Linux VM'leri için Azure Disk Şifrelemesi sorunlarını giderme kılavuzu

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Esnek ölçek kümeleri

Bu kılavuz, kuruluşların Azure Disk Şifrelemesi kullandığı BT uzmanlarına, bilgi güvenliği analistlerine ve bulut yöneticilerine yöneliktir. Bu makale, disk şifrelemesiyle ilgili sorunları gidermeye yardımcı olmaktır.

Aşağıdaki adımlardan herhangi birini uygulamadan önce, şifrelemeye çalıştığınız VM'lerin desteklenen VM boyutları ve işletim sistemleri arasında olduğundan ve tüm önkoşulları karşıladığınızdan emin olun:

• Sanal makineler için ek gereksinimler
• Ağ gereksinimleri
• Şifreleme anahtarı depolama gereksinimleri

Linux işletim sistemi disk şifreleme sorunlarını giderme

Linux işletim sistemi (OS) disk şifrelemesi, tam disk şifreleme işlemi boyunca çalıştırılmadan önce işletim sistemi sürücüsünü çıkarmalıdır. Sürücüyü çıkaramıyorsa , "...'den sonra çıkarılamadı" hata iletisi büyük olasılıkla gerçekleşir.

Desteklenen hisse senedi galerisi görüntüsünden değiştirilmiş bir ortama sahip bir VM'de işletim sistemi disk şifrelemesi denendiğinde bu hata oluşabilir. Desteklenen görüntüden sapmalar, uzantının işletim sistemi sürücüsünü çıkarabilmesini engelleyebilir. Sapma örnekleri aşağıdaki öğeleri içerebilir:

• Özelleştirilmiş görüntüler artık desteklenen bir dosya sistemi veya bölümleme düzeniyle eşleşir.
• SAP, MongoDB, Apache Cassandra ve Docker gibi büyük uygulamalar, şifrelemeden önce işletim sisteminde yüklenip çalıştırıldığında desteklenmez. Azure Disk Şifrelemesi, disk şifrelemesi için işletim sistemi sürücüsünün hazırlanmasında gerektiğinde bu işlemleri güvenli bir şekilde kapatamıyor. İşletim sistemi sürücüsünde açık dosya tanıtıcılarını tutan etkin işlemler hala varsa işletim sistemi sürücüsü çıkarılamaz ve işletim sistemi sürücüsünün şifrelenememesine neden olur.
• Şifrelemenin etkinleştirilmesine yakın bir zamanda çalışan veya şifreleme işlemi sırasında VM'de başka değişiklikler yapılıp yapılmadığını belirten özel betikler. Azure Resource Manager şablonu aynı anda yürütülecek birden çok uzantı tanımladığında veya özel betik uzantısı veya başka bir eylem disk şifrelemesi için aynı anda çalıştırıldığında bu çakışma oluşabilir. Bu tür adımları seri hale getirme ve yalıtma sorunu çözebilir.
• Şifreleme etkinleştirilmeden önce Güvenliği Artırılmış Linux (SELinux) devre dışı bırakılmadığından, çıkarma adımı başarısız olur. Şifreleme tamamlandıktan sonra SELinux yeniden kullanılabilir.
• İşletim sistemi diski bir Mantıksal Birim Yöneticisi (LVM) şeması kullanır. Sınırlı LVM veri diski desteği olsa da LVM işletim sistemi diski yoktur.
• En düşük bellek gereksinimleri karşılanmaz (işletim sistemi disk şifrelemesi için 7 GB önerilir).
• Veri sürücüleri özyinelemeli olarak /mnt/ dizinine veya birbirine bağlanır (örneğin, /mnt/data1, /mnt/data2, /data3 + /data3/data4).

Ubuntu 14.04 LTS için varsayılan çekirdeği güncelleştirme

Ubuntu 14.04 LTS görüntüsü, varsayılan çekirdek sürümü 4.4 ile birlikte gösterilir. Bu çekirdek sürümü, İşletim Sistemi şifreleme işlemi sırasında Yetersiz Bellek Katili'nin dd komutunu yanlış sonlandırdığı bilinen bir sorunu vardır. Bu hata en son Azure tarafından ayarlanmış Linux çekirdeğinde düzeltildi. Bu hatayı önlemek için görüntüde şifrelemeyi etkinleştirmeden önce aşağıdaki komutları kullanarak Azure tarafından ayarlanmış çekirdek 4.15 veya sonraki bir sürümüne güncelleştirin:

sudo apt-get update
sudo apt-get install linux-azure
sudo reboot

VM yeni çekirdekte yeniden başlatıldıktan sonra, yeni çekirdek sürümü şu şekilde onaylanabilir:

uname -a

Azure Sanal Makine Aracısı ve uzantı sürümlerini güncelleştirme

Azure Disk Şifrelemesi işlemleri, Azure Sanal Makine Aracısı'nın desteklenmeyen sürümleri kullanılarak sanal makine görüntülerinde başarısız olabilir. 2.2.38'den önceki aracı sürümlerine sahip Linux görüntüleri, şifreleme etkinleştirilmeden önce güncelleştirilmelidir. Daha fazla bilgi için bkz . Vm üzerinde Azure Linux Aracısı'nı güncelleştirme ve Azure'da sanal makine aracıları için en düşük sürüm desteği.

Microsoft.Azure.Security.AzureDiskEncryption veya Microsoft.Azure.Security.AzureDiskEncryptionForLinux konuk aracısı uzantısının doğru sürümü de gereklidir. Azure Sanal Makine aracısı önkoşulları karşılandığında ve sanal makine aracısının desteklenen bir sürümü kullanıldığında uzantı sürümleri platform tarafından otomatik olarak korunur ve güncelleştirilir.

Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux uzantısı kullanım dışı bırakıldı ve artık desteklenmiyor.

Linux diskleri şifrelenemiyor

Bazı durumlarda, Linux disk şifrelemesi "işletim sistemi disk şifrelemesi başlatıldı" konumunda takılmış gibi görünür ve SSH devre dışı bırakılır. Bir hisse senedi galerisi görüntüsünde şifreleme işleminin tamamlanması 3-16 saat arasında sürebilir. Çok terabayt boyutlu veri diskleri eklenirse işlem günler sürebilir.

Linux işletim sistemi disk şifreleme sırası işletim sistemi sürücüsünü geçici olarak çıkartır. Ardından, işletim sistemi diskinin tamamını şifrelenmiş durumuna yeniden bağlamadan önce blok blok şifrelemesi gerçekleştirir. Linux Disk Şifrelemesi, şifreleme devam ederken VM'nin eşzamanlı kullanımına izin vermez. VM'nin performans özellikleri, şifrelemeyi tamamlamak için gereken süre içinde önemli bir fark oluşturabilir. Bu özellikler diskin boyutunu ve depolama hesabının standart mı yoksa premium (SSD) depolama mı olduğunu içerir.

İşletim sistemi sürücüsü şifrelenirken, VM bir bakım durumuna girer ve devam eden işlemin kesintiye uğramasını önlemek için SSH'yi devre dışı bırakır. Şifreleme durumunu denetlemek için Azure PowerShell Get-AzVmDiskEncryptionStatus komutunu kullanın ve ProgressMessage alanını denetleyin. ProgressMessage , veriler ve işletim sistemi diskleri şifrelenirken bir dizi durum bildirecektir:

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage            : Transitioning

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for data volumes

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Provisioning succeeded

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : OS disk encryption started

ProgressMessage, şifreleme işleminin çoğu için başlatılan işletim sistemi disk şifrelemesinde kalır. Şifreleme tamamlandığında ve başarılı olduğunda ProgressMessage şunları döndürür:

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for all volumes

Bu ileti kullanılabilir olduktan sonra şifrelenmiş işletim sistemi sürücüsünün kullanıma hazır olması ve VM'nin yeniden kullanılmaya hazır olması beklenir.

Önyükleme bilgileri, ilerleme iletisi veya hata işletim sistemi şifrelemesinin bu işlemin ortasında başarısız olduğunu bildirirse, VM'yi şifrelemeden hemen önce alınan anlık görüntüye veya yedeklemeye geri yükleyin. İletiye örnek olarak bu kılavuzda açıklanan "çıkarılamadı" hatası gösteriliyor.

Şifrelemeyi yeniden değerlendirmeden önce VM'nin özelliklerini yeniden değerlendirin ve tüm önkoşulların karşılandığından emin olun.

Güvenlik duvarının arkasındaki Azure Disk Şifrelemesi sorunlarını giderme

Bkz. Yalıtılmış bir ağda Disk Şifrelemesi

Şifreleme durumu sorunlarını giderme

Portal, vm içinde şifrelenmemiş olsa bile bir diski şifrelenmiş olarak görüntüleyebilir. Bu durum, üst düzey Azure Disk Şifrelemesi yönetim komutlarını kullanmak yerine sanal makinenin içinden diskin şifresini doğrudan çözmek için alt düzey komutlar kullanıldığında oluşabilir. Yüksek düzeyli komutlar yalnızca VM'nin içinden diskin şifresini kaldırmakla kalmaz, vm'nin dışındaki önemli platform düzeyinde şifreleme ayarlarını ve VM ile ilişkili uzantı ayarlarını da güncelleştirir. Bunlar uyumlu tutulmazsa, platform şifreleme durumunu raporlayamaz veya VM'yi düzgün bir şekilde sağlayamaz.

PowerShell ile Azure Disk Şifrelemesi devre dışı bırakmak için Disable-AzVMDiskEncryption komutunu ve ardından Remove-AzVMDiskEncryptionExtension komutunu kullanın. Şifreleme devre dışı bırakılmadan önce Remove-AzVMDiskEncryptionExtension çalıştırılamaz.

CLI ile Azure Disk Şifrelemesi devre dışı bırakmak için az vm encryption disable komutunu kullanın.

Sonraki adımlar

Bu belgede, Azure Disk Şifrelemesi'daki bazı yaygın sorunlar ve bu sorunları giderme hakkında daha fazla bilgi edinmişsinizdir. Bu hizmet ve özellikleri hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• Bulut için Microsoft Defender disk şifrelemesi uygulama
• Azure bekleyen verileri şifreleme