureVault';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "data" -EncryptFormatAll

Menggunakan parameter EncryptFormatAll dengan Logical Volume Manager (LVM)

Kami merekomendasikan penyiapan LVM-on-crypt. Untuk instruksi terperinci tentang LVM pada konfigurasi kripto, lihat Mengonfigurasi LVM dan RAID pada perangkat terenkripsi ADE.

VM baru yang dibuat dari VHD terenkripsi oleh pelanggan dan kunci enkripsi

Dalam skenario ini, Anda dapat mengaktifkan enkripsi dengan menggunakan cmdlet PowerShell atau perintah CLI.

Gunakan instruksi dalam skrip yang sama dengan enkripsi Azure Disk untuk menyiapkan gambar pra-enkripsi yang dapat digunakan di Azure. Setelah gambar dibuat, Anda dapat menggunakan langkah-langkah di bagian berikutnya untuk membuat Azure VM yang terenkripsi.

• Menyiapkan VHD Linux yang dienkripsi terlebih dahulu

Penting

Wajib untuk rekam jepret dan/atau mencadangkan instans VM berbasis disk terkelola di luar, dan sebelum mengaktifkan Azure Disk Encryption. Pengambilan snapshot disk terkelola bisa dilakukan melalui portal, atau dengan menggunakan Azure Backup. Cadangan memastikan bahwa opsi pemulihan dimungkinkan jika terjadi kegagalan tak terduga selama enkripsi. Setelah cadangan dibuat, cmdlet Set-AzVMDiskEncryptionExtension dapat digunakan untuk mengenkripsi disk yang dikelola dengan menentukan parameter -skipVmBackup. Perintah Set-AzVMDiskEncryptionExtension gagal terhadap VM berbasis disk terkelola hingga cadangan dibuat dan parameter ini ditentukan.

Mengenkripsi atau menonaktifkan enkripsi dapat menyebabkan VM mulai ulang.

Gunakan Azure PowerShell untuk mengenkripsi VM dengan VHD pra-enkripsi

Anda dapat mengaktifkan enkripsi disk pada VHD Anda yang terenkripsi dengan menggunakan cmdlet PowerShell Set-AzVMOSDisk. Contoh ini memberi Anda beberapa parameter umum.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Linux -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Mengaktifkan enkripsi pada disk data yang baru ditambahkan

Anda dapat menambahkan disk data baru menggunakan az vm disk attach, atau melalui portal Azure. Sebelum dapat mengenkripsi, Anda perlu memasang disk data yang baru terpasang terlebih dahulu. Anda harus meminta enkripsi drive data karena drive tidak dapat digunakan saat enkripsi sedang berlangsung.

Menggunakan Azure CLI

Jika VM sebelumnya dienkripsi dengan "Semua", maka parameter --volume-type harus tetap "Semua". Semua termasuk OS dan disk data. Jika VM sebelumnya dienkripsi dengan jenis volume "OS", maka parameter --volume-type harus diubah menjadi "Semua" sehingga OS dan disk data baru disertakan. Jika VM dienkripsi hanya dengan tipe volume "Data", maka VM dapat tetap menjadi "Data" seperti yang didemonstrasikan di bawah ini. Menambahkan dan melampirkan disk data baru ke VM tidak cukup persiapan untuk enkripsi. Disk yang baru dipasang juga harus diformat dan dipasang dengan benar dalam VM sebelum mengaktifkan enkripsi. Di Linux, disk harus dipasang di /etc/fstab dengan nama perangkat blok persisten.

Berbeda dengan sintaks PowerShell, CLI tidak mengharuskan pengguna untuk memberikan versi urutan unik saat mengaktifkan enkripsi. CLI secara otomatis menghasilkan dan menggunakan nilai versi urutan uniknya sendiri.

• Mengenkripsi volume data dari VM yang sedang berjalan:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
  

• Mengenkripsi volume data VM yang sedang berjalan menggunakan KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
  

Menggunakan Azure PowerShell

Saat menggunakan PowerShell untuk mengenkripsi disk baru untuk Linux, versi urutan baru perlu ditentukan. Versi urutannya harus unik. Skrip di bawah ini menghasilkan GUID untuk versi urutan. Ambil snapshot dan/atau cadangkan VM dengan Azure Backup sebelum disk dienkripsi. Parameter -skipVmBackup sudah ditentukan dalam skrip PowerShell untuk mengenkripsi disk data yang baru ditambahkan.

• Enkripsi volume data dari VM yang sedang berjalan: Skrip di bawah menginisialisasi variabel Anda dan menjalankan cmdlet Set-AzVMDiskEncryptionExtension. Buat grup sumber daya, VM, dan brankas kunci sebagai prasyarat sebelum menjalankan skrip. Ganti MyVirtualMachineResourceGroup, MySecureVM, dan MySecureVault dengan nilai Anda. Nilai yang dapat diterima untuk parameter -VolumeType adalah Semua, OS, dan Data. Jika VM sebelumnya dienkripsi dengan jenis volume "OS" atau "Semua", maka parameter -VolumeType harus diubah menjadi "Semua" sehingga OS dan disk data baru disertakan.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MySecureVM';
  $KeyVaultName = 'MySecureVault';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

• Mengenkripsi volume data VM yang sedang berjalan menggunakan KEK: Nilai yang dapat diterima untuk parameter -VolumeType adalah Semua, OS, dan Data. Jika VM sebelumnya dienkripsi dengan jenis volume "OS" atau "Semua", maka parameter -VolumeType harus diubah ke Semua sehingga OS dan disk data baru disertakan.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

  Catatan

  Sintaks untuk nilai parameter disk-encryption-keyvault adalah string pengidentifikasi lengkap: /subscriptions/[subscription-id-guid]/resourceGroups/[KVresource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Sintaks untuk nilai parameter key-encryption-key adalah URI lengkap ke KEK seperti di: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Menonaktifkan enkripsi dan menghapus ekstensi enkripsi

Anda dapat menonaktifkan enkripsi disk Azure, dan Anda dapat menghapus ekstensi enkripsi disk Azure. Menonaktifkan dan menghapus adalah dua operasi yang berbeda.

Untuk menghapus ADE, disarankan agar Anda terlebih dahulu menonaktifkan enkripsi, lalu menghapus ekstensi. Jika Anda menghapus ekstensi enkripsi tanpa menonaktifkan ADE, disk tetap dienkripsi. Jika Anda menonaktifkan enkripsi setelah menghapus ekstensi, ekstensi akan diinstal ulang (untuk melakukan operasi dekripsi) dan perlu dihapus untuk kedua kalinya.

Peringatan

Anda tidak dapat menonaktifkan enkripsi jika disk OS dienkripsi. (Disk OS dienkripsi ketika operasi enkripsi asli menentukan volumeType=ALL atau volumeType=OS.)

Menonaktifkan enkripsi hanya berhasil ketika disk data dienkripsi tetapi disk OS tidak.

Nonaktifkan enkripsi

Anda dapat menonaktifkan enkripsi menggunakan Azure PowerShell, Azure CLI, atau dengan templat Azure Resource Manager. Menonaktifkan enkripsi tidak menghapus ekstensi (lihat Menghapus ekstensi enkripsi).

• Menonaktifkan enkripsi disk dengan Microsoft Azure PowerShell: Untuk menonaktifkan enkripsi, gunakan cmdlet Disable-AzVMDiskEncryption.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "data"
  

• Menonaktifkan enkripsi dengan Azure CLI: Untuk menonaktifkan enkripsi, gunakan perintah az vm encryption disable.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "data"
  

• Menonaktifkan enkripsi dengan templat Resource Manager:

  1. Klik Sebarkan ke Azure dari templat Menonaktifkan enkripsi disk pada mesin virtual Linux yang berjalan.
  2. Pilih langganan, grup sumber daya, lokasi, VM, jenis volume, persyaratan hukum, dan perjanjian.
  3. Klik Beli untuk menonaktifkan enkripsi disk pada komputer virtual Linux yang berjalan.

Peringatan

Setelah dekripsi dimulai, disarankan untuk tidak mengganggu proses.

Untuk memeriksa kemajuan dekripsi, gunakan cmdlet PowerShell Get-AzVMDiskEncryptionStatus atau perintah CLI az vm encryption show , setelah proses dekripsi selesai, Anda dapat melanjutkan untuk menghapus ekstensi enkripsi

Menghapus ekstensi enkripsi

Jika Anda ingin menonaktifkan enkripsi disk dan menghapus ekstensi enkripsi, Anda harus menonaktifkan enkripsi sebelum menghapus ekstensi; lihat menonaktifkan enkripsi.

Anda dapat menghapus ekstensi enkripsi menggunakan Azure PowerShell atau Azure CLI.

• Nonaktifkan enkripsi disk dengan Azure PowerShell: Untuk menghapus enkripsi, gunakan cmdlet Remove-AzVMDiskEncryptionExtension.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Menonaktifkan enkripsi dengan CLI Azure: Untuk menghapus enkripsi, gunakan perintah az vm extension delete.

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryptionForLinux"
  

Langkah berikutnya

• Gambaran Umum Azure Disk Encryption
• Skrip contoh Azure Disk Encryption
• Pemecahan masalah Azure Disk Encryption