Azure Disk Şifrelemesi'nden konakta şifrelemeye geçiş

Önemli

Azure Disk Şifrelemesi 15 Eylül 2028'de kullanımdan kaldırılıyor. Bu tarihe kadar Azure Disk Şifrelemesi'ni kesinti olmadan kullanmaya devam edebilirsiniz. 15 Eylül 2028'de ADE özellikli iş yükleri çalışmaya devam edecek, ancak VM yeniden başlatıldıktan sonra şifrelenmiş disklerin kilidi açılamaz ve hizmet kesintisine neden olur.

Yeni VM'ler için ev sahibi şifrelemesi kullanın veya gizli bilgi işlem yükleri için işletim sistemi disk şifrelemesi ile Gizli VM boyutlarını göz önünde bulundurun. Hizmet kesintisini önlemek için tüm ADE özellikli VM'lerin (yedeklemeler dahil) kullanımdan kaldırma tarihinden önce konakta şifrelemeye geçirilmesi gerekir. Ayrıntılar için bkz. Azure Disk Şifrelemesi'nden konakta şifrelemeye geçiş .

Bu makalede, sanal makinelerinizi Azure Disk Şifrelemesi'nden (ADE) konakta şifrelemeye geçirmek için adım adım yönergeler sağlanır. Yerinde dönüştürme desteklenmediğinden geçiş işlemi için yeni diskler ve VM'ler oluşturulması gerekir.

Geçiş işlemine genel bakış

Azure Disk Şifrelemesi (ADE), BitLocker (Windows) veya dm-crypt (Linux) kullanarak VM içindeki verileri şifrelerken, konaktaki şifreleme vm CPU kaynaklarını kullanmadan VM konak düzeyinde verileri şifreler. Konakta şifreleme, işlem ve depolama arasındaki geçici diskler, önbellekler ve veri akışları dahil olmak üzere tüm VM verileri için uçtan uca şifreleme sağlayarak Azure'ın varsayılan sunucu tarafı şifrelemesini (SSE) geliştirir.

Daha fazla bilgi için bkz. Yönetilen disk şifreleme seçeneklerine genel bakış ve Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirme.

Geçiş sınırlamaları ve dikkat edilmesi gerekenler

Geçiş işlemine başlamadan önce, geçiş stratejinizi etkileyen şu önemli sınırlamalara ve dikkat edilmesi gereken noktalara dikkat edin:

  • Yerinde geçiş yok: ADE ile şifrelenmiş diskleri konaktaki şifrelemeye doğrudan dönüştüremezsiniz. Geçiş için yeni diskler ve VM'ler oluşturulması gerekir.

  • Linux işletim sistemi disk sınırlaması: Linux işletim sistemi disklerinde ADE'nin devre dışı bırakılması desteklenmez. ADE ile şifrelenmiş işletim sistemi disklerine sahip Linux VM'ler için yeni bir işletim sistemi diski ile yeni bir VM oluşturmanız gerekir.

  • Windows ADE şifreleme desenleri: Windows VM'lerinde Azure Disk Şifrelemesi yalnızca işletim sistemi diskini veya tüm diskleri (işletim sistemi + veri diskleri) şifreleyebilir. Yalnızca Windows VM'lerindeki veri disklerini şifrelemek mümkün değildir.

  • UDE bayrağı kalıcılığı: Azure Disk Şifrelemesi ile şifrelenmiş diskler, şifre çözme sonrasında bile kalıcı olan bir Birleşik Veri Şifrelemesi (UDE) bayrağına sahiptir. Kopyala seçeneğini kullanarak hem anlık görüntüler hem de disk kopyaları bu UDE bayrağını korur. Geçiş için Upload yöntemini kullanarak yeni yönetilen diskler oluşturulması ve VHD blob verilerinin kopyalanması gerekir ve bu da kaynak diskten meta veriler olmadan yeni bir disk nesnesi oluşturur.

  • Kapalı kalma süresi gerekli: Geçiş işlemi, disk işlemleri ve VM rekreasyonu için VM kapalı kalma süresini gerektirir.

  • Etki alanına katılmış VM'ler: VM'leriniz bir Active Directory etki alanının parçasıysa, daha fazla adım gerekir:

    • Silinmeden önce özgün VM'nin etki alanından kaldırılması gerekir
    • Yeni VM oluşturulduktan sonra etki alanına yeniden katılması gerekir
    • Linux VM'leri için etki alanına katılma, Azure AD uzantıları kullanılarak gerçekleştirilebilir

    Daha fazla bilgi için bkz. Microsoft Entra Domain Services nedir?

Önkoşullar

Geçişe başlamadan önce:

  1. Verilerinizi yedekleme: Geçiş işlemine başlamadan önce tüm kritik verilerin yedeklerini oluşturun.

  2. İşlemi test edin: Mümkünse, önce üretim dışı bir VM'de geçiş işlemini test edin.

  3. Şifreleme kaynaklarını hazırlama: VM boyutunuzun konakta şifrelemeyi desteklediğine emin olun. Geçerli VM boyutlarının çoğu bu özelliği destekler. VM boyutu gereksinimleri hakkında daha fazla bilgi için bkz. Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirme.

  4. Belge yapılandırması: Ağ ayarları, uzantılar ve ekli kaynaklar da dahil olmak üzere geçerli VM yapılandırmanızı kaydedin.

Geçiş adımları

Aşağıdaki geçiş adımları çoğu senaryoda çalışır ve her işletim sistemi için belirli farklılıklar belirtilir.

Önemli

Şifrelenmiş işletim sistemi disklerine sahip Linux VM'lerinin şifresi yerinde çözülemez. Bu VM'ler için yeni bir işletim sistemi diski ile yeni bir VM oluşturmanız ve verilerinizi geçirmeniz gerekir. Aşağıdaki genel işlemi gözden geçirdikten sonra Şifrelenmiş işletim sistemi disklerine sahip Linux VM'lerini geçirme bölümüne bakın.

Azure Disk Şifrelemesini devre dışı bırakma

İlk adım, mümkün olduğunda mevcut Azure Disk Şifrelemesi'ni devre dışı bırakmaktır:

ADE devre dışı bırakma komutunu çalıştırdıktan sonra Azure portalındaki VM şifreleme durumu hemen "SSE + PMK" olarak değişir. Ancak işletim sistemi düzeyinde gerçek şifre çözme işlemi zaman alır ve şifrelenen veri miktarına bağlıdır. Sonraki adıma geçmeden önce işletim sistemi düzeyinde şifre çözme işleminin tamamlandığını doğrulamanız gerekir.

Windows VM'leri için:

  • Komut İstemi'ni Yönetici olarak açın ve şunu çalıştırın: manage-bde -status
  • Tüm birimlerin "Tamamen Şifresi Çözülmüş" durumunu gösterdiğini doğrulayın
  • Şifre çözme yüzdesi tüm şifrelenmiş birimler için 100% göstermelidir

Linux VM'leri için (yalnızca veri diskleri):

  • Çalıştırın: sudo cryptsetup status /dev/mapper/<device-name>
  • Şifrelenmiş cihazların artık etkin olmadığını doğrulayın
  • Şifrelenmiş eşleme kalmadığını onaylamak için şu adresi denetleyin: lsblk

Veri bütünlüğünü sağlamak için disk geçişine devam etmeden önce tam şifre çözmeyi bekleyin.

Yeni yönetilen diskler oluşturma

ADE şifreleme meta verilerini taşımayen yeni diskler oluşturun. Bu işlem hem Windows hem de Linux VM'leri için çalışır ve Linux işletim sistemi diskleri için dikkat edilmesi gereken bazı noktalar vardır.

Önemli

Yönetilen diski Azure'dan kopyalarken 512 baytlık bir uzaklık eklemeniz gerekir. Bunun nedeni, Azure'ın disk boyutunu bildirirken alt bilgiyi atladığıdır. Bunu yapmazsanız kopya başarısız olur. Aşağıdaki kod bu işlemi sizin için zaten gerçekleştirir.

Bir işletim sistemi diski oluşturuyorsanız, --hyper-v-generation <yourGeneration> öğesini az disk create öğesine ekleyin.

# Set variables
sourceDiskName="MySourceDisk"
sourceRG="MyResourceGroup"
targetDiskName="MyTargetDisk"
targetRG="MyResourceGroup"
targetLocation="eastus"
# For OS disks, specify either "Windows" or "Linux"
# For data disks, omit the targetOS variable and --os-type parameter
targetOS="Windows"

# Get source disk size in bytes
sourceDiskSizeBytes=$(az disk show -g $sourceRG -n $sourceDiskName --query '[diskSizeBytes]' -o tsv)

# Create a new empty target disk with upload capability
az disk create -g $targetRG -n $targetDiskName -l $targetLocation --os-type $targetOS --for-upload --upload-size-bytes $(($sourceDiskSizeBytes+512)) --sku standard_lrs

# Generate SAS URIs for both disks
targetSASURI=$(az disk grant-access -n $targetDiskName -g $targetRG --access-level Write --duration-in-seconds 86400 --query [accessSas] -o tsv)

sourceSASURI=$(az disk grant-access -n $sourceDiskName -g $sourceRG --access-level Read --duration-in-seconds 86400 --query [accessSas] -o tsv)

# Copy the disk data using AzCopy
azcopy copy $sourceSASURI $targetSASURI --blob-type PageBlob

# Revoke SAS access when complete
az disk revoke-access -n $sourceDiskName -g $sourceRG

az disk revoke-access -n $targetDiskName -g $targetRG

Bu yöntem, temiz geçiş için gerekli olan Azure Disk Şifrelemesi meta verileri (UDE bayrağı) olmadan yeni diskler oluşturur.

Şifreleme ile yeni bir VM oluşturma

Seçtiğiniz şifreleme yöntemiyle yeni oluşturulan diskleri kullanarak yeni bir VM oluşturun.

Güvenlik gereksinimlerinize bağlı olarak çeşitli şifreleme seçenekleri arasından seçim yapabilirsiniz. Bu makalede, en yaygın geçiş yolu olan konakta şifreleme ile yeni bir VM oluşturma adımları sağlanır. Diğer şifreleme seçenekleri, Yönetilen disk şifreleme seçeneklerine genel bakış bölümünde ele alınmıştır.

Ana bilgisayarda şifreleme ile yeni bir sanal makine oluşturma

Host düzeyinde şifreleme, Azure Disk Şifrelemesi'nin kapsamına en yakın eşdeğeri sağlar ve bu bölümde ele alınmıştır.

İşletim sistemi diskleri için:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

Veri diskleri için:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

Yeni diskleri doğrulama ve yapılandırma

Sunucuda şifrelemeli yeni VM'yi oluşturduktan sonra, diskleri işletim sisteminiz için doğru şekilde doğrulamalı ve yapılandırmalısınız.

Windows VM'leri için:

  • Disk harflerinin doğru atandığını doğrulama
  • Uygulamaların disklere doğru şekilde erişebildiğini denetleyin
  • Belirli disk kimliklerine başvuran uygulamaları veya betikleri güncelleştirme

Linux VM'leri için:

  • /etc/fstab öğesini yeni disk UUID'leri ile güncelle
  • Veri disklerini doğru bağlama noktalarına bağlama
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

Hem Windows hem de Linux, uygulamalarınıza veya iş yüklerinize özgü ek yapılandırma adımları gerektirebilir.

Şifrelemeyi ve temizlemeyi doğrulama

Konakta şifrelemenin hem Windows hem de Linux VM'lerinde düzgün yapılandırıldığını doğrulayın.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

Konakta şifrelemenin düzgün çalıştığını onayladıktan sonra:

  1. Uygulamaların düzgün çalıştığından emin olmak için VM işlevselliğini test etme
  2. Verilerin erişilebilir ve bozulmamış olduğunu doğrulayın
  3. Geçişle memnun olduğunuzda özgün kaynakları silin:
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Şifrelenmiş işletim sistemi diskleriyle Linux VM'lerini geçirme

Linux işletim sistemi disklerinde şifrelemeyi devre dışı bırakamadığınız için işlem Windows'tan farklıdır.

  1. Konakta şifreleme etkinleştirilmiş yeni bir VM oluşturma

    az vm create \
  --resource-group "MyResourceGroup" \
  --name "MyVM-New" \
  --image "Ubuntu2204" \
  --encryption-at-host true \
  --admin-username "azureuser" \
  --generate-ssh-keys

  2. Veri geçişi seçenekleri için:

    • Uygulama verileri için: Verileri kopyalamak için SCP, rsync veya diğer dosya aktarım yöntemlerini kullanın
    • Yapılandırma için: Önemli yapılandırma dosyalarını ve ayarlarını çoğaltma
    • Karmaşık uygulamalar için: Uygulamalarınıza uygun yedekleme/geri yükleme yordamlarını kullanın
    # Example of using SCP to copy files from source to new VM
az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
  --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"

Yeni VM'yi oluşturduktan sonra:

  1. Yeni VM'yi özgün ortamla eşleşecek şekilde yapılandırma

    • Aynı ağ yapılandırmalarını ayarlama
    • Aynı uygulamaları ve hizmetleri yükleme
    • Aynı güvenlik ayarlarını uygulama

  2. Özgün VM'yi kullanımdan kaldırmadan önce kapsamlı bir şekilde test edin.

Bu yaklaşım hem Windows hem de Linux VM'ler için çalışır, ancak şifresi yerinde çözülemeyen şifrelenmiş işletim sistemi disklerine sahip Linux VM'ler için özellikle önemlidir.

Veri geçişiyle ilgili yönergeler için bkz. Azure'a VHD yükleme ve SCP kullanarak Linux VM'ye dosya kopyalama.

Etki alanına katılmış VM'ler ile ilgili dikkat edilmesi gereken noktalar

VM'leriniz bir Active Directory etki alanının üyesiyse, geçiş işlemi sırasında ek adımlar gerekir:

Göç öncesi etki alanı adımları

  1. Belge etki alanı üyeliği: Geçerli etki alanını, kuruluş birimini (OU) ve özel grup üyeliklerini kaydedin
  2. Not edin: bilgisayar hesabı: Active Directory'deki bilgisayar hesabı yönetilmelidir
  3. Etki alanına özgü yapılandırmaları yedekleme: Etki alanına özgü ayarları, grup ilkelerini veya sertifikaları kaydedin

Alan adı kaldırma işlemi

  1. Etki alanından kaldır: Özgün VM'yi silmeden önce şu yöntemlerden birini kullanarak etki alanından kaldırın:

    • Windows'da PowerShell cmdlet'ini kullanma Remove-Computer
    • Çalışma grubuna geçmek için Sistem Özellikleri iletişim kutusunu kullanma
    • Bilgisayar hesabını Active Directory Kullanıcıları ve Bilgisayarları'ndan el ile silme

  2. Active Directory'yi temizleme: Yalnız bırakılmış bilgisayar hesaplarını veya DNS girdilerini kaldırın

Geçiş sonrası etki alanına yeniden katılma

  1. Yeni VM'yi etki alanına ekleme: Konakta şifreleme ile yeni VM'yi oluşturduktan sonra:

    • Windows için: PowerShell cmdlet'ini veya Sistem Özelliklerini kullanma Add-Computer
    • Linux için: Azure AD etki alanına katılma uzantısını veya el ile yapılandırmayı kullanma

  2. Etki alanı ayarlarını geri yükleme: Etki alanına özgü yapılandırmaları, grup ilkelerini veya sertifikaları yeniden uygulayın

  3. Etki alanı işlevselliğini doğrulama: Etki alanı kimlik doğrulamasını, grup ilkesi uygulamasını ve ağ kaynağı erişimini test edin

Linux etki alanına katılma

Linux VM'leri için Azure AD Domain Services VM uzantısını kullanabilirsiniz:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Daha fazla bilgi için bkz. Microsoft Entra Domain Services nedir?

Önemli etki alanı konuları

  • Yeni VM'de bazı uygulamaları etkileyebilecek farklı bir bilgisayar SID'si var
  • Kerberos anahtarları ve önbelleğe alınmış kimlik bilgileri yenilenmelidir
  • Etki alanıyla tümleşik bazı uygulamalar yeniden yapılandırma gerektirebilir
  • Geçiş sırasında etki alanı hizmetlerinin geçici olarak kaybedilmesi olasılığını planlama

Geçiş sonrası doğrulama

Geçişi tamamladıktan sonra konakta şifrelemenin düzgün çalıştığını doğrulayın:

  1. Konak durumunda şifrelemeyi denetleyin: Konakta şifrelemenin etkinleştirildiğini doğrulayın:

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

  2. VM işlevselliğini test edin: Uygulamalarınızın ve hizmetlerinizin doğru çalıştığından emin olun.

  3. Disk şifrelemeyi doğrulama: Disklerin düzgün bir şekilde şifrelendiğini onaylayın:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState

  4. Performansı izleme: Beklenen iyileştirmeleri onaylamak için geçiş öncesi ve sonrası performansı karşılaştırın.

Şifreleme doğrulaması hakkında daha fazla bilgi için bkz. Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirme.

Cleanup

Geçiş ve doğrulama başarılı olduktan sonra:

  1. Eski VM'yi silme: Özgün ADE ile şifrelenmiş VM'yi kaldırma

  2. Eski diskleri silme: Özgün şifrelenmiş diskleri kaldırma

  3. Key Vault erişim ilkelerini güncelleştirme: Diğer disk şifreleme çözümleri standart Key Vault yetkilendirme mekanizmalarını kullanır. Azure Disk Şifrelemesi için Key Vault'a artık ihtiyacınız yoksa, özel disk şifreleme ayarını devre dışı bırakmak için erişim ilkelerini güncelleştirin:

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
  1. Kaynakları temizleme: Geçiş sırasında oluşturulan geçici kaynakları kaldırma
  2. Belgeleri güncelleştirme: Konakta şifrelemeye geçişi yansıtacak şekilde altyapı belgelerinizi güncelleştirin

Yaygın sorunlar ve çözümler

VM boyutu ana makinede şifrelemeyi desteklemiyor

Çözüm: Desteklenen VM boyutlarının listesini denetleyin ve gerekirse VM'nizi yeniden boyutlandırın

Geçiş sonrasında VM başlatılamıyor

Çözüm: Tüm disklerin düzgün takıldığını ve işletim sistemi diskinin önyükleme diski olarak ayarlanıp ayarlanmadığını denetleyin

Konakta şifreleme etkin değil

Çözüm: VM'nin parametresiyle oluşturulduğunu --encryption-at-host true ve aboneliğinizin bu özelliği desteklediğini doğrulayın

Performans sorunları devam ediyor

Çözüm: Konakta şifrelemenin düzgün etkinleştirildiğini ve VM boyutunun beklenen performansı desteklediğini doğrulayın.

Sonraki Adımlar

  • Last updated on