Udostępnij przez

Migrowanie z usługi Azure Disk Encryption do szyfrowania na hoście

Ważne

Usługa Azure Disk Encryption ma zostać wycofana 15 września 2028 r. Do tej pory można nadal korzystać z usługi Azure Disk Encryption bez zakłóceń. 15 września 2028 r. obciążenia z obsługą programu ADE będą nadal działać, ale zaszyfrowane dyski nie będą mogły zostać odblokowane po ponownym uruchomieniu maszyny wirtualnej, co spowoduje przerwy w działaniu usługi.

Użyj szyfrowania na hoście dla nowych maszyn wirtualnych. Wszystkie maszyny wirtualne z obsługą programu ADE (w tym kopie zapasowe) muszą migrować do szyfrowania na hoście przed datą wycofania, aby uniknąć przerw w działaniu usługi. Aby uzyskać szczegółowe informacje, zobacz Migrowanie z usługi Azure Disk Encryption do szyfrowania na hoście .

Ten artykuł zawiera szczegółowe wskazówki dotyczące migrowania maszyn wirtualnych z usługi Azure Disk Encryption (ADE) do szyfrowania na hoście. Proces migracji wymaga utworzenia nowych dysków i maszyn wirtualnych, ponieważ konwersja w miejscu nie jest obsługiwana.

Omówienie migracji

Usługa Azure Disk Encryption (ADE) szyfruje dane na maszynie wirtualnej przy użyciu funkcji BitLocker (Windows) lub dm-crypt (Linux), podczas gdy szyfrowanie na hoście szyfruje dane na poziomie hosta maszyny wirtualnej bez korzystania z zasobów procesora CPU maszyny wirtualnej. Szyfrowanie na hoście zwiększa domyślne szyfrowanie po stronie serwera (SSE) platformy Azure, zapewniając kompleksowe szyfrowanie dla wszystkich danych maszyn wirtualnych, w tym dysków tymczasowych, pamięci podręcznych i przepływów danych między obliczeniami a magazynem.

Aby uzyskać więcej informacji, zobacz Omówienie opcji szyfrowania dysków zarządzanych i Włączanie kompleksowego szyfrowania przy użyciu szyfrowania na hoście.

Ograniczenia i zagadnienia dotyczące migracji

Przed rozpoczęciem procesu migracji należy pamiętać o tych ważnych ograniczeniach i zagadnieniach mających wpływ na strategię migracji:

  • Brak migracji w miejscu: nie można bezpośrednio konwertować dysków zaszyfrowanych ADE na szyfrowanie na hoście. Migracja wymaga utworzenia nowych dysków i maszyn wirtualnych.

  • Ograniczenie dysku systemu operacyjnego Linux: Wyłączenie usługi ADE na dyskach systemu operacyjnego Linux nie jest obsługiwane. W przypadku maszyn wirtualnych z systemem Linux z zaszyfrowanymi dyskami systemu ADE należy utworzyć nową maszynę wirtualną z nowym dyskiem systemu operacyjnego.

  • Wzorce szyfrowania usługi Windows ADE: na maszynach wirtualnych z systemem Windows usługa Azure Disk Encryption może szyfrować tylko sam dysk systemu operacyjnego LUB wszystkie dyski (dyski systemu operacyjnego i danych). Nie można szyfrować tylko dysków danych na maszynach wirtualnych z systemem Windows.

  • Trwałość flagi UDE: dyski zaszyfrowane za pomocą usługi Azure Disk Encryption mają flagę Ujednoliconego szyfrowania danych (UDE), która utrzymuje się nawet po odszyfrowaniu. Zarówno migawki, jak i kopie dysków przy użyciu opcji Kopiuj zachowują tę flagę UDE. Migracja wymaga utworzenia nowych dysków zarządzanych przy użyciu metody Upload i skopiowania danych obiektu blob dysku VHD, co powoduje utworzenie nowego obiektu dysku bez żadnych metadanych z dysku źródłowego.

  • Wymagany przestój: proces migracji wymaga przestoju maszyny wirtualnej w przypadku operacji na dysku i rekreacji maszyny wirtualnej.

  • Maszyny wirtualne przyłączone do domeny: jeśli maszyny wirtualne są częścią domeny usługi Active Directory, wymagane są dalsze kroki:

    • Przed usunięciem oryginalnej maszyny wirtualnej należy usunąć z domeny
    • Po utworzeniu nowej maszyny wirtualnej należy ponownie połączyć ją z domeną
    • W przypadku maszyn wirtualnych z systemem Linux przyłączanie do domeny można wykonać przy użyciu rozszerzeń usługi Azure AD

    Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Entra Domain Services?

Wymagania wstępne

Przed rozpoczęciem migracji:

  1. Utwórz kopię zapasową danych: utwórz kopie zapasowe wszystkich krytycznych danych przed rozpoczęciem procesu migracji.

  2. Przetestuj proces: jeśli to możliwe, najpierw przetestuj proces migracji na maszynie wirtualnej nieprodukcyjnej.

  3. Przygotowywanie zasobów szyfrowania: upewnij się, że rozmiar maszyny wirtualnej obsługuje szyfrowanie na hoście. Większość bieżących rozmiarów maszyn wirtualnych obsługuje tę funkcję. Aby uzyskać więcej informacji na temat wymagań dotyczących rozmiaru maszyny wirtualnej, zobacz Włączanie kompleksowego szyfrowania przy użyciu szyfrowania na hoście.

  4. Konfiguracja dokumentu: zarejestruj bieżącą konfigurację maszyny wirtualnej, w tym ustawienia sieciowe, rozszerzenia i dołączone zasoby.

Kroki migracji

Poniższe kroki migracji działają w przypadku większości scenariuszy z określonymi różnicami zanotowaną dla każdego systemu operacyjnego.

Ważne

Maszyny wirtualne z systemem Linux z zaszyfrowanymi dyskami systemu operacyjnego nie mogą być odszyfrowywane w miejscu. W przypadku tych maszyn wirtualnych należy utworzyć nową maszynę wirtualną z nowym dyskiem systemu operacyjnego i przeprowadzić migrację danych. Zobacz sekcję Migrowanie maszyn wirtualnych z systemem Linux z zaszyfrowanymi dyskami systemu operacyjnego po zapoznaniu się z poniższym ogólnym procesem.

Wyłączanie usługi Azure Disk Encryption

Pierwszym krokiem jest wyłączenie istniejącego usługi Azure Disk Encryption, jeśli jest to możliwe:

Po uruchomieniu polecenia wyłączenia programu ADE stan szyfrowania maszyny wirtualnej w witrynie Azure Portal zmieni się natychmiast na "SSE + PMK". Jednak rzeczywisty proces odszyfrowywania na poziomie systemu operacyjnego wymaga czasu i zależy od ilości zaszyfrowanych danych. Przed przejściem do następnego kroku należy sprawdzić, czy odszyfrowywanie na poziomie systemu operacyjnego zostało ukończone.

W przypadku maszyn wirtualnych z systemem Windows:

  • Otwórz wiersz polecenia jako administrator i uruchom polecenie: manage-bde -status
  • Sprawdź, czy wszystkie woluminy mają stan "W pełni odszyfrowywane"
  • Procent odszyfrowywania powinien pokazywać 100% dla wszystkich zaszyfrowanych woluminów

W przypadku maszyn wirtualnych z systemem Linux (tylko dyski danych):

  • Uruchom: sudo cryptsetup status /dev/mapper/<device-name>
  • Sprawdź, czy zaszyfrowane urządzenia nie są już aktywne
  • Sprawdź: lsblk aby potwierdzić, że żadne zaszyfrowane mapowania nie pozostają

Poczekaj na pełne odszyfrowywanie przed kontynuowaniem migracji dysku, aby zapewnić integralność danych.

Tworzenie nowych dysków zarządzanych

Utwórz nowe dyski, które nie przeniosą metadanych szyfrowania usługi ADE. Ten proces działa zarówno dla maszyn wirtualnych z systemem Windows, jak i Linux, z pewnymi zagadnieniami dotyczącymi dysków systemu operacyjnego Linux.

Ważne

Podczas kopiowania dysku zarządzanego z platformy Azure należy dodać przesunięcie 512 bajtów. Dzieje się tak, ponieważ platforma Azure pomija stopkę podczas raportowania rozmiaru dysku. Kopiowanie zakończy się niepowodzeniem, jeśli tego nie zrobisz. Poniższy skrypt już to robi.

Jeśli tworzysz dysk systemu operacyjnego, dodaj --hyper-v-generation <yourGeneration> do az disk create.

# Set variables
sourceDiskName="MySourceDisk"
sourceRG="MyResourceGroup"
targetDiskName="MyTargetDisk"
targetRG="MyResourceGroup"
targetLocation="eastus"
# For OS disks, specify either "Windows" or "Linux"
# For data disks, omit the targetOS variable and --os-type parameter
targetOS="Windows"

# Get source disk size in bytes
sourceDiskSizeBytes=$(az disk show -g $sourceRG -n $sourceDiskName --query '[diskSizeBytes]' -o tsv)

# Create a new empty target disk with upload capability
az disk create -g $targetRG -n $targetDiskName -l $targetLocation --os-type $targetOS --for-upload --upload-size-bytes $(($sourceDiskSizeBytes+512)) --sku standard_lrs

# Generate SAS URIs for both disks
targetSASURI=$(az disk grant-access -n $targetDiskName -g $targetRG --access-level Write --duration-in-seconds 86400 --query [accessSas] -o tsv)

sourceSASURI=$(az disk grant-access -n $sourceDiskName -g $sourceRG --access-level Read --duration-in-seconds 86400 --query [accessSas] -o tsv)

# Copy the disk data using AzCopy
azcopy copy $sourceSASURI $targetSASURI --blob-type PageBlob

# Revoke SAS access when complete
az disk revoke-access -n $sourceDiskName -g $sourceRG

az disk revoke-access -n $targetDiskName -g $targetRG

Ta metoda tworzy nowe dyski bez metadanych usługi Azure Disk Encryption (flaga UDE), co jest niezbędne do czystej migracji.

Tworzenie nowej maszyny wirtualnej z szyfrowaniem

Utwórz nową maszynę wirtualną przy użyciu nowo utworzonych dysków przy użyciu wybranej metody szyfrowania.

Możesz wybrać jedną z kilku opcji szyfrowania, w zależności od wymagań dotyczących zabezpieczeń. Ten artykuł zawiera kroki tworzenia nowej maszyny wirtualnej z szyfrowaniem na hoście, która jest najczęstszą ścieżką migracji. Inne opcje szyfrowania są omówione w temacie Omówienie opcji szyfrowania dysków zarządzanych.

Tworzenie nowej maszyny wirtualnej z szyfrowaniem na hoście

Szyfrowanie na hoście zapewnia najbliższy odpowiednik pokrycia usługi Azure Disk Encryption i jest omówione w tej sekcji.

W przypadku dysków systemu operacyjnego:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

W przypadku dysków danych:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

Weryfikowanie i konfigurowanie nowych dysków

Po utworzeniu nowej maszyny wirtualnej z szyfrowaniem na hoście należy zweryfikować i skonfigurować dyski prawidłowo dla systemu operacyjnego.

W przypadku maszyn wirtualnych z systemem Windows:

  • Sprawdź, czy litery dysku są poprawnie przypisane
  • Sprawdź, czy aplikacje mogą prawidłowo uzyskiwać dostęp do dysków
  • Aktualizowanie wszystkich aplikacji lub skryptów odwołujących się do określonych identyfikatorów dysków

W przypadku maszyn wirtualnych z systemem Linux:

  • Aktualizowanie /etc/fstab przy użyciu nowych identyfikatorów UUID dysku
  • Instalowanie dysków danych w odpowiednich punktach instalacji
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

Zarówno systemy Windows, jak i Linux mogą wymagać dodatkowych kroków konfiguracji specyficznych dla aplikacji lub obciążeń.

Weryfikowanie szyfrowania i oczyszczania

Sprawdź, czy szyfrowanie na hoście jest prawidłowo skonfigurowane na maszynach wirtualnych z systemem Windows i Linux.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

Po potwierdzeniu, że szyfrowanie na hoście działa prawidłowo:

  1. Testowanie funkcji maszyny wirtualnej w celu upewnienia się, że aplikacje działają poprawnie
  2. Sprawdź, czy dane są dostępne i nienaruszone
  3. Usuń oryginalne zasoby, gdy migracja jest zadowolona:
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Migrowanie maszyn wirtualnych z systemem Linux z zaszyfrowanymi dyskami systemu operacyjnego

Ponieważ nie można wyłączyć szyfrowania na dyskach systemu operacyjnego Linux, proces różni się od systemu Windows.

  1. Tworzenie nowej maszyny wirtualnej z szyfrowaniem na hoście włączonym

    az vm create \
  --resource-group "MyResourceGroup" \
  --name "MyVM-New" \
  --image "Ubuntu2204" \
  --encryption-at-host true \
  --admin-username "azureuser" \
  --generate-ssh-keys

  2. W przypadku opcji migracji danych:

    • W przypadku danych aplikacji: kopiowanie danych za pomocą protokołu SCP, rsync lub innych metod transferu plików
    • W przypadku konfiguracji: Replikowanie ważnych plików konfiguracji i ustawień
    • W przypadku złożonych aplikacji: użyj procedur tworzenia kopii zapasowych/przywracania odpowiednich dla aplikacji
    # Example of using SCP to copy files from source to new VM
az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
  --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"

Po utworzeniu nowej maszyny wirtualnej:

  1. Konfigurowanie nowej maszyny wirtualnej tak, aby odpowiadała oryginalnemu środowisku

    • Konfigurowanie tych samych konfiguracji sieci
    • Instalowanie tych samych aplikacji i usług
    • Zastosuj te same ustawienia zabezpieczeń

  2. Dokładnie przetestuj przed zlikwidowaniem oryginalnej maszyny wirtualnej

Takie podejście działa zarówno dla maszyn wirtualnych z systemami Windows, jak i Linux, ale jest szczególnie ważne w przypadku maszyn wirtualnych z systemem Linux z zaszyfrowanymi dyskami systemu operacyjnego, których nie można odszyfrować w miejscu.

Aby uzyskać wskazówki dotyczące migracji danych, zobacz Przekazywanie wirtualnego dysku twardego na platformę Azure i kopiowanie plików do maszyny wirtualnej z systemem Linux przy użyciu punktu połączenia usługi.

Zagadnienia dotyczące maszyn wirtualnych przyłączonych do domeny

Jeśli maszyny wirtualne są członkami domeny usługi Active Directory, podczas procesu migracji wymagane są dodatkowe kroki:

Kroki domeny premigration

  1. Członkostwo w domenie dokumentu: zarejestruj bieżącą domenę, jednostkę organizacyjną i wszystkie specjalne członkostwa w grupach
  2. Uwaga: konto komputera w usłudze Active Directory musi być zarządzane
  3. Tworzenie kopii zapasowych konfiguracji specyficznych dla domeny: zapisz wszystkie ustawienia specyficzne dla domeny, zasady grupy lub certyfikaty

Proces usuwania domeny

  1. Usuń z domeny: przed usunięciem oryginalnej maszyny wirtualnej usuń ją z domeny przy użyciu jednej z następujących metod:

    • Używanie Remove-Computer polecenia cmdlet programu PowerShell w systemie Windows
    • Użyj okna dialogowego Właściwości systemu, aby zmienić grupę roboczą na
    • Ręczne usuwanie konta komputera z użytkowników i komputerów usługi Active Directory

  2. Czyszczenie usługi Active Directory: usuń wszystkie oddzielone konta komputerów lub wpisy DNS

Ponowne dołączanie domeny po migracji

  1. Dołącz nową maszynę wirtualną do domeny: po utworzeniu nowej maszyny wirtualnej z szyfrowaniem na hoście:

    • W przypadku systemu Windows: użyj Add-Computer polecenia cmdlet programu PowerShell lub właściwości systemu
    • W przypadku systemu Linux: użyj rozszerzenia przyłączania do domeny usługi Azure AD lub konfiguracji ręcznej

  2. Przywróć ustawienia domeny: ponownie zastosuj wszystkie konfiguracje specyficzne dla domeny, zasady grupy lub certyfikaty

  3. Weryfikowanie funkcjonalności domeny: Testowanie uwierzytelniania domeny, aplikacji zasad grupy i dostępu do zasobów sieciowych

Przyłączanie do domeny systemu Linux

W przypadku maszyn wirtualnych z systemem Linux można użyć rozszerzenia maszyny wirtualnej usług Azure AD Domain Services:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Entra Domain Services?

Ważne zagadnienia dotyczące domeny

  • Nowa maszyna wirtualna ma inny identyfikator SID komputera, który może mieć wpływ na niektóre aplikacje
  • Należy odświeżyć bilety protokołu Kerberos i buforowane poświadczenia
  • Niektóre aplikacje zintegrowane z domeną mogą wymagać ponownej konfiguracji
  • Planowanie potencjalnej tymczasowej utraty usług domenowych podczas migracji

Weryfikacja po migracji

Po zakończeniu migracji sprawdź, czy szyfrowanie na hoście działa prawidłowo:

  1. Sprawdź szyfrowanie w stanie hosta: Sprawdź, czy szyfrowanie na hoście jest włączone:

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

  2. Testowanie funkcjonalności maszyny wirtualnej: upewnij się, że aplikacje i usługi działają poprawnie.

  3. Sprawdź szyfrowanie dysków: Upewnij się, że dyski są prawidłowo szyfrowane:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState

  4. Monitorowanie wydajności: porównaj wydajność przed migracją i po nim, aby potwierdzić oczekiwane ulepszenia.

Aby uzyskać więcej informacji na temat weryfikacji szyfrowania, zobacz Włączanie kompleksowego szyfrowania przy użyciu szyfrowania na hoście.

Cleanup

Po pomyślnej migracji i weryfikacji:

  1. Usuwanie starej maszyny wirtualnej: usuwanie oryginalnej maszyny wirtualnej zaszyfrowanej za pomocą programu ADE

  2. Usuwanie starych dysków: usuń oryginalne zaszyfrowane dyski

  3. Aktualizowanie zasad dostępu usługi Key Vault: Inne rozwiązania do szyfrowania dysków używają standardowych mechanizmów autoryzacji usługi Key Vault. Jeśli usługa Key Vault dla usługi Azure Disk Encryption nie jest już potrzebna, zaktualizuj zasady dostępu, aby wyłączyć specjalne ustawienie szyfrowania dysków:

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
  1. Czyszczenie zasobów: usuwanie wszystkich zasobów tymczasowych utworzonych podczas migracji
  2. Dokumentacja aktualizacji: Aktualizowanie dokumentacji infrastruktury w celu odzwierciedlenia migracji do szyfrowania na hoście

Typowe problemy i rozwiązania

Rozmiar maszyny wirtualnej nie obsługuje szyfrowania na hoście

Rozwiązanie: Sprawdź listę obsługiwanych rozmiarów maszyn wirtualnych i w razie potrzeby zmień rozmiar maszyny wirtualnej

Nie można uruchomić maszyny wirtualnej po migracji

Rozwiązanie: Sprawdź, czy wszystkie dyski są prawidłowo dołączone i czy dysk systemu operacyjnego jest ustawiony jako dysk rozruchowy

Szyfrowanie na hoście nie jest włączone

Rozwiązanie: Sprawdź, czy maszyna wirtualna została utworzona za pomocą parametru --encryption-at-host true i czy subskrypcja obsługuje tę funkcję

Problemy z wydajnością będą nadal występować

Rozwiązanie: Sprawdź, czy szyfrowanie na hoście jest prawidłowo włączone i czy rozmiar maszyny wirtualnej obsługuje oczekiwaną wydajność.

Dalsze kroki

  • Last updated on