Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Genel Bakış
Azure Disk Şifrelemesi, belirli Azure Linux dağıtımlarında tam disk şifrelemesi sağlamak için Linux'taki dm-crypt alt sisteminden yararlanıyor. Bu çözüm, disk şifreleme anahtarlarını ve gizli dizilerini yönetmek için Azure Key Vault ile tümleşiktir.
Uyarı
Daha hızlı tanılama için VM yardımını deneyin. Windows için VM yardımını veya Linux için VM yardımını çalıştırmanızı öneririz. Bu betik tabanlı tanılama araçları, Azure VM Konuk Aracısı'nı ve genel VM durumunu etkileyen yaygın sorunları belirlemenize yardımcı olur.
Sanal makinelerle ilgili performans sorunları yaşıyorsanız desteğe başvurmadan önce bu araçları çalıştırın.
Önkoşullar
Önkoşulların tam listesi için bkz. Linux VM'leri için Azure Disk Şifrelemesi, özellikle aşağıdaki bölümler:
- Desteklenen VM'ler ve işletim sistemleri
- Ek VM gereksinimleri
- Ağ gereksinimleri
- Şifreleme anahtarı depolama gereksinimleri
Uzantı Şeması
Azure Disk Şifrelemesi (ADE) için uzantı şemasının iki sürümü vardır:
- v1.1 - Microsoft Entra özelliklerini kullanmayan daha yeni bir önerilen şema.
- v0.1 - Microsoft Entra özellikleri gerektiren eski bir şema.
Hedef şemayı seçmek için özelliği, typeHandlerVersion kullanmak istediğiniz şema sürümüne eşit olarak ayarlanmalıdır.
Şema v1.1: Microsoft Entra ID Yok (önerilir)
v1.1 şeması önerilir ve Microsoft Entra özelliklerini gerektirmez.
Uyarı
DiskFormatQuery parametresi kullanım dışı bırakıldı. İşlevselliği, şifreleme sırasında veri disklerini biçimlendirmek için önerilen yöntem olan EncryptFormatAll seçeneğiyle değiştirilmiştir.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Şema v0.1: Microsoft Entra Kimliği ile
0.1 şeması AADClientID ve AADClientSecret veya AADClientCertificate gerektirir.
AADClientSecretkullanma:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
AADClientCertificatekullanma:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Mülk değerleri
Not: Tüm özellik değerleri büyük/küçük harfe duyarlıdır.
| İsim | Değer / Örnek | Veri Türü |
|---|---|---|
| apiVersion | 2019-07-01 | tarih |
| yayınevi | Microsoft.Azure.Security | string |
| tür | AzureDiskEncryptionForLinux | string |
| typeHandlerVersion | 1.1, 0.1 | int |
| (0.1 şeması) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (0.1 şeması) AADClientSecret | şifre | string |
| (0.1 şeması) AADClientCertificate | thumbprint | string |
| (isteğe bağlı) (0.1 şeması) Parola | şifre | string |
| DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | JSON sözlüğü |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | string |
| (isteğe bağlı - varsayılan RSA-OAEP ) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (isteğe bağlı) KeyEncryptionKeyURL | url | string |
| (isteğe bağlı) KekVaultResourceId | url | string |
| (isteğe bağlı) SıraSürümü | tekil tanımlayıcı | string |
| VolumeType | İşletim Sistemi, Veri, Tümü | string |
Şablon dağıtımı
v1.1 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-linux-vm-without-aad.
v0.1 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-linux-vm.
Uyarı
- Daha önce bu sanal makineyi şifrelemek için Microsoft Entra ID ile Azure Disk Şifrelemesi’ni kullandıysanız, sanal makinenizi şifrelerken bu seçeneği kullanmaya devam etmeniz gerekir.
- Linux işletim sistemi birimleri şifrelenirken sanal makinenin kullanım dışı kalacağı kabul edilmelidir. Şifreleme işlemi sırasında erişilmesi gerekecek olan açık dosyaların kilitlenmesi gibi sorunlarla karşılaşmamak için şifreleme işlemi devam ederken kesinlikle SSH oturumu açılmaması önerilir. İlerleme durumunu denetlemek için Get-AzVMDiskEncryptionStatus PowerShell cmdlet'ini veya vm şifreleme show CLI komutunu kullanın. Bu işlem 30 GB boyutlarındaki bir işletim sistemi birimi için birkaç saat sürebilir. Veri birimlerinin şifrelenmesi için de ek zaman gerekir. Veri hacmi şifreleme süresi, veri birimlerinin boyutu ve miktarıyla orantılı olacaktır;
encrypt format allseçeneği yerinde şifrelemeden daha hızlıdır, ancak disklerdeki tüm verilerin kaybolmasına neden olur. - Linux sanal makinelerinde şifrelemenin devre dışı bırakılması yalnızca veri birimleri için desteklenir. İşletim sistemi biriminin şifrelenmiş olması durumunda veri veya işletim sistemi birimleri için desteklenmez.
Uyarı
Ayrıca parametre Tümü olarak ayarlanırsa VolumeType , veri diskleri yalnızca düzgün şekilde bağlandığında şifrelenir.
Sorun giderme ve destek
Sorun giderme
Sorun giderme için Azure Disk Şifrelemesi sorun giderme kılavuzuna bakın.
Destek
Bu makalenin herhangi bir noktasında daha fazla yardıma ihtiyacınız varsa MSDN Azure ve Stack Overflow forumlarında Azure uzmanlarına başvurabilirsiniz.
Alternatif olarak, bir Azure destek talebi de oluşturabilirsiniz. Azure desteği'ne gidin ve Destek al'ı seçin. Azure Desteği'ni kullanma hakkında bilgi için Microsoft Azure Desteği SSS bölümünü okuyun.
Sonraki adımlar
- VM uzantıları hakkında daha fazla bilgi için bkz. Linux için sanal makine uzantıları ve özellikleri.
- Linux için Azure Disk Şifrelemesi hakkında daha fazla bilgi için bkz. Linux sanal makineleri.