Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: hiperkonwergentnych wdrożeń Azure Local
W tym artykule opisano, jak wyświetlać oraz włączać szyfrowanie BitLocker, a także pobierać klucze odzyskiwania BitLocker na lokalnej instancji Azure.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do lokalnej instancji Azure, która jest wdrożona, zarejestrowana i połączona z Azure.
Wyświetlanie ustawień funkcji BitLocker za pośrednictwem witryny Azure Portal
Aby wyświetlić ustawienia funkcji BitLocker w witrynie Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Inicjatywę Benchmarku Zabezpieczeń w Chmurze Microsoft.
Funkcja BitLocker oferuje dwa typy ochrony: szyfrowanie woluminów systemu operacyjnego i szyfrowanie woluminów danych. Ustawienia funkcji BitLocker można wyświetlać tylko w witrynie Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell.
Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell
Możesz wyświetlać, włączać i wyłączać ustawienia szyfrowania woluminów na lokalnej instancji Azure.
Właściwości polecenia cmdlet programu PowerShell
Następujące polecenia cmdlet są częścią modułu AzureStackBitLockerAgent :
Get-ASBitLocker
Pobiera bieżący stan szyfrowania funkcją BitLocker dla woluminów na lokalnym wystąpieniu platformy Azure.
Get-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | PerNode>
| Parametr | Wymagane | Opis |
|---|---|---|
-VolumeType |
Yes | Typ woluminu do zapytania. Prawidłowe wartości: BootVolume, ClusterSharedVolume. |
-Local |
Nie. | Pobiera szczegóły funkcji BitLocker dla woluminów w węźle lokalnym. Można uruchomić w regularnej zdalnej sesji programu PowerShell. Jest to domyślny zakres. |
-PerNode |
Nie. | Pobiera szczegóły funkcji BitLocker dla każdego węzła w klastrze. Wymaga uwierzytelniania CredSSP (zdalnego programu PowerShell) lub sesji pulpitu zdalnego (RDP). |
Enable-ASBitLocker
Włącza szyfrowanie funkcją BitLocker dla określonego typu woluminu.
Enable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| Parametr | Wymagane | Opis |
|---|---|---|
-VolumeType |
Yes | Typ woluminu do zaszyfrowania. Prawidłowe wartości: BootVolume, ClusterSharedVolume. |
-Local |
Nie. | Szyfruje woluminy należące do węzła lokalnego. Jest to domyślny zakres. |
-Cluster |
Nie. | Szyfruje woluminy we wszystkich węzłach w klastrze. Wymaga uwierzytelniania CredSSP. |
-MountPoint |
Nie. | Dotyczy określonego pliku CSV według ścieżki punktu instalacji (na przykład C:\ClusterStorage\Volume1). Dostępne tylko z zakresem -Local . W przypadku pominięcia wszystkie woluminy CSV należące do węzła lokalnego są szyfrowane. |
Disable-ASBitLocker
Wyłącza szyfrowanie funkcją BitLocker dla określonego typu woluminu.
Disable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| Parametr | Wymagane | Opis |
|---|---|---|
-VolumeType |
Yes | Typ woluminu do odszyfrowania. Prawidłowe wartości: BootVolume, ClusterSharedVolume. |
-Local |
Nie. | Odszyfrowuje woluminy należące do węzła lokalnego. Jest to domyślny zakres. |
-Cluster |
Nie. | Odszyfrowuje woluminy we wszystkich węzłach w klastrze. Wymaga uwierzytelniania CredSSP. |
-MountPoint |
Nie. | Dotyczy określonego pliku CSV według ścieżki punktu instalacji (na przykład C:\ClusterStorage\Volume1). Dostępne tylko z zakresem -Local . W przypadku pominięcia wszystkie woluminy CSV należące do węzła lokalnego są odszyfrowywane. |
Wyświetlanie ustawień szyfrowania woluminów za pomocą funkcji BitLocker
Wykonaj następujące kroki, aby wyświetlić ustawienia szyfrowania:
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:
Get-ASBitLocker -VolumeType BootVolume -LocalAby wyświetlić stan szyfrowania udostępnionych woluminów klastra:
Get-ASBitLocker -VolumeType ClusterSharedVolume -LocalAby wyświetlić stan szyfrowania we wszystkich węzłach w klastrze (wymaga protokołu CredSSP lub RDP):
Get-ASBitLocker -VolumeType ClusterSharedVolume -PerNode
Włączanie szyfrowania woluminów za pomocą funkcji BitLocker
Ważne
- Włączenie szyfrowania woluminów typu
BootVolumewymaga modułu TPM 2.0. - Przed rozpoczęciem wszystkie woluminy CSV należące do węzła docelowego muszą znajdować się w stanie Online .
Co się dzieje podczas szyfrowania CSV
Po włączeniu funkcji BitLocker na ClusterSharedVolume, wolumin przechodzi przez następujący cykl życia:
| Phase | Stan woluminu | Dostęp do woluminu? | Wpływ maszyny wirtualnej |
|---|---|---|---|
| 1. Tryb konserwacji | Plik CSV jest zawieszony za pośrednictwem polecenia Suspend-ClusterResource. |
Nie — we/wyjście do woluminu jest wstrzymane. | Maszyny wirtualne obciążające system z dyskami wirtualnymi na tym woluminie CSV są wstrzymane. |
| 2. Zainicjowano szyfrowanie | Rozpoczyna się szyfrowanie funkcją BitLocker. Tworzone są zabezpieczenia kluczy. | Nie — wolumin pozostaje w trybie konserwacji. | Maszyny wirtualne pozostają wstrzymane. |
| 3. Wznów | Plik CSV jest przywracany w trybie online za pośrednictwem polecenia Resume-ClusterResource. |
Tak — wolumin jest ponownie dostępny. | Maszyny wirtualne są wznawiane. |
| 4. Przekierowane WE/WY | Podczas gdy szyfrowanie odbywa się w tle, wolumin CSV wprowadza przekierowany tryb we/wy. Wszystkie operacje we/wy z węzłów niewłaścicielskich przechodzą przez koordynatora (właściciela). | Tak — wolumin jest w pełni dostępny. | Maszyny wirtualne są uruchomione. Wydajność operacji we/wy może zostać zmniejszona w węzłach, które nie są właścicielami, do momentu zakończenia szyfrowania. |
| 5. Bezpośrednie I/O | Po zakończeniu szyfrowania CSV powróci do normalnego trybu bezpośredniego I/O. | Yes | Bez wpływu. |
Zaplanuj okno obsługi. Czas trwania fazy konserwacji (fazy 1–2) zależy od rozmiaru woluminu i obciążenia systemu. W tym czasie obciążone maszyny wirtualne są wstrzymane, a wolumen jest niedostępny. Wykonaj tę operację podczas planowanego okna obsługi.
Uwaga
Funkcje ochrony kluczy: Podczas szyfrowania tworzone są automatycznie dwie funkcje ochrony kluczy:
- Hasło odzyskiwania — jest tworzona kopia zapasowa w Active Directory (typ wdrożenia przyłączony do domeny) i w Azure Key Vault (typ wdrożenia nieprzyłączony do domeny) na potrzeby odzyskiwania po awarii.
-
Klucz zewnętrzny — przechowywany w
C:\Windows\Clusterwęźle właściciela, używany do automatycznego odblokowywania woluminów CSV podczas pracy w trybie failover.
Aby zapisać klucze odzyskiwania w lokalizacji zewnętrznej, takiej jak usługa Azure Key Vault, zobacz Uzyskiwanie kluczy odzyskiwania funkcji BitLocker.
Warning
W przypadku niepowodzenia szyfrowania system próbuje wyłączyć funkcję BitLocker i w pełni odszyfrować wolumin przed wznowieniem. W przypadku niepowodzenia czyszczenia wolumin CSV może pozostać w trybie konserwacji i wymagać ręcznego badania. Sprawdź dzienniki szyfrowania pod adresem C:\MASLogs\ASEncryptionLogs , aby uzyskać szczegółowe informacje.
Wykonaj następujące kroki, aby włączyć szyfrowanie woluminów za pomocą funkcji BitLocker:
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego.
Aby zaszyfrować woluminy rozruchowe na lokalnym węźle:
Enable-ASBitLocker -VolumeType BootVolume -LocalAby zaszyfrować wszystkie udostępnione woluminy klastra należące do węzła lokalnego:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -LocalAby zaszyfrować określony plik CSV według punktu instalacji:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"Aby zaszyfrować wszystkie woluminy CSV w klastrze (wymaga dostawcy CredSSP):
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
Wyłączanie szyfrowania woluminów przy użyciu funkcji BitLocker
Wyłączenie funkcji BitLocker jest zgodne z tym samym cyklem życia trybu konserwacji co włączenie go: proces zawiesza wolumin CSV, inicjuje odszyfrowywanie, a następnie wznawia działanie woluminu CSV. Odszyfrowywanie jest kontynuowane w tle, gdy wolumin jest dostępny w trybie przekierowania we/wy.
Wykonaj następujące kroki, aby wyłączyć szyfrowanie woluminów przy użyciu funkcji BitLocker:
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego.
Aby odszyfrować woluminy rozruchowe na lokalnym węźle:
Disable-ASBitLocker -VolumeType BootVolume -LocalAby odszyfrować wszystkie udostępnione woluminy klastra należące do węzła lokalnego:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -LocalAby odszyfrować określony plik CSV według punktu instalacji:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"Aby odszyfrować wszystkie pliki CSV w klastrze (wymaga CredSSP):
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
Uzyskaj klucze odzyskiwania BitLocker
Uwaga
Klucze funkcji BitLocker można pobrać w dowolnym momencie z lokalnej usługi Active Directory. Jeśli klaster nie działa i nie masz kluczy, być może nie możesz uzyskać dostępu do zaszyfrowanych danych w klastrze. Aby zapisać klucze odzyskiwania funkcji BitLocker, zalecamy wyeksportowanie i zapisanie ich w bezpiecznej lokalizacji zewnętrznej, takiej jak usługa Azure Key Vault.
Aby wyeksportować klucze odzyskiwania dla klastra, wykonaj następujące kroki:
Połącz się z lokalną instancją platformy Azure jako administrator lokalny. Uruchom następujące polecenie w sesji konsoli lokalnej, lokalnej sesji protokołu RDP (Remote Desktop Protocol) lub sesji zdalnego programu PowerShell z uwierzytelnianiem CredSSP:
Aby uzyskać informacje o kluczu odzyskiwania, uruchom następujące polecenie w programie PowerShell:
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKeyOto przykładowe dane wyjściowe:
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- NODE01 {Password1} Key1 NODE02 {Password2} Key2 NODE03 {Password3} Key3 NODE04 {Password4} Key4
Następne kroki
Aby uzyskać więcej informacji na temat integracji funkcji BitLocker z udostępnionymi woluminami klastra, zobacz: