Den här artikeln innehåller svar på vanliga frågor och svar om Azure Disk Encryption för virtuella Linux-datorer (VM). Mer information om den här tjänsten finns i Översikt över Azure Disk Encryption.
Vad är Azure Disk Encryption för virtuella Linux-datorer?
Azure Disk Encryption för virtuella Linux-datorer använder dm-crypt-funktionen i Linux för att tillhandahålla fullständig diskkryptering av OS-disken* och datadiskarna. Dessutom tillhandahåller den kryptering av den tillfälliga disken när du använder funktionen EncryptFormatAll. Innehållet flödar krypterat från den virtuella datorn till lagringsserverdelen med en kundhanterad nyckel.
Se Virtuella datorer och operativsystem som stöds.
Var finns Azure Disk Encryption i allmän tillgänglighet (GA)?
Azure Disk Encryption för virtuella Linux-datorer är allmänt tillgängligt i alla offentliga Azure-regioner.
Vilka användarupplevelser är tillgängliga med Azure Disk Encryption?
Azure Disk Encryption GA stöder Azure Resource Manager-mallar, Azure PowerShell och Azure CLI. De olika användarupplevelserna ger dig flexibilitet. Du har tre olika alternativ för att aktivera diskkryptering för dina virtuella datorer. Mer information om användarupplevelsen och stegvis vägledning som är tillgänglig i Azure Disk Encryption finns i Scenarier för Azure Disk Encryption för Linux.
Hur mycket kostar Azure Disk Encryption?
Det kostar ingenting att kryptera virtuella datordiskar med Azure Disk Encryption, men det finns avgifter som är kopplade till användningen av Azure Key Vault. Mer information om Kostnader för Azure Key Vault finns på sidan med key vault-priser .
Hur kan jag börja använda Azure Disk Encryption?
Kom igång genom att läsa översikten över Azure Disk Encryption.
Vilka VM-storlekar och operativsystem har stöd för Azure Disk Encryption?
I översiktsartikeln azure diskkryptering visas vm-storlekar och operativsystem för virtuella datorer som stöder Azure Disk Encryption.
Kan jag kryptera både start- och datavolymer med Azure Disk Encryption?
Ja, du kan kryptera både start- och datavolymer, eller så kan du kryptera datavolymen utan att behöva kryptera OS-volymen först.
När du har krypterat OS-volymen stöds inte inaktivering av kryptering på OS-volymen. För virtuella Linux-datorer i en skalningsuppsättning kan endast datavolymen krypteras.
Kan jag kryptera en omonterad volym med Azure Disk Encryption?
Nej, Azure Disk Encryption krypterar endast monterade volymer.
Vad är kryptering på serversidan för Lagring?
Kryptering på serversidan för lagring krypterar Azure-hanterade diskar i Azure Storage. Hanterade diskar krypteras som standard med kryptering på serversidan med en plattformshanterad nyckel (från och med den 10 juni 2017). Du kan hantera kryptering av hanterade diskar med egna nycklar genom att ange en kundhanterad nyckel. Mer information finns i: Kryptering på serversidan av Azure-hanterade diskar.
Hur skiljer sig Azure Disk Encryption från andra lösningar för diskkryptering och när ska jag använda varje lösning?
Hur roterar jag hemligheter eller krypteringsnycklar?
Om du vill rotera hemligheter anropar du bara samma kommando som du använde ursprungligen för att aktivera diskkryptering och anger ett annat Nyckelvalv. Om du vill rotera nyckelkrypteringsnyckeln anropar du samma kommando som du använde ursprungligen för att aktivera diskkryptering och anger den nya nyckelkrypteringen.
Varning
- Om du tidigare använde Azure Disk Encryption med Microsoft Entra-appen genom att ange Microsoft Entra-autentiseringsuppgifter för att kryptera den virtuella datorn måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn. Du kan inte använda Azure Disk Encryption på den här krypterade virtuella datorn eftersom det inte är ett scenario som stöds, vilket innebär att växling från Microsoft Entra-programmet för den krypterade virtuella datorn inte stöds ännu.
Hur lägger jag till eller tar bort en nyckelkrypteringsnyckel om jag inte ursprungligen använde en nyckel?
Om du vill lägga till en nyckelkrypteringsnyckel anropar du aktiveringskommandot igen och skickar nyckelkrypteringsnyckelparametern. Om du vill ta bort en nyckelkrypteringsnyckel anropar du aktivera-kommandot igen utan nyckelkrypteringsnyckelparametern.
Tillåter Azure Disk Encryption att du tar med din egen nyckel (BYOK)?
Ja, du kan ange dina egna nyckelkrypteringsnycklar. Dessa nycklar skyddas i Azure Key Vault, som är nyckelarkivet för Azure Disk Encryption. Mer information om nyckelkrypteringsnycklar stöder scenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Kan jag använda en Nyckelkrypteringsnyckel som skapats av Azure?
Ja, du kan använda Azure Key Vault för att generera en nyckelkrypteringsnyckel för användning av Azure-diskkryptering. Dessa nycklar skyddas i Azure Key Vault, som är nyckelarkivet för Azure Disk Encryption. Mer information om nyckelkrypteringsnyckeln finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Kan jag använda en lokal nyckelhanteringstjänst eller HSM för att skydda krypteringsnycklarna?
Du kan inte använda den lokala nyckelhanteringstjänsten eller HSM för att skydda krypteringsnycklarna med Azure Disk Encryption. Du kan bara använda Azure Key Vault-tjänsten för att skydda krypteringsnycklarna. Mer information om nyckelkrypteringsnyckelns supportscenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Vilka är kraven för att konfigurera Azure Disk Encryption?
Det finns förutsättningar för Azure Disk Encryption. Se artikeln Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption för att skapa ett nytt nyckelvalv eller konfigurera ett befintligt nyckelvalv för diskkrypteringsåtkomst för att aktivera kryptering och skydda hemligheter och nycklar. Mer information om nyckelkrypteringsnyckelns supportscenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Vilka är kraven för att konfigurera Azure Disk Encryption med en Microsoft Entra-app (tidigare version)?
Det finns förutsättningar för Azure Disk Encryption. Se Innehållet i Azure Disk Encryption med Microsoft Entra-ID för att skapa ett Microsoft Entra-program, skapa ett nytt nyckelvalv eller konfigurera ett befintligt nyckelvalv för diskkrypteringsåtkomst för att aktivera kryptering och skydda hemligheter och nycklar. Mer information om nyckelkrypteringsnyckelns supportscenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption med Microsoft Entra-ID.
Stöds Fortfarande Azure Disk Encryption med en Microsoft Entra-app (tidigare version)?
Ja. Diskkryptering med hjälp av en Microsoft Entra-app stöds fortfarande. När du krypterar nya virtuella datorer rekommenderar vi dock att du använder den nya metoden i stället för att kryptera med en Microsoft Entra-app.
Kan jag migrera virtuella datorer som har krypterats med en Microsoft Entra-app till kryptering utan en Microsoft Entra-app?
För närvarande finns det ingen direkt migreringssökväg för datorer som har krypterats med en Microsoft Entra-app till kryptering utan en Microsoft Entra-app. Dessutom finns det ingen direkt sökväg från kryptering utan en Microsoft Entra-app till kryptering med en AD-app.
Vilken version av Azure PowerShell stöder Azure Disk Encryption?
Använd den senaste versionen av Azure PowerShell SDK för att konfigurera Azure Disk Encryption. Ladda ned den senaste versionen av Azure PowerShell. Azure Disk Encryption stöds inte av Azure SDK version 1.1.0.
Kommentar
Förhandsversionen av Linux Azure-diskkrypteringstillägget "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" är inaktuellt. Det här tillägget publicerades för förhandsversionen av Azure-diskkryptering. Du bör inte använda förhandsversionen av tillägget i test- eller produktionsdistributionen.
För distributionsscenarier som Azure Resource Manager (ARM), där du behöver distribuera Azure-diskkrypteringstillägget för virtuella Linux-datorer för att aktivera kryptering på din virtuella Linux IaaS-dator, måste du använda tillägget Microsoft.Azure.Security.AzureDiskEncryptionForLinux.
Kan jag använda Azure Disk Encryption på min anpassade Linux-avbildning?
Du kan inte använda Azure Disk Encryption på din anpassade Linux-avbildning. Endast galleriets Linux-avbildningar för de distributioner som stöds som beskrevs tidigare stöds. Anpassade Linux-avbildningar stöds inte för närvarande.
Kan jag tillämpa uppdateringar på en virtuell Linux Red Hat-dator som använder yum-uppdateringen?
Ja, du kan utföra en yum-uppdatering på en virtuell Red Hat Linux-dator. Mer information finns i Azure Disk Encryption i ett isolerat nätverk.
Vilket är det rekommenderade Arbetsflödet för Azure-diskkryptering för Linux?
Följande arbetsflöde rekommenderas för bästa resultat i Linux:
- Börja från den omodifierade lagergalleriavbildningen som motsvarar den nödvändiga os-distributionen och versionen
- Säkerhetskopiera alla monterade enheter som du vill kryptera. Den här säkerhetskopieringen möjliggör återställning om det uppstår ett fel, till exempel om den virtuella datorn startas om innan krypteringen har slutförts.
- Kryptera (kan ta flera timmar eller till och med dagar beroende på vm-egenskaper och storleken på eventuella anslutna datadiskar)
- Anpassa och lägg till programvara i avbildningen efter behov.
Om det här arbetsflödet inte är möjligt kan det vara ett alternativ till fullständig diskkryptering med dm-crypt att förlita sig på kryptering för lagringstjänst (SSE) på plattformslagringskontot.
Vad är disken "Bek Volume" eller "/mnt/azure_bek_disk"?
"Bek-volymen" är en lokal datavolym som lagrar krypteringsnycklarna för krypterade virtuella Azure-datorer på ett säkert sätt.
Kommentar
Ta inte bort eller redigera något innehåll på den här disken. Demontera inte disken eftersom krypteringsnyckeln behövs för krypteringsåtgärder på den virtuella IaaS-datorn.
Vilken krypteringsmetod använder Azure Disk Encryption?
Azure Disk Encryption använder dekrypteringsstandarden aes-xts-plain64 med en 256-bitars volymhuvudnyckel.
Om jag använder EncryptFormatAll och anger alla volymtyper, raderas data på de dataenheter som vi redan har krypterat?
Nej, data raderas inte från dataenheter som redan är krypterade med Azure Disk Encryption. På samma sätt som EncryptFormatAll inte krypterade os-enheten igen krypteras inte den redan krypterade dataenheten igen. Mer information finns i EncryptFormatAll-villkoret.
Stöds XFS-filsystemet?
Kryptering av XFS OS-diskar stöds.
Kryptering av XFS-datadiskar stöds endast när parametern EncryptFormatAll används. Det här alternativet formaterar om volymen och raderar alla data som tidigare fanns där. Mer information finns i EncryptFormatAll-villkoret.
Stöds storleksändring av OS-partitionen?
Storleksändring av en krypterad OS-disk med Azure Disk Encryption stöds inte.
Kan jag säkerhetskopiera och återställa en krypterad virtuell dator?
Azure Backup tillhandahåller en mekanism för att säkerhetskopiera och återställa krypterade virtuella datorer inom samma prenumeration och region. Anvisningar finns i Säkerhetskopiera och återställa krypterade virtuella datorer med Azure Backup. För närvarande stöds inte återställning av en krypterad virtuell dator till en annan region.
Var kan jag gå för att ställa frågor eller ge feedback?
Du kan ställa frågor eller ge feedback på microsofts Q&A-frågesida för Azure Disk Encryption.
Nästa steg
I det här dokumentet har du lärt dig mer om de vanligaste frågorna som rör Azure Disk Encryption. Mer information om den här tjänsten finns i följande artiklar: