Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Overzicht
Azure Disk Encryption maakt gebruik van het dm-crypt-subsysteem in Linux om volledige schijfversleuteling te bieden op bepaalde Azure Linux-distributies. Deze oplossing is geïntegreerd met Azure Key Vault voor het beheren van schijfversleutelingssleutels en -geheimen.
Opmerking
Probeer VM-hulp voor snellere diagnostische gegevens. U wordt aangeraden VM-hulp uit te voeren voor Windows of VM-hulp voor Linux. Met deze diagnostische hulpprogramma's op basis van scripts kunt u veelvoorkomende problemen identificeren die van invloed zijn op de Azure VM-gastagent en de algehele VM-status.
Als u prestatieproblemen ondervindt met virtuele machines, voert u deze hulpprogramma's uit voordat u contact op neemt met de ondersteuning.
Vereiste voorwaarden
Zie Azure Disk Encryption voor Linux-VM's voor een volledige lijst met vereisten, met name de volgende secties:
- Ondersteunde VM's en besturingssystemen
- Aanvullende VM-vereisten
- Netwerkvereisten
- Opslagvereisten voor versleutelingssleutels
Extensieschema
Er zijn twee versies van het extensieschema voor Azure Disk Encryption (ADE):
- v1.1 - Een nieuwer aanbevolen schema dat geen Microsoft Entra-eigenschappen gebruikt.
- v0.1 - Een ouder schema waarvoor Microsoft Entra-eigenschappen zijn vereist.
Als u een doelschema wilt selecteren, moet de typeHandlerVersion eigenschap gelijk zijn aan de versie van het schema dat u wilt gebruiken.
Schema v1.1: Geen Microsoft Entra-id (aanbevolen)
Het v1.1-schema wordt aanbevolen en vereist geen Eigenschappen van Microsoft Entra.
Opmerking
De DiskFormatQuery parameter is verouderd. De functionaliteit is vervangen door de optie EncryptFormatAll. Dit is de aanbevolen manier om gegevensschijven te formatteren op het moment van versleuteling.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schema v0.1: met Microsoft Entra-id
Het 0.1-schema vereist AADClientID en wel AADClientSecretAADClientCertificate.
Met behulp van AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Met behulp van AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Vastgoedwaarden
Opmerking: alle eigenschapswaarden zijn hoofdlettergevoelig.
| Naam | Waarde/voorbeeld | Gegevenssoort |
|---|---|---|
| apiVersion | 2019-07-01 | date |
| uitgever | Microsoft.Azure.Security | string |
| soort | AzureDiskEncryptionForLinux | string |
| typeHandlerVersion | 1.1, 0.1 | int |
| (0.1 schema) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (0.1 schema) AADClientGeheim | wachtwoord | string |
| (0.1 schema) AADClientCertificate | thumbprint | string |
| (optioneel) (0.1 schema) Wachtwoordzin | wachtwoord | string |
| DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | JSON-woordenlijst |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | string |
| (optioneel - standaard RSA-OAEP ) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (optioneel) KeyEncryptionKeyURL | url | string |
| (optioneel) KekVaultResourceId | url | string |
| (optioneel) SequenceVersion | unieke identificatiecode | string |
| VolumeType | Besturingssysteem, gegevens, alle | string |
Sjabloonimplementatie
Bekijk voor een voorbeeld van sjabloon-implementatie op basis van het schema v1.1 de Azure-quickstart-sjabloon Linux-VM-versleuteling-zonder-AAD.
Zie voor een voorbeeld van sjabloonimplementatie op basis van schema v0.1 de Azure-snelstartsjabloon voor het versleutelen van running-linux-vm.
Waarschuwing
- Als u eerder Azure Disk Encryption met Microsoft Entra ID hebt gebruikt voor het versleutelen van een VM, moet u deze optie blijven gebruiken om uw VM te versleutelen.
- Bij het versleutelen van Linux-besturingssysteemvolumes moet de VM worden beschouwd als niet beschikbaar. We raden u ten zeerste aan om SSH-aanmeldingen te voorkomen terwijl de versleuteling wordt uitgevoerd om problemen met het blokkeren van geopende bestanden te voorkomen die tijdens het versleutelingsproces moeten worden geopend. Als u de voortgang wilt controleren, gebruikt u de Get-AzVMDiskEncryptionStatus PowerShell-cmdlet of de vm encryption show CLI-opdracht. Dit proces kan naar verwachting enkele uren duren voor een besturingssysteemvolume van 30 GB, plus extra tijd voor het versleutelen van gegevensvolumes. De tijd voor gegevensvolumeversleuteling is evenredig met de grootte en hoeveelheid van de gegevensvolumes; de
encrypt format alloptie is sneller dan in-place versleuteling, maar leidt tot verlies van alle gegevens op de schijven. - Het uitschakelen van versleuteling op Linux-VM's wordt alleen ondersteund voor gegevensvolumes. Het wordt niet ondersteund op gegevens- of besturingssysteemvolumes als het besturingssysteemvolume is versleuteld.
Opmerking
Ook als de VolumeType parameter is ingesteld op Alles, worden gegevensschijven alleen versleuteld als ze correct zijn gekoppeld.
Problemen oplossen en ondersteuning bieden
Problemen oplossen
Raadpleeg de handleiding voor het oplossen van problemen met Azure Disk Encryption voor probleemoplossing.
Ondersteuning
Als u op elk gewenst moment in dit artikel meer hulp nodig hebt, kunt u contact opnemen met de Azure-experts op de MSDN Azure- en Stack Overflow-forums.
U kunt ook een Azure-ondersteuningsincident indienen. Ga naar Azure-ondersteuning en selecteer Ondersteuning krijgen. Lees de veelgestelde vragen over Microsoft Azure-ondersteuning voor informatie over het gebruik van Azure-ondersteuning.
Volgende stappen
- Zie Extensies en functies voor virtuele machines voor Linux voor meer informatie over VM-extensies.
- Zie virtuele Linux-machines voor meer informatie over Azure Disk Encryption voor Linux.