В этой статье приведены часто задаваемые вопросы о шифровании дисков Azure для виртуальных машин под управлением Linux. Дополнительные сведения об этой службе см. в статье Общие сведения о шифровании дисков Azure.
Что такое шифрование дисков Azure для виртуальных машин под управлением Linux?
Шифрование дисков Azure для виртуальных машин под управлением Linux использует функцию dm-crypt в Linux для обеспечения полного шифрования диска операционной системы* и дисков данных. Кроме того, он обеспечивает шифрование временного диска при использовании функции EncryptFormatAll. Содержимое передается в зашифрованном виде из виртуальной машины в серверную часть хранилища. Таким образом, обеспечивается сквозное шифрование с ключом, управляемым клиентом.
Дополнительные сведения см. в разделе Поддерживаемые виртуальные машины и операционные системы.
В каких регионах предоставляется общедоступная версия шифрования дисков Azure?
Шифрование дисков Azure для виртуальных машин под управлением Linux предоставляется в режиме общей доступности во всех общедоступных регионах Azure.
Какие возможности предоставляет шифрование дисков Azure?
Шифрование дисков Azure (общедоступная версия) поддерживает шаблоны Azure Resource Manager, Azure PowerShell и Azure CLI. Благодаря таким различным возможностям обеспечивается гибкость. Шифрование дисков на виртуальных машинах можно включить тремя разными способами. Дополнительные сведения о возможностях для пользователей и пошаговые инструкции по работе с шифрованием дисков Azure доступны в сценариях шифрования дисков Azure для Linux.
Какова стоимость шифрования дисков Azure?
Плата за шифрование дисков виртуальной машины с помощью шифрования дисков Azure не взимается, но оплачивается использование Azure Key Vault. Дополнительные сведения о ценах на Azure Key Vault см. на этой странице.
Как приступить к работе с шифрованием дисков Azure?
Чтобы приступить к работе, ознакомьтесь с обзором шифрования дисков Azure.
В каких операционных системах и для каких размеров виртуальных машин поддерживается шифрование дисков Azure?
В статье Общие сведения о шифровании дисков Azure перечислены все размеры виртуальных машин и операционные системы виртуальных машин, которые поддерживают шифрование дисков Azure.
Можно ли с помощью шифрования дисков Azure зашифровать загрузочные тома и тома данных?
Да, вы можете зашифровать загрузочные тома и тома данных или том данных без предварительного шифрования тома операционной системы.
После шифрования тома операционной системы шифрование тома ОС невозможно отключить. Для виртуальных машин Linux в масштабируемом наборе может быть зашифрован только том данных.
Можно ли с помощью шифрования дисков Azure зашифровать отключенный том?
Нет, шифрование дисков Azure шифрует только подключенные тома.
Что такое шифрование на стороне сервера хранилища?
Шифрование на стороне сервера шифрует управляемые диски Azure в службе хранилища Azure. Управляемые диски по умолчанию шифруются службой шифрования на стороне сервера с ключом, управляемым платформой (с 10 июня 2017 г.). Вы можете применить для управления шифрованием управляемых дисков собственные ключи, настроив использование ключа, управляемого клиентом. Дополнительные сведения см. в статье о шифровании управляемых дисков Azure на стороне сервера.
Чем шифрование дисков Azure отличается от шифрования на стороне сервера хранилища с ключом, управляемым клиентом, и в каких условиях лучше применять эти варианты?
Шифрование дисков Azure обеспечивает сквозное шифрование диска операционной системы, дисков данных и временного диска с ключом, управляемым клиентом.
- Если в ваши требования входит шифрование всех указанных выше элементов и применение сквозного шифрования, используйте шифрование дисков Azure.
- Если вам достаточно шифровать с помощью управляемого клиентом ключа только неактивные данные, выбирайте шифрование на стороне сервера с ключами, управляемыми клиентом. Вы не сможете применить к одному диску одновременно шифрование дисков Azure и шифрование на стороне сервера хранилища с ключами, управляемыми клиентом.
- Если дистрибутив Linux не указан в поддерживаемых операционных системах для Шифрование дисков Azure или используется сценарий, указанный в ограничениях, рассмотрите возможность шифрования на стороне сервера с помощью ключей, управляемых клиентом.
- Если политика вашей организации позволяет шифровать хранимое содержимое с помощью ключа, управляемого Azure, то никаких действий выполнять не нужно, так как содержимое уже шифруется по умолчанию. На управляемых дисках содержимое внутри хранилища по умолчанию шифруется с применением шифрования на стороне сервера и ключом, управляемым платформой. Этот ключ управляется службой хранилища Azure.
Как сменить секреты или ключи шифрования?
Для смены секретов просто вызовите ту же команду, которую вы выполнили для включения шифрования диска, указав другой Key Vault. Для смены ключа шифрования ключей вызовите ту же команду, которую вы выполнили для включения шифрования диска, указав новый тип шифрования ключей.
Предупреждение
- Если вы ранее использовали Шифрование дисков Azure с приложением Microsoft Entra, указав учетные данные Microsoft Entra для шифрования этой виртуальной машины, вам придется продолжить использовать этот параметр для шифрования виртуальной машины. Вы не можете использовать Шифрование дисков Azure на этой зашифрованной виртуальной машине, так как это не поддерживается, что означает отключение от приложения Microsoft Entra для этой зашифрованной виртуальной машины пока не поддерживается.
Как мне добавить или удалить ключ шифрования ключа, если я раньше его не использовал?
Чтобы добавить ключ шифрования ключа, повторно вызовите команду включения, передав в параметре нужный ключ шифрования ключа. Чтобы удалить ключ шифрования ключа, повторно вызовите команду включения без параметра ключа шифрования ключа.
Дает ли служба шифрования дисков Azure возможность создания собственных ключей (BYOK)?
Да, вы можете предоставить собственные ключи шифрования ключей. Эти ключи хранятся в Azure Key Vault, что представляет собой хранилище ключей для шифрования дисков Azure. Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Можно ли использовать ключ шифрования ключей, созданный в Azure?
Да, можно использовать Azure Key Vault, чтобы создать ключ шифрования ключей для использования шифрования дисков Azure. Эти ключи хранятся в Azure Key Vault, что представляет собой хранилище ключей для шифрования дисков Azure. Дополнительные сведения о ключе шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Можно ли использовать локальную службу управления ключами или HSM для защиты ключей шифрования?
Использовать локальную службу управления ключами или HSM для защиты ключей шифрования с шифрованием дисков Azure нельзя. Для защиты ключей шифрования можно использовать только Azure Key Vault. Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Каковы предварительные требования для настройки шифрования дисков Azure?
Для использования шифрования дисков Azure существуют предварительные требования. Чтобы создать хранилище ключей или настроить имеющееся для доступа к шифрованию диска с целью включения шифрования и обеспечения защиты секретов и ключей, перейдите к статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure". Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Какие необходимые условия для настройки Шифрование дисков Azure с помощью приложения Microsoft Entra (предыдущего выпуска)?
Для использования шифрования дисков Azure существуют предварительные требования. Ознакомьтесь с Шифрование дисков Azure с содержимым идентификатора Microsoft Entra, чтобы создать приложение Microsoft Entra, создать новое хранилище ключей или настроить существующее хранилище ключей для доступа к шифрованию дисков, чтобы включить шифрование, а также защитить секреты и ключи. Дополнительные сведения о сценариях поддержки ключей шифрования ключей см. в статье "Создание и настройка хранилища ключей для Шифрование дисков Azure с идентификатором Microsoft Entra".
Поддерживается ли Шифрование дисков Azure использование приложения Microsoft Entra (предыдущего выпуска) ?
Да. Шифрование дисков с помощью приложения Microsoft Entra по-прежнему поддерживается. Однако при шифровании новых виртуальных машин рекомендуется использовать новый метод, а не шифрование с помощью приложения Microsoft Entra.
Можно ли перенести виртуальные машины, зашифрованные с помощью приложения Microsoft Entra, в шифрование без приложения Microsoft Entra?
В настоящее время нет прямого пути миграции для компьютеров, которые были зашифрованы с помощью приложения Microsoft Entra для шифрования без приложения Microsoft Entra. Кроме того, нет прямого пути к шифрованию без приложения Microsoft Entra для шифрования с помощью приложения AD.
Какую версию Azure PowerShell поддерживает шифрование дисков Azure?
Для настройки шифрования дисков Azure используйте последнюю версию пакета SDK для Azure PowerShell. Скачайте последнюю версию Azure PowerShell. Шифрование дисков Azure не поддерживается в пакете SDK для Azure версии 1.1.0.
Примечание.
Расширение Microsoft.OSTCExtension.AzureDiskEncryptionForLinux для шифрования дисков Linux Azure не рекомендуется. Это расширение опубликовано для предварительной версии Шифрования дисков Azure. Не следует использовать предварительную версию расширения в тестовом или рабочем развертывании.
Для сценариев развертывания, таких как Azure Resource Manager (ARM), где вам нужно развернуть расширение Шифрования дисков Azure для виртуальной машины Linux, чтобы включить шифрование на виртуальной машине IaaS под управлением Linux, необходимо использовать поддерживаемое в рабочей среде расширение Microsoft.Azure.Security.AzureDiskEncryptionForLinux для шифрования дисков Azure.
Можно ли применять шифрование дисков Azure в пользовательском образе Linux?
Шифрование дисков Azure применить в пользовательском образе Linux нельзя. Поддерживаются только образы Linux из коллекции поддерживаемых дистрибутивов, приведенных выше. Пользовательские образы Linux сейчас не поддерживаются.
Можно ли применить обновления к виртуальной машине Linux Red Hat с использованием команды yum update?
Да, можно выполнить обновление с использованием команды yum update для виртуальной машины Red Hat Linux. Дополнительные сведения см. в статье Шифрование дисков Azure в изолированной сети.
Какие действия по шифрованию дисков Azure рекомендуется использовать для Linux?
Для достижения наилучших результатов в Linux рекомендуется такая последовательность действий:
- Для начала выберите неизмененный готовый образ из коллекции, соответствующий требуемому дистрибутиву и версии операционной системы.
- Создайте резервные копии всех подключенных дисков, которые будут зашифрованы. Это позволит выполнить восстановление в случае сбоя, например при перезагрузке виртуальной машины до завершения шифрования.
- Выполните шифрование (этот процесс может занять несколько часов или даже дней в зависимости от характеристик виртуальной машины и размера всех подключенных дисков данных).
- При необходимости настройте образ и добавьте к нему программное обеспечение.
Если эти действия невозможно выполнить, в качестве альтернативы шифрованию всего диска с помощью dm-crypt можно воспользоваться шифрованием службы хранилища (SSE) на уровне учетной записи хранения платформы.
Что такое том BEK или /mnt/azure_bek_disk?
Том Bek представляет собой локальный том данных, который надежно хранит ключи шифрования для зашифрованных виртуальных машин Azure.
Примечание.
Не удаляйте и не изменяйте содержимое на этом диске. Не отключайте диск, так как ключ шифрования необходим для любой операции шифрования на виртуальной машине IaaS.
Какой метод шифрования используется в шифровании дисков Azure?
Шифрование дисков Azure использует метод расшифровки по умолчанию aes-xts-plain64 с 256-разрядным главным ключом тома.
Если используется параметр EncryptFormatAll и указаны все типы томов, удалятся ли данные из уже зашифрованных дисков?
Нет. Данные не удаляются из дисков, которые уже зашифрованы с помощью службы шифрования дисков Azure. Так же как и в случае с диском ОС, параметр EncryptFormatAll не шифрует повторно уже зашифрованные диски данных. Дополнительные сведения см. в разделе Использование параметра EncryptFormatAll с Azure CLI.
Поддерживается ли файловая система XFS?
Шифрование дисков ОС XFS поддерживается.
Шифрование дисков данных XFS поддерживается только при использовании параметра EncryptFormatAll. Это приведет к переформатированию тома, а также к удалению всех данных, сохраненных ранее. Дополнительные сведения см. в разделе Использование параметра EncryptFormatAll с Azure CLI.
Поддерживается ли изменение размера раздела ОС?
Изменение размера диска ОС, зашифрованного с помощью ADE, в настоящее время не поддерживается.
Можно ли выполнять резервное копирование и восстановление для зашифрованной виртуальной машины?
Azure Backup предоставляет механизм резервного копирования и восстановления зашифрованных виртуальных машин в пределах одной подписки и одного региона. Инструкции для этих процессов приводятся в статье Резервное копирование и восстановление зашифрованных виртуальных машин с помощью Azure Backup. Восстановление зашифрованной виртуальной машины в другом регионе в настоящее время не поддерживается.
Где можно задать вопрос или оставить отзыв?
Вы можете задать вопрос или оставить отзыв на странице вопросов и ответов на сайте Майкрософт, посвященной шифрованию дисков Azure.
Следующие шаги
Из этого документа вы получили ответы на самые распространенные вопросы, связанные с шифрованием дисков Azure. Дополнительные сведения об этой службе см. в следующих статьях: