В этой статье приведены часто задаваемые вопросы о шифровании дисков Azure для виртуальных машин под управлением Linux. Дополнительные сведения об этой службе см. в статье Общие сведения о шифровании дисков Azure.
Что такое Шифрование дисков Azure для виртуальных машин Linux?
Шифрование дисков Azure для виртуальных машин Linux использует функцию dm-crypt Linux для обеспечения полного шифрования диска операционной системы* и дисков данных. Кроме того, он обеспечивает шифрование временного диска при использовании функции EncryptFormatAll. Содержимое передается из виртуальной машины в серверную часть хранилища с помощью ключа, управляемого клиентом.
См. сведения о поддерживаемых виртуальных машинах и операционных системах.
В каких регионах предоставляется общедоступная версия шифрования дисков Azure?
Шифрование дисков Azure для виртуальных машин Linux находится в общедоступном регионе Azure.
Какие возможности предоставляет шифрование дисков Azure?
Шифрование дисков Azure (общедоступная версия) поддерживает шаблоны Azure Resource Manager, Azure PowerShell и Azure CLI. Благодаря таким различным возможностям обеспечивается гибкость. У вас есть три варианта включения шифрования дисков для виртуальных машин. Дополнительные сведения о возможностях для пользователей и пошаговые инструкции по работе с шифрованием дисков Azure доступны в сценариях шифрования дисков Azure для Linux.
Какова стоимость шифрования дисков Azure?
Плата за шифрование дисков виртуальной машины с помощью шифрования дисков Azure не взимается, но оплачивается использование Azure Key Vault. Дополнительные сведения о ценах на Azure Key Vault см. на этой странице.
Как приступить к работе с шифрованием дисков Azure?
Чтобы приступить к работе, ознакомьтесь с обзором шифрования дисков Azure.
В каких операционных системах и для каких размеров виртуальных машин поддерживается шифрование дисков Azure?
В статье Общие сведения о шифровании дисков Azure перечислены все размеры виртуальных машин и операционные системы виртуальных машин, которые поддерживают шифрование дисков Azure.
Можно ли с помощью шифрования дисков Azure зашифровать загрузочные тома и тома данных?
Да, вы можете зашифровать загрузочные тома и тома данных или том данных без предварительного шифрования тома операционной системы.
После шифрования тома операционной системы шифрование тома ОС невозможно отключить. Для виртуальных машин Linux в масштабируемом наборе можно зашифровать только том данных.
Можно ли с помощью шифрования дисков Azure зашифровать отключенный том?
Нет, шифрование дисков Azure шифрует только подключенные тома.
Что такое шифрование на стороне сервера хранилища?
Шифрование на стороне сервера шифрует управляемые диски Azure в службе хранилища Azure. Управляемые диски по умолчанию шифруются службой шифрования на стороне сервера с ключом, управляемым платформой (с 10 июня 2017 г.). Вы можете применить для управления шифрованием управляемых дисков собственные ключи, настроив использование ключа, управляемого клиентом. Дополнительные сведения см. в статье о шифровании управляемых дисков Azure на стороне сервера.
Как Шифрование дисков Azure отличается от других решений шифрования дисков и когда следует использовать каждое решение?
Общие сведения о параметрах шифрования управляемых дисков.
Как сменить секреты или ключи шифрования?
Для смены секретов просто вызовите ту же команду, которую вы выполнили для включения шифрования диска, указав другой Key Vault. Для смены ключа шифрования ключей вызовите ту же команду, которую вы выполнили для включения шифрования диска, указав новый тип шифрования ключей.
Предупреждение
- Если вы ранее использовали Шифрование дисков Azure с приложением Microsoft Entra, указав учетные данные Microsoft Entra для шифрования этой виртуальной машины, необходимо продолжить использовать этот параметр для шифрования виртуальной машины. Вы не можете использовать Шифрование дисков Azure на этой зашифрованной виртуальной машине, так как это не поддерживается, что означает отключение от приложения Microsoft Entra для этой зашифрованной виртуальной машины пока не поддерживается.
Как мне добавить или удалить ключ шифрования ключа, если я раньше его не использовал?
Чтобы добавить ключ шифрования ключа, повторно вызовите команду включения, передав в параметре нужный ключ шифрования ключа. Чтобы удалить ключ шифрования ключа, повторно вызовите команду включения без параметра ключа шифрования ключа.
Дает ли служба шифрования дисков Azure возможность создания собственных ключей (BYOK)?
Да, вы можете предоставить собственные ключи шифрования ключей. Эти ключи хранятся в Azure Key Vault, что представляет собой хранилище ключей для шифрования дисков Azure. Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Можно ли использовать ключ шифрования ключей, созданный в Azure?
Да, можно использовать Azure Key Vault, чтобы создать ключ шифрования ключей для использования шифрования дисков Azure. Эти ключи хранятся в Azure Key Vault, что представляет собой хранилище ключей для шифрования дисков Azure. Дополнительные сведения о ключе шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Можно ли использовать локальную службу управления ключами или HSM для защиты ключей шифрования?
Использовать локальную службу управления ключами или HSM для защиты ключей шифрования с шифрованием дисков Azure нельзя. Для защиты ключей шифрования можно использовать только Azure Key Vault. Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Каковы предварительные требования для настройки шифрования дисков Azure?
Для использования шифрования дисков Azure существуют предварительные требования. Чтобы создать хранилище ключей или настроить имеющееся для доступа к шифрованию диска с целью включения шифрования и обеспечения защиты секретов и ключей, перейдите к статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure". Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Какие необходимые условия для настройки Шифрование дисков Azure с помощью приложения Microsoft Entra (предыдущего выпуска)?
Для использования шифрования дисков Azure существуют предварительные требования. Ознакомьтесь с Шифрование дисков Azure с содержимым идентификатора Microsoft Entra, чтобы создать приложение Microsoft Entra, создать новое хранилище ключей или настроить существующее хранилище ключей для доступа к шифрованию дисков, чтобы включить шифрование, а также защитить секреты и ключи. Дополнительные сведения о сценариях поддержки ключей шифрования ключей см. в статье "Создание и настройка хранилища ключей для Шифрование дисков Azure с идентификатором Microsoft Entra".
Поддерживается ли Шифрование дисков Azure использование приложения Microsoft Entra (предыдущего выпуска) ?
Да. Шифрование дисков с помощью приложения Microsoft Entra по-прежнему поддерживается. Однако при шифровании новых виртуальных машин рекомендуется использовать новый метод, а не шифрование с помощью приложения Microsoft Entra.
Можно ли перенести виртуальные машины, зашифрованные с помощью приложения Microsoft Entra, в шифрование без приложения Microsoft Entra?
В настоящее время нет прямого пути миграции для компьютеров, которые были зашифрованы с помощью приложения Microsoft Entra для шифрования без приложения Microsoft Entra. Кроме того, нет прямого пути к шифрованию без приложения Microsoft Entra для шифрования с помощью приложения AD.
Какую версию Azure PowerShell поддерживает шифрование дисков Azure?
Для настройки шифрования дисков Azure используйте последнюю версию пакета SDK для Azure PowerShell. Скачайте последнюю версию Azure PowerShell. Шифрование дисков Azure не поддерживается в пакете SDK для Azure версии 1.1.0.
Примечание.
Расширение Microsoft.OSTCExtension.AzureDiskEncryptionForLinux для шифрования дисков Linux Azure не рекомендуется. Это расширение опубликовано для предварительной версии Шифрования дисков Azure. Не следует использовать предварительную версию расширения в тестовом или рабочем развертывании.
Для сценариев развертывания, таких как Azure Resource Manager (ARM), где вам нужно развернуть расширение Шифрования дисков Azure для виртуальной машины Linux, чтобы включить шифрование на виртуальной машине IaaS под управлением Linux, необходимо использовать поддерживаемое в рабочей среде расширение Microsoft.Azure.Security.AzureDiskEncryptionForLinux для шифрования дисков Azure.
Можно ли применять шифрование дисков Azure в пользовательском образе Linux?
Шифрование дисков Azure применить в пользовательском образе Linux нельзя. Поддерживаются только образы Linux из коллекции поддерживаемых дистрибутивов, приведенных выше. Пользовательские образы Linux сейчас не поддерживаются.
Можно ли применить обновления к виртуальной машине Linux Red Hat с использованием команды yum update?
Да, можно выполнить обновление с использованием команды yum update для виртуальной машины Red Hat Linux. Дополнительные сведения см. в статье Шифрование дисков Azure в изолированной сети.
Какие действия по шифрованию дисков Azure рекомендуется использовать для Linux?
Для достижения наилучших результатов в Linux рекомендуется такая последовательность действий:
- Для начала выберите неизмененный готовый образ из коллекции, соответствующий требуемому дистрибутиву и версии операционной системы.
- Резервное копирование всех подключенных дисков, которые требуется зашифровать. Это позволит выполнить восстановление в случае сбоя, например при перезагрузке виртуальной машины до завершения шифрования.
- Выполните шифрование (этот процесс может занять несколько часов или даже дней в зависимости от характеристик виртуальной машины и размера всех подключенных дисков данных).
- При необходимости настройте образ и добавьте к нему программное обеспечение.
Если эти действия невозможно выполнить, в качестве альтернативы шифрованию всего диска с помощью dm-crypt можно воспользоваться шифрованием службы хранилища (SSE) на уровне учетной записи хранения платформы.
Что такое том BEK или /mnt/azure_bek_disk?
Том Bek — это локальный том данных, который безопасно хранит ключи шифрования для зашифрованных виртуальных машин Azure.
Примечание.
Не удаляйте и не изменяйте содержимое на этом диске. Не отключайте диск, так как ключ шифрования необходим для любой операции шифрования на виртуальной машине IaaS.
Какой метод шифрования используется в шифровании дисков Azure?
Шифрование дисков Azure использует метод расшифровки по умолчанию aes-xts-plain64 с 256-разрядным главным ключом тома.
Если используется параметр EncryptFormatAll и указаны все типы томов, удалятся ли данные из уже зашифрованных дисков?
Нет. Данные не удаляются из дисков, которые уже зашифрованы с помощью службы шифрования дисков Azure. Так же как и в случае с диском ОС, параметр EncryptFormatAll не шифрует повторно уже зашифрованные диски данных. Дополнительные сведения см. в разделе Использование параметра EncryptFormatAll с Azure CLI.
Поддерживается ли файловая система XFS?
Шифрование дисков ОС XFS поддерживается.
Шифрование дисков данных XFS поддерживается только при использовании параметра EncryptFormatAll. Этот параметр переформатирует том, стирая все данные, ранее там. Дополнительные сведения см. в разделе Использование параметра EncryptFormatAll с Azure CLI.
Поддерживается ли изменение размера раздела ОС?
Изменение размера Шифрование дисков Azure зашифрованного диска ОС не поддерживается.
Можно ли выполнять резервное копирование и восстановление для зашифрованной виртуальной машины?
Azure Backup предоставляет механизм резервного копирования и восстановления зашифрованных виртуальных машин в пределах одной подписки и одного региона. Инструкции для этих процессов приводятся в статье Резервное копирование и восстановление зашифрованных виртуальных машин с помощью Azure Backup. Восстановление зашифрованной виртуальной машины в другом регионе в настоящее время не поддерживается.
Где можно задать вопрос или оставить отзыв?
Вы можете задать вопрос или оставить отзыв на странице вопросов и ответов на сайте Майкрософт, посвященной шифрованию дисков Azure.
Следующие шаги
Из этого документа вы получили ответы на самые распространенные вопросы, связанные с шифрованием дисков Azure. Дополнительные сведения об этой службе см. в следующих статьях: