Compartilhar via

Migrar do Azure Disk Encryption para a criptografia no host

Importante

O Azure Disk Encryption está programado para ser desativado em 15 de setembro de 2028. Até essa data, você pode continuar a usar o Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.

Utilize criptografia no host para novas VMs. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar do Azure Disk Encryption para criptografia no host para obter detalhes.

Este artigo fornece diretrizes passo a passo para migrar suas máquinas virtuais do ADE (Azure Disk Encryption) para a criptografia no host. O processo de migração requer a criação de novos discos e VMs, pois não há suporte para a conversão in-loco.

Visão geral da migração

O ADE (Azure Disk Encryption) criptografa dados na VM usando o BitLocker (Windows) ou dm-crypt (Linux), enquanto a criptografia no host criptografa dados no nível do host da VM sem consumir recursos de CPU da VM. A criptografia no host aprimora a criptografia padrão do servidor (SSE) do Azure fornecendo criptografia de ponta a ponta para todos os dados da VM, incluindo discos temporários, caches e fluxos de dados entre computação e armazenamento.

Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado e Habilitar a criptografia de ponta a ponta usando criptografia no host.

Limitações e considerações de migração

Antes de iniciar o processo de migração, lembre-se dessas importantes limitações e considerações que afetam sua estratégia de migração:

  • Nenhuma migração in-loco: você não pode converter diretamente discos criptografados por ADE para criptografia no host. A migração requer a criação de discos e VMs.

  • Limitação do disco do sistema operacional Linux: não há suporte para desabilitar o ADE em discos do sistema operacional Linux. Para VMs Linux com discos do sistema operacional criptografados por ADE, você deve criar uma VM com um novo disco do sistema operacional.

  • Padrões de criptografia do ADE do Windows: em VMs do Windows, o Azure Disk Encryption só pode criptografar o disco do sistema operacional sozinho OU todos os discos (sistema operacional + discos de dados). Não é possível criptografar apenas discos de dados em VMs do Windows.

  • Persistência do sinalizador UDE: os discos criptografados com o Azure Disk Encryption têm um sinalizador UDE (Unified Data Encryption) que persiste mesmo após a descriptografia. Instantâneos e cópias de disco usando a opção Copiar retêm esse sinalizador UDE. A migração requer a criação de novos discos gerenciados usando o método Upload e a cópia dos dados de blob do disco rígido virtual, que cria um novo objeto de disco sem metadados do disco de origem.

  • Tempo de inatividade necessário: o processo de migração requer tempo de inatividade da VM para operações de disco e recriação de VM.

  • VMs ingressadas no domínio: se suas VMs fizerem parte de um domínio do Active Directory, mais etapas serão necessárias:

    • A VM original deve ser removida do domínio antes da exclusão
    • Depois de criar a nova VM, ela deve ser reingressada no domínio
    • Para VMs do Linux, a junção de domínio pode ser realizada usando extensões do Azure AD

    Para obter mais informações, confira O que é o Microsoft Entra Domain Services?

Pré-requisitos

Antes de iniciar a migração:

  1. Fazer backup de seus dados: crie backups de todos os dados críticos antes de iniciar o processo de migração.

  2. Teste o processo: se possível, teste o processo de migração em uma VM de não produção primeiro.

  3. Preparar recursos de criptografia: verifique se o tamanho da VM dá suporte à criptografia no host. A maioria dos tamanhos de VM atuais dá suporte a esse recurso. Para obter mais informações sobre os requisitos de tamanho da VM, consulte Habilitar criptografia de ponta a ponta usando criptografia no host.

  4. Configuração do documento: registre sua configuração de VM atual, incluindo configurações de rede, extensões e recursos anexados.

Etapas da migração

As etapas de migração a seguir funcionam para a maioria dos cenários, com diferenças específicas observadas para cada sistema operacional.

Importante

As VMs do Linux com discos do sistema operacional criptografados não podem ser descriptografadas in-loco. Para essas VMs, você deve criar uma VM com um novo disco do sistema operacional e migrar seus dados. Consulte a seção Migrar VMs do Linux com discos do sistema operacional criptografados depois de examinar o processo geral abaixo.

Desabilitar Azure Disk Encryption

A primeira etapa é desabilitar o Azure Disk Encryption existente quando possível:

Depois de executar o comando de desabilitar o ADE, o status de criptografia da VM no portal do Azure muda para "SSE + PMK" imediatamente. No entanto, o processo de descriptografia real no nível do sistema operacional leva tempo e depende da quantidade de dados criptografados. Você deve verificar se a descriptografia no nível do sistema operacional foi concluída antes de prosseguir para a próxima etapa.

Para VMs do Windows:

  • Abra o Prompt de Comando como Administrador e execute: manage-bde -status
  • Verifique se todos os volumes mostram o status "Totalmente Descriptografado"
  • A taxa de descriptografia deve mostrar 100% para todos os volumes criptografados

Para VMs do Linux (somente discos de dados):

  • Execute: sudo cryptsetup status /dev/mapper/<device-name>
  • Verifique se os dispositivos criptografados não estão mais ativos
  • Verifique com: lsblk para confirmar se nenhum mapeamento criptografado permanece

Aguarde a descriptografia completa antes de continuar com a migração de disco para garantir a integridade dos dados.

Criar discos gerenciados

Crie discos que não carreguem os metadados de criptografia do ADE. Esse processo funciona para VMs do Windows e do Linux, com algumas considerações específicas para discos do sistema operacional Linux.

Importante

Você precisa adicionar um offset de 512 bytes ao copiar um disco gerenciado no Azure. Isso ocorre porque o Azure omite o rodapé ao relatar o tamanho do disco. A cópia falhará se você não fizer isso. O script a seguir já faz isso para você.

Se você estiver criando um disco do sistema operacional, adicione --hyper-v-generation <yourGeneration> a az disk create.

# Set variables
sourceDiskName="MySourceDisk"
sourceRG="MyResourceGroup"
targetDiskName="MyTargetDisk"
targetRG="MyResourceGroup"
targetLocation="eastus"
# For OS disks, specify either "Windows" or "Linux"
# For data disks, omit the targetOS variable and --os-type parameter
targetOS="Windows"

# Get source disk size in bytes
sourceDiskSizeBytes=$(az disk show -g $sourceRG -n $sourceDiskName --query '[diskSizeBytes]' -o tsv)

# Create a new empty target disk with upload capability
az disk create -g $targetRG -n $targetDiskName -l $targetLocation --os-type $targetOS --for-upload --upload-size-bytes $(($sourceDiskSizeBytes+512)) --sku standard_lrs

# Generate SAS URIs for both disks
targetSASURI=$(az disk grant-access -n $targetDiskName -g $targetRG --access-level Write --duration-in-seconds 86400 --query [accessSas] -o tsv)

sourceSASURI=$(az disk grant-access -n $sourceDiskName -g $sourceRG --access-level Read --duration-in-seconds 86400 --query [accessSas] -o tsv)

# Copy the disk data using AzCopy
azcopy copy $sourceSASURI $targetSASURI --blob-type PageBlob

# Revoke SAS access when complete
az disk revoke-access -n $sourceDiskName -g $sourceRG

az disk revoke-access -n $targetDiskName -g $targetRG

Esse método cria novos discos sem os metadados do Azure Disk Encryption (sinalizador UDE), que é essencial para uma migração limpa.

Criar uma VM com criptografia

Crie uma VM usando os discos recém-criados com o método de criptografia escolhido.

Você pode escolher entre várias opções de criptografia, dependendo de seus requisitos de segurança. Este artigo fornece etapas para criar uma VM com criptografia no host, que é o caminho de migração mais comum. Outras opções de criptografia são abordadas em Visão geral das opções de criptografia de disco gerenciado.

Criar uma VM com criptografia no host

A criptografia no host fornece o equivalente mais próximo à cobertura do Azure Disk Encryption e é abordada nesta seção.

Para discos do sistema operacional:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

Para discos de dados:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

Verificar e configurar os novos discos

Depois de criar a VM com criptografia no host, você precisa verificar e configurar os discos corretamente para o sistema operacional.

Para VMs do Windows:

  • Verificar se as letras de disco são atribuídas corretamente
  • Verifique se os aplicativos podem acessar os discos corretamente
  • Atualizar todos os aplicativos ou scripts que fazem referência a IDs de disco específicas

Para VMs do Linux:

  • Atualizar /etc/fstab com os novos UUIDs de disco
  • Montar os discos de dados nos pontos de montagem corretos
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

O Windows e o Linux podem exigir etapas de configuração adicionais específicas para seus aplicativos ou cargas de trabalho.

Verificar criptografia e limpeza

Verifique se a criptografia no host está configurada corretamente em VMs do Windows e do Linux.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

Depois de confirmar que a criptografia no host está funcionando corretamente:

  1. Teste a funcionalidade da VM para garantir que os aplicativos funcionem corretamente
  2. Verifique se os dados estão acessíveis e intactos
  3. Exclua os recursos originais quando estiver satisfeito com a migração:
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Migrar VMs do Linux com discos do sistema operacional criptografados

Como você não pode desabilitar a criptografia em discos do sistema operacional Linux, o processo é diferente do Windows.

  1. Criar uma VM com criptografia no host habilitado

    az vm create \
  --resource-group "MyResourceGroup" \
  --name "MyVM-New" \
  --image "Ubuntu2204" \
  --encryption-at-host true \
  --admin-username "azureuser" \
  --generate-ssh-keys

  2. Para opções de migração de dados:

    • Para dados do aplicativo: use SCP, rsync ou outros métodos de transferência de arquivo para copiar dados
    • Para configuração: replique arquivos de configuração e configurações importantes
    • Para aplicativos complexos: use procedimentos de backup/restauração apropriados para seus aplicativos
    # Example of using SCP to copy files from source to new VM
az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
  --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"

Depois de criar a VM:

  1. Configure a nova VM para corresponder ao ambiente original

    • Configure as mesmas configurações de rede
    • Instale os mesmos aplicativos e serviços
    • Aplique as mesmas configurações de segurança

  2. Teste minuciosamente antes de desativar a VM original

Essa abordagem funciona para VMs do Windows e do Linux, mas é especialmente importante para VMs do Linux com discos de sistema operacional criptografados que não podem ser descriptografados in-loco.

Para obter diretrizes sobre migração de dados, consulte Carregar um disco rígido virtual no Azure e Copiar arquivos para uma VM do Linux usando SCP.

Considerações de VM ingressada no domínio

Se suas VMs fizerem parte de um domínio do Active Directory, etapas adicionais serão necessárias durante o processo de migração:

Etapas de domínio de pré-imigração

  1. Associação ao domínio do documento: registre o domínio atual, a UO (unidade organizacional) e quaisquer associações de grupo especiais
  2. Observação da conta de computador: a conta de computador no Active Directory precisa ser gerenciada
  3. Configurações específicas do domínio de backup: salve configurações específicas do domínio, políticas de grupo ou certificados

Processo de remoção de domínio

  1. Remova do domínio: antes de excluir a VM original, remova-a do domínio usando um destes métodos:

    • Use o cmdlet Remove-Computer do PowerShell no Windows
    • Use a caixa de diálogo Propriedades do Sistema para alterar para grupo de trabalho
    • Exclua manualmente a conta de computador de usuários e computadores do Active Directory

  2. Limpar o Active Directory: remova contas de computador ou entradas DNS órfãs

Ingressar no domínio novamente pós-migração

  1. Ingressar uma nova VM ao domínio: depois de criar a VM com criptografia no host:

    • Para Windows: use o cmdlet Add-Computer ou as propriedades do sistema do PowerShell
    • Para Linux: use a extensão de ingresso no domínio do Azure AD ou a configuração manual

  2. Restaurar configurações de domínio: reaplique configurações específicas do domínio, políticas de grupo ou certificados

  3. Verificar a funcionalidade de domínio: teste autenticação de domínio, aplicativo de política de grupo e acesso a recursos de rede

Ingresso no domínio do Linux

Para VMs do Linux, você pode usar a extensão de VM do Azure AD Domain Services:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Para obter mais informações, confira O que é o Microsoft Entra Domain Services?

Considerações de domínio importantes

  • A nova VM tem um SID de computador diferente, o que pode afetar alguns aplicativos
  • Os tíquetes Kerberos e as credenciais armazenadas em cache devem ser atualizados
  • Alguns aplicativos integrados ao domínio podem exigir reconfiguração
  • Planejar a possível perda temporária de serviços de domínio durante a migração

Verificação pós-migração

Depois de concluir a migração, verifique se a criptografia no host está funcionando corretamente:

  1. Verificar a criptografia no status do host: verifique se a criptografia no host está habilitada:

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

  2. Testar a funcionalidade da VM: verifique se seus aplicativos e serviços estão funcionando corretamente.

  3. Verifique a criptografia de disco: confirme se os discos estão criptografados corretamente:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState

  4. Monitorar o desempenho: compare o desempenho antes e depois da migração para confirmar as melhorias esperadas.

Para obter mais informações sobre a verificação de criptografia, consulte Habilitar criptografia de ponta a ponta usando criptografia no host.

Cleanup

Após a migração e a verificação bem-sucedidas:

  1. Excluir VM antiga: remova a VM criptografada pelo ADE original

  2. Excluir discos antigos: remova os discos criptografados originais

  3. Atualizar políticas de acesso do Key Vault: outras soluções de criptografia de disco usam mecanismos de autorização padrão do Key Vault. Se você não precisar mais do Key Vault para a Criptografia de Disco do Azure, atualize suas políticas de acesso para desabilitar a configuração especial de criptografia de disco:

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
  1. Limpar recursos: remova todos os recursos temporários criados durante a migração
  2. Documentação de atualização: atualize a documentação da infraestrutura para refletir a migração para a criptografia no host

Problemas comuns e soluções

O tamanho da VM não dá suporte à criptografia no host

Solução: verifique a lista de tamanhos de VM com suporte e redimensione sua VM, se necessário

A VM falha ao iniciar após a migração

Solução: verifique se todos os discos estão anexados corretamente e se o disco do sistema operacional está definido como o disco de inicialização

Criptografia no host não habilitada

Solução: verifique se a VM foi criada com o parâmetro --encryption-at-host true e se sua assinatura dá suporte a esse recurso

Os problemas de desempenho persistem

Solução: verifique se a criptografia no host está habilitada corretamente e se o tamanho da VM dá suporte ao desempenho esperado.

Próximas etapas

  • Last updated on