Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure Disk Encryption dla maszyn wirtualnych z systemem Linux. Aby uzyskać więcej informacji na temat tej usługi, zobacz Omówienie usługi Azure Disk Encryption.
Co to jest usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux?
Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux używa funkcji dm-crypt systemu Linux w celu zapewnienia pełnego szyfrowania dysku systemu operacyjnego* i dysków danych. Ponadto zapewnia szyfrowanie dysku tymczasowego podczas korzystania z funkcji EncryptFormatAll. Zawartość przepływa z maszyny wirtualnej do zaplecza magazynu przy użyciu klucza zarządzanego przez klienta.
Zobacz Obsługiwane maszyny wirtualne i systemy operacyjne.
Gdzie jest usługa Azure Disk Encryption w ogólnej dostępności?
Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux jest ogólnie dostępna we wszystkich regionach publicznych platformy Azure.
Jakie środowiska użytkownika są dostępne w usłudze Azure Disk Encryption?
Usługa Azure Disk Encryption ogólnie obsługuje szablony usługi Azure Resource Manager, program Azure PowerShell i interfejs wiersza polecenia platformy Azure. Różne środowiska użytkownika zapewniają elastyczność. Dostępne są trzy różne opcje włączania szyfrowania dysków dla maszyn wirtualnych. Aby uzyskać więcej informacji na temat środowiska użytkownika i szczegółowych wskazówek dostępnych w usłudze Azure Disk Encryption, zobacz Scenariusze usługi Azure Disk Encryption dla systemu Linux.
Ile kosztuje usługa Azure Disk Encryption?
Za szyfrowanie dysków maszyn wirtualnych za pomocą usługi Azure Disk Encryption nie są naliczane opłaty, ale są naliczane opłaty związane z użyciem usługi Azure Key Vault. Aby uzyskać więcej informacji na temat kosztów usługi Azure Key Vault, zobacz stronę cennika usługi Key Vault.
Jak rozpocząć korzystanie z usługi Azure Disk Encryption?
Aby rozpocząć, przeczytaj omówienie usługi Azure Disk Encryption.
Jakie rozmiary maszyn wirtualnych i systemy operacyjne obsługują usługę Azure Disk Encryption?
Artykuł Omówienie usługi Azure Disk Encryption zawiera listę rozmiarów maszyn wirtualnych i systemów operacyjnych maszyn wirtualnych, które obsługują usługę Azure Disk Encryption.
Czy mogę zaszyfrować woluminy rozruchowe i woluminy danych za pomocą usługi Azure Disk Encryption?
Tak, można zaszyfrować woluminy rozruchowe i woluminy danych lub zaszyfrować wolumin danych bez konieczności wcześniejszego szyfrowania woluminu systemu operacyjnego.
Po zaszyfrowaniu woluminu systemu operacyjnego wyłączenie szyfrowania na woluminie systemu operacyjnego nie jest obsługiwane. W przypadku maszyn wirtualnych z systemem Linux w zestawie skalowania można zaszyfrować tylko wolumin danych.
Czy mogę zaszyfrować niezainstalowany wolumin za pomocą usługi Azure Disk Encryption?
Nie, usługa Azure Disk Encryption szyfruje tylko zainstalowane woluminy.
Co to jest szyfrowanie po stronie serwera usługi Storage?
Szyfrowanie po stronie serwera magazynu szyfruje dyski zarządzane platformy Azure w usłudze Azure Storage. Dyski zarządzane są domyślnie szyfrowane przy użyciu szyfrowania po stronie serwera przy użyciu klucza zarządzanego przez platformę (od 10 czerwca 2017 r.). Szyfrowanie dysków zarządzanych można zarządzać własnymi kluczami, określając klucz zarządzany przez klienta. Aby uzyskać więcej informacji, zobacz: Szyfrowanie po stronie serwera dysków zarządzanych platformy Azure.
Jak usługa Azure Disk Encryption różni się od innych rozwiązań szyfrowania dysków i kiedy należy używać każdego rozwiązania?
Zobacz Omówienie opcji szyfrowania dysków zarządzanych.
Jak mogę obracać wpisy tajne lub klucze szyfrowania?
Aby obrócić wpisy tajne, wystarczy wywołać to samo polecenie, które zostało pierwotnie użyte do włączenia szyfrowania dysków, określając inną usługę Key Vault. Aby obrócić klucz szyfrowania klucza, wywołaj to samo polecenie, które zostało pierwotnie użyte do włączenia szyfrowania dysków, określając nowe szyfrowanie klucza.
Ostrzeżenie
- Jeśli wcześniej użyto usługi Azure Disk Encryption z aplikacją Microsoft Entra, określając poświadczenia firmy Microsoft Entra w celu zaszyfrowania tej maszyny wirtualnej, musisz nadal używać tej opcji do szyfrowania maszyny wirtualnej. Nie można użyć usługi Azure Disk Encryption na tej zaszyfrowanej maszynie wirtualnej, ponieważ nie jest to obsługiwany scenariusz, co oznacza, że wyłączenie aplikacji Microsoft Entra dla tej zaszyfrowanej maszyny wirtualnej nie jest jeszcze obsługiwane.
Jak mogę dodać lub usunąć klucz szyfrowania klucza, jeśli nie został on pierwotnie użyty?
Aby dodać klucz szyfrowania klucza, wywołaj ponownie polecenie enable przekazując parametr klucza szyfrowania klucza. Aby usunąć klucz szyfrowania klucza, wywołaj ponownie polecenie enable bez parametru klucza szyfrowania klucza.
Czy usługa Azure Disk Encryption umożliwia korzystanie z własnego klucza (BYOK)?
Tak, możesz podać własne klucze szyfrowania kluczy. Te klucze są chronione w usłudze Azure Key Vault, czyli magazynie kluczy dla usługi Azure Disk Encryption. Aby uzyskać więcej informacji na temat scenariuszy obsługi kluczy szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Czy mogę użyć klucza szyfrowania klucza utworzonego na platformie Azure?
Tak, możesz użyć usługi Azure Key Vault do wygenerowania klucza szyfrowania klucza na potrzeby użycia szyfrowania dysków platformy Azure. Te klucze są chronione w usłudze Azure Key Vault, czyli magazynie kluczy dla usługi Azure Disk Encryption. Aby uzyskać więcej informacji na temat klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Czy mogę użyć lokalnej usługi zarządzania kluczami lub modułu HSM do ochrony kluczy szyfrowania?
Nie można użyć lokalnej usługi zarządzania kluczami ani modułu HSM, aby zabezpieczyć klucze szyfrowania za pomocą usługi Azure Disk Encryption. Za pomocą usługi Azure Key Vault można chronić klucze szyfrowania tylko za pomocą usługi Azure Key Vault. Aby uzyskać więcej informacji na temat scenariuszy obsługi klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Jakie są wymagania wstępne dotyczące konfigurowania usługi Azure Disk Encryption?
Istnieją wymagania wstępne dotyczące usługi Azure Disk Encryption. Zobacz artykuł Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption, aby utworzyć nowy magazyn kluczy lub skonfigurować istniejący magazyn kluczy na potrzeby dostępu do szyfrowania dysków w celu włączenia szyfrowania oraz ochrony wpisów tajnych i kluczy. Aby uzyskać więcej informacji na temat scenariuszy obsługi klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Jakie są wymagania wstępne dotyczące konfigurowania usługi Azure Disk Encryption przy użyciu aplikacji Microsoft Entra (poprzedniej wersji)?
Istnieją wymagania wstępne dotyczące usługi Azure Disk Encryption. Zobacz zawartość Azure Disk Encryption z identyfikatorem Entra firmy Microsoft, aby utworzyć aplikację Firmy Microsoft Entra, utworzyć nowy magazyn kluczy lub skonfigurować istniejący magazyn kluczy na potrzeby szyfrowania dysków w celu włączenia szyfrowania oraz ochrony wpisów tajnych i kluczy. Aby uzyskać więcej informacji na temat scenariuszy obsługi klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft.
Czy usługa Azure Disk Encryption używa aplikacji Microsoft Entra (poprzedniej wersji) jest nadal obsługiwana?
Tak. Szyfrowanie dysków przy użyciu aplikacji Microsoft Entra jest nadal obsługiwane. Jednak podczas szyfrowania nowych maszyn wirtualnych zaleca się użycie nowej metody zamiast szyfrowania za pomocą aplikacji Microsoft Entra.
Czy mogę migrować maszyny wirtualne zaszyfrowane za pomocą aplikacji Microsoft Entra do szyfrowania bez aplikacji Microsoft Entra?
Obecnie nie istnieje bezpośrednia ścieżka migracji maszyn, które zostały zaszyfrowane za pomocą aplikacji Microsoft Entra do szyfrowania bez aplikacji Microsoft Entra. Ponadto nie istnieje bezpośrednia ścieżka z szyfrowania bez aplikacji Microsoft Entra do szyfrowania za pomocą aplikacji usługi AD.
Jaka wersja programu Azure PowerShell obsługuje usługę Azure Disk Encryption?
Użyj najnowszej wersji zestawu Azure PowerShell SDK, aby skonfigurować usługę Azure Disk Encryption. Pobierz najnowszą wersję programu Azure PowerShell. Usługa Azure Disk Encryption nie jest obsługiwana przez zestaw Azure SDK w wersji 1.1.0.
Uwaga
Rozszerzenie wersji zapoznawczej szyfrowania dysków platformy Azure dla systemu Linux "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" jest przestarzałe. To rozszerzenie zostało opublikowane w wersji zapoznawczej usługi Azure Disk Encryption. Nie należy używać wersji zapoznawczej rozszerzenia w ramach wdrożenia testowego lub produkcyjnego.
W przypadku scenariuszy wdrażania, takich jak usługa Azure Resource Manager (ARM), w których musisz wdrożyć rozszerzenie szyfrowania dysków platformy Azure dla maszyny wirtualnej z systemem Linux w celu włączenia szyfrowania na maszynie wirtualnej IaaS z systemem Linux, należy użyć obsługiwanego rozszerzenia produkcyjnego szyfrowania dysków platformy Azure "Microsoft.Azure.Security.AzureDiskEncryptionForLinux".
Czy mogę zastosować usługę Azure Disk Encryption na niestandardowym obrazie systemu Linux?
Nie można zastosować usługi Azure Disk Encryption na niestandardowym obrazie systemu Linux. Obsługiwane są tylko obrazy z galerii systemu Linux dla obsługiwanych dystrybucji, które zostały wcześniej wywołane. Niestandardowe obrazy systemu Linux nie są obecnie obsługiwane.
Czy mogę zastosować aktualizacje do maszyny wirtualnej z systemem Linux Red Hat korzystającej z aktualizacji yum?
Tak, można przeprowadzić aktualizację yum na maszynie wirtualnej z systemem Red Hat Linux. Aby uzyskać więcej informacji, zobacz Usługa Azure Disk Encryption w izolowanej sieci.
Jaki jest zalecany przepływ pracy szyfrowania dysków platformy Azure dla systemu Linux?
Zalecany jest następujący przepływ pracy, aby uzyskać najlepsze wyniki w systemie Linux:
- Zacznij od niezmodyfikowanego obrazu galerii akcji odpowiadającego wymaganej dystrybucji systemu operacyjnego i wersji
- Tworzenie kopii zapasowych wszystkich zainstalowanych dysków, które chcesz zaszyfrować. Ta kopia zapasowa umożliwia odzyskiwanie, jeśli wystąpi błąd, na przykład jeśli maszyna wirtualna zostanie ponownie uruchomiona przed zakończeniem szyfrowania.
- Szyfrowanie (może potrwać kilka godzin lub nawet dni w zależności od właściwości maszyny wirtualnej i rozmiaru wszelkich dołączonych dysków danych)
- Dostosuj i dodaj oprogramowanie do obrazu zgodnie z potrzebami.
Jeśli ten przepływ pracy nie jest możliwy, użycie szyfrowania usługi Storage (SSE) w warstwie konta magazynu platformy może być alternatywą dla pełnego szyfrowania dysków przy użyciu narzędzia dm-crypt.
Jaki jest dysk "Wolumin bek" lub "/mnt/azure_bek_disk"?
"Wolumin bek" to lokalny wolumin danych, który bezpiecznie przechowuje klucze szyfrowania dla zaszyfrowanych maszyn wirtualnych platformy Azure.
Uwaga
Nie usuwaj ani nie edytuj żadnej zawartości na tym dysku. Nie należy odinstalować dysku, ponieważ obecność klucza szyfrowania jest wymagana w przypadku operacji szyfrowania na maszynie wirtualnej IaaS.
Jakiej metody szyfrowania używa usługa Azure Disk Encryption?
Usługa Azure Disk Encryption używa domyślnego odszyfrowywania aes-xts-plain64 z 256-bitowym kluczem głównym woluminu.
Jeśli używam funkcji EncryptFormatAll i określię wszystkie typy woluminów, czy wymazuje dane na dyskach danych, które zostały już zaszyfrowane?
Nie, dane nie zostaną usunięte z dysków danych, które są już szyfrowane przy użyciu usługi Azure Disk Encryption. Podobnie jak szyfrowanie EncryptFormatAll nie zostało ponownie zaszyfrowane dysku systemu operacyjnego, nie spowoduje ponownego zaszyfrowania zaszyfrowanego dysku danych. Aby uzyskać więcej informacji, zobacz kryteria EncryptFormatAll.
Czy system plików XFS jest obsługiwany?
Szyfrowanie dysków systemu operacyjnego XFS jest obsługiwane.
Szyfrowanie dysków danych XFS jest obsługiwane tylko wtedy, gdy jest używany parametr EncryptFormatAll. Ta opcja ponownie formatuje wolumin, wymazując wcześniej wszystkie dane. Aby uzyskać więcej informacji, zobacz kryteria EncryptFormatAll.
Czy jest obsługiwana zmiana rozmiaru partycji systemu operacyjnego?
Zmiana rozmiaru zaszyfrowanego dysku systemu operacyjnego usługi Azure Disk Encryption nie jest obsługiwana.
Czy mogę utworzyć kopię zapasową i przywrócić zaszyfrowaną maszynę wirtualną?
Usługa Azure Backup udostępnia mechanizm tworzenia kopii zapasowych i przywracania zaszyfrowanych maszyn wirtualnych w ramach tej samej subskrypcji i regionu. Aby uzyskać instrukcje, zobacz Tworzenie kopii zapasowych i przywracanie zaszyfrowanych maszyn wirtualnych za pomocą usługi Azure Backup. Przywracanie zaszyfrowanej maszyny wirtualnej do innego regionu nie jest obecnie obsługiwane.
Gdzie mogę zadać pytania lub przekazać opinię?
Możesz zadać pytania lub przekazać opinię na stronie pytań i odpowiedzi firmy Microsoft na temat usługi Azure Disk Encryption.
Następne kroki
W tym dokumencie przedstawiono więcej informacji na temat najczęstszych pytań związanych z usługą Azure Disk Encryption. Aby uzyskać więcej informacji na temat tej usługi, zobacz następujące artykuły: