Внимание
Поддержка аппаратного шифрования для Data Box Disk в настоящее время доступна в регионах США, Европы и Японии.
Для диска Azure Data Box с аппаратным шифрованием требуется подключение SATA III. Все остальные подключения, включая USB, не поддерживаются.
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, поддержка которого прекращена. Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
Это руководство описывает, как распаковать, подключить и разблокировать диск Azure Data Box.
В этом руководстве описано следующее:
- Распакуйте диск Data Box.
- Подключение к дискам и получение ключа доступа
- Разблокировка дисков на клиенте Windows
- Разблокировка дисков на клиенте Linux
Предварительные условия
Перед тем как начать, убедитесь в следующем.
- Вы завершили Учебник: Заказ диска Azure Data Box.
- Вы получили свои диски, и статус задания на портале обновлён до Доставлено.
- У вас есть клиентский компьютер, на котором можно установить средство разблокировки диска Data Box. Клиентский компьютер должен:
Распаковка дисков
Выполните следующие действия для распаковки дисков.
Диски Data Box отправляются в небольшой транспортировочной коробке. Откройте коробку и удалите ее содержимое. Убедитесь, что в коробке имеется 1–5 твердотельных дисков (SSD) и соединительный кабель USB для каждого диска. Осмотрите коробку на наличие каких-либо доказательств незаконного изменения или любых других очевидных повреждений.
Если транспортировочная коробка имеет следы незаконного изменения или серьезно повреждена, не открывайте ее. Обратитесь в службу поддержки Майкрософт, чтобы она помогла оценить, находятся ли диски в хорошем состоянии или их необходимо заменить.
Убедитесь, что коробка имеет прозрачную упаковку, содержащую транспортную этикетку (в соответствие с действующей маркировкой) для обратной отправки. Если эта этикетка утеряна или повреждена, всегда можно загрузить и распечатать новую с портала Azure.
Сохраните коробку и упаковочный пеноматериал на случай обратной отправки дисков.
Подключение дисков
Внимание
Диск Azure Data Box с аппаратным шифрованием поддерживается и проверяется только для операционных систем под управлением Linux. Чтобы получить доступ к дискам с устройства, работающего на ОС Windows, скачайте инструменты Data Box Disk и запустите Data Box Disk SED Unlock Tool.
Используйте включенный USB-кабель для подключения диска к компьютеру Windows или Linux с поддерживаемой версией. Дополнительные сведения о поддерживаемых версиях ОС, см. в статье Требования к системе для диска Azure Data Box.
Получение ключа доступа
На портале Azure перейдите к заказу ваших дисков Data Box. Найдите его, перейдя по разделу "Общие > Все ресурсы", а затем выберите заказ на Data Box Disk. Используйте значок копирования, чтобы скопировать ключ доступа. Этот ключ доступа будет использоваться для разблокировки дисков.
ключ разблокировки Data Box Disk
В зависимости от того, подключены ли вы к клиенту Windows или Linux, действия по разблокировке дисков будут отличаться.
Разблокировка дисков
Выполните следующие действия для подключения и разблокировки дисков.
Выполните следующие действия для подключения и разблокировки дисков.
В портале Azure откройте ваш заказ для дисков Data Box. Найдите его, перейдите в раздел Общие > Все ресурсы, а затем выберите заказ Диск Data Box.
Скачайте набор средств Data Box Disk, который соответствует клиенту Windows. Этот набор средств содержит 3 средства: средство разблокировки дисков, средство проверки дисков и средство раздельного копирования дисков.
Примечание.
PowerShell ISE не поддерживается для инструментов Data Box Disk
Для выполнения этой процедуры требуется только инструмент разблокировки диска Data Box. Остальные инструменты будут использоваться в последующих шагах.
Извлеките инструментарий на том же компьютере, который вы будете использовать для копирования данных.
Откройте окно командной строки или запустите Windows PowerShell от имени администратора на том же компьютере.
Убедитесь, что клиентский компьютер соответствует требованиям операционной системы для средства разблокировки Data Box. Запустите системную проверку в папке, содержащей извлеченный пакет инструментов Data Box Disk, как показано в примере ниже.
.\DataBoxDiskUnlock.exe /SystemCheck
В следующем примере выходных данных подтверждается соответствие клиентского компьютера требованиям к операционной системе.
Запустите DataBoxDiskUnlock.exe, указав ключ доступа, полученный в разделе "Получение ключа доступа". Секретный Passkey ключ передается в качестве значения параметра, как показано в следующем примере.
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
Успешный ответ включает букву диска, назначенную диску, как показано в следующем примере выходных данных.
Повторяйте шаги по разблокировке при любых будущих повторных вставках диска. Если вам нужна помощь с инструментом разблокировки диска Data Box, используйте команду help, как показано в следующем примере кода и выходных данных.
.\DataBoxDiskUnlock.exe /help
Когда диск будет разблокирован, можно просмотреть содержимое диска.
Примечание.
Не форматируйте или не изменяйте содержимое или существующую структуру файла диска.
Если вы столкнетесь с проблемами при разблокировке дисков, ознакомьтесь со сведениями об устранении неполадок при разблокировке.
Выполните следующие действия, чтобы подключить и разблокировать аппаратные зашифрованные диски Data Box на компьютере под управлением Linux.
Модуль доверенной платформы (TPM) должен быть включен в системах Linux для дисков на основе SATA. Чтобы включить TPM, установите libata.allow_tpm на 1, изменив конфигурацию GRUB, как показано в следующих примерах для разных дистрибутивов. Дополнительные сведения можно найти на общедоступном вики-сайте https://github.com/Drive-Trust-Alliance/sedutil/wikiDrive-Trust-Alliance.
Предупреждение
Для включения доверенного платформенного модуля на устройстве может потребоваться перезагрузка.
В следующем примере содержится команда reboot. Убедитесь, что данные не будут потеряны перед выполнением скрипта.
Используйте следующие команды, чтобы включить TPM для CentOS.
sudo nano /etc/default/grub
Далее Вручную добавьте "libata.allow_tpm=1" в аргумент командной строки grub.
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Для систем на основе BIOS: grub2-mkconfig -o /boot/grub2/grub.cfg
Для систем на основе UEFI: grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
reboot
Наконец, убедитесь, что параметр TPM задан правильно, проверив загрузочный образ.
cat /proc/cmdline
Используйте следующие команды, чтобы включить TPM для Ubuntu/Debian.
sudo nano /etc/default/grub
Затем вручную добавьте "libata.allow_tpm=1" в аргумент командной строки grub.
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Обновите GRUB и перезагрузите.
sudo update-grub
reboot
Наконец, убедитесь, что параметр доверенного платформенного модуля настроен правильно, проверив загрузочный образ.
cat /proc/cmdline
---
Скачайте набор инструментов Data Box Disk. Извлеките и скопируйте Data Box Disk Unlock Utility в локальный путь на вашем компьютере.
Скачайте SEDUtil. Дополнительные сведения см. в общедоступном вики-сайте Drive-Trust-Alliance.
Внимание
SEDUtil — это внешняя программа для самошифровки дисков. Это не управляется корпорацией Майкрософт. Дополнительные сведения, включая сведения о лицензии для этой служебной программы, можно найти по https://sedutil.com/адресу.
Извлеките SEDUtil в локальный путь на компьютере и создайте символьную ссылку на путь служебной программы, используя следующий пример. Кроме того, можно добавить путь служебной программы к переменной PATH среды.
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
Команда sedutil-cli –scan перечисляет все диски, подключенные к серверу. Команда не зависит от дистрибутива.
sudo sedutil-cli --scan
В следующем примере выходных данных подтверждается успешное завершение проверки.
Диски Azure можно определить с помощью следующей команды. Серийные номера дисков можно проверить для тома с помощью следующей команды.
sedutil-cli --query <volume>
Запустите программу разблокировки Data Box Disk из набора инструментов Linux, извлеченного на предыдущем шаге. Укажите ключ доступа из портал Azure, полученного из раздела "Подключение к дискам". При необходимости можно указать список зашифрованных томов BitLocker для разблокировки. Список ключей доступа и список дисков должны быть указаны в одинарных кавычках, как показано в следующем примере.
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
В следующем примере выходных данных указывается, что том был успешно разблокирован. Точка монтирования также отображается для тома, в который вы можете скопировать данные.
Внимание
Повторите шаги, чтобы разблокировать диск при любой последующей вставке диска.
Вы можете воспользоваться параметром помощи, если вам нужна дополнительная помощь с утилитой разблокировки Data Box Disk, как показано в следующем примере.
sudo ./DataBoxDiskUnlock /Help
На следующем рисунке показан пример выходных данных.
После разблокировки диска можно перейти к точке подключения и просмотреть содержимое диска. Теперь вы готовы скопировать данные в папки в соответствии с нужным типом данных.
После завершения копирования данных на диск отключите и удалите диск безопасно с помощью следующей команды.
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'>
/Unmount /SED
В следующем примере вывода подтверждается, что том успешно отключен.
Вы можете проверить данные на диске, подключився к компьютеру под управлением Windows с поддерживаемой операционной системой. Перед подключением дисков к локальному компьютеру обязательно просмотрите требования к ОС для операционных систем под управлением Windows.
Выполните следующие действия, чтобы разблокировать самошифрованные диски с помощью компьютеров под управлением Windows.
Скачайте набор инструментов Data Box Disk для клиентов Windows и извлеките его на тот же компьютер. Хотя набор инструментов содержит четыре средства, для аппаратно зашифрованных дисков используется только средство разблокировки Data Box SED.
Подключите Диск Data Box к доступному подключению SATA 3 на компьютере под управлением Windows.
С помощью командной строки или PowerShell выполните следующую команду, чтобы разблокировать самошифрованные диски.
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
В следующем примере выходных данных подтверждается, что диск был успешно разблокирован.
Не забудьте безопасно удалить диски перед их удалением.
Если при разблокировке дисков возникают проблемы, обратитесь к статье об устранении неполадок с разблокировками.
Выполните следующие действия, чтобы подключить и разблокировать зашифрованные диски Data Box на компьютере под управлением Linux.
В портал Azure перейдите к общим > сведениям об устройстве.
Скачайте набор инструментов Диск Data Box. Извлеките и скопируйте программу разблокировки Диск Data Box в локальный путь на компьютере.
Перейдите к папке, содержащей набор инструментов Диск Data Box. Откройте окно терминала на клиенте Linux и измените разрешения файла, чтобы разрешить выполнение, как показано в следующем примере:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
chmod После выполнения команды убедитесь, что разрешения файла изменяются, выполнив ls команду, как показано в следующем примере выходных данных.
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
Выполните следующий скрипт, чтобы установить двоичные файлы для разблокировки Data Box Disk. Используйте sudo для выполнения команды в качестве привилегированного пользователя (root). Подтверждение отображается в терминале, чтобы уведомить вас об успешной установке.
sudo ./DataBoxDiskUnlock_Prep.sh
Сценарий проверяет, запущен ли клиентский компьютер поддерживаемую операционную систему, как показано в примере выходных данных.
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
Введите y, чтобы продолжить установку. Скрипт устанавливает следующие пакеты:
epel-release — репозиторий, содержащий следующие три пакета.
dislocker и fuse-dislocker — служебные программы для расшифровки зашифрованных дисков BitLocker.
ntfs-3g — пакет, который помогает подключать тома NTFS.
Уведомление отображается в терминале, чтобы сообщить, что пакеты успешно установлены.
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
Запустите средство разблокировки Data Box Disk, указав пароль доступа, полученный из портала Azure. При необходимости укажите список зашифрованных серийных номеров BitLocker для разблокировки. Ключ доступа и серийные номера должны содержаться в одинарных кавычках, как показано ниже.
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
Следующий пример выходных данных подтверждает успешное разблокирование тома. Точка монтирования также отображается для тома, в который можно скопировать ваши данные.
Повторяйте шаги по разблокировке при любых будущих повторных вставках диска. Используйте команду help для получения дополнительной помощи с инструментом разблокировки диска Data Box.
sudo //DataBoxDiskUnlock /Help
Ниже показан пример выходных данных.
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
После разблокировки диска можно перейти к точке подключения и просмотреть содержимое диска. Теперь все готово для копирования данных в папки BlockBlob или PageBlob.
Примечание.
Не форматируйте или не изменяйте содержимое или существующую структуру файла диска.
После копирования необходимых данных на диск обязательно отключите и удалите диск безопасно с помощью следующей команды.
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2'
В следующем примере результата подтверждается успешное размонтирование тома.
Следующие шаги
В этом руководстве вы узнали о таких темах, как Azure Data Box Disk:
- Распакуйте диск Data Box.
- Подключение к дискам и получение ключа доступа
- Разблокировка дисков на клиенте Windows
- Разблокировка дисков на клиенте Linux
Перейдите к следующему уроку, чтобы узнать, как перенести данные на диск Data Box.
