Linux için Azure Disk Şifrelemesi (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Genel Bakış
Azure Disk Şifrelemesi, belirli Azure Linux dağıtımlarında tam disk şifrelemesi sağlamak için Linux'taki dm-crypt alt sisteminden yararlanıyor. Bu çözüm, disk şifreleme anahtarlarını ve gizli dizilerini yönetmek için Azure Key Vault ile tümleşiktir.
Ön koşullar
Önkoşulların tam listesi için bkz. Linux VM'leri için Azure Disk Şifrelemesi, özellikle de aşağıdaki bölümler:
- Desteklenen VM'ler ve işletim sistemleri
- Ek VM gereksinimleri
- Ağ gereksinimleri
- Şifreleme anahtarı depolama gereksinimleri
Uzantı Şeması
Azure Disk Şifrelemesi (ADE) için uzantı şemasının iki sürümü vardır:
- v1.1 - Microsoft Entra özelliklerini kullanmayan daha yeni bir önerilen şema.
- v0.1 - Microsoft Entra özellikleri gerektiren eski bir şema.
Hedef şemayı seçmek için özelliği, typeHandlerVersion kullanmak istediğiniz şema sürümüne eşit olarak ayarlanmalıdır.
Şema v1.1: Microsoft Entra Kimliği Yok (önerilir)
v1.1 şeması önerilir ve Microsoft Entra özelliklerini gerektirmez.
Dekont
DiskFormatQuery parametresi kullanım dışı bırakıldı. İşlevselliği, şifreleme sırasında veri disklerini biçimlendirmek için önerilen yöntem olan EncryptFormatAll seçeneğiyle değiştirilmiştir.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Şema v0.1: Microsoft Entra Kimliği ile
0.1 şeması veya AADClientSecretAADClientCertificategerektirirAADClientID.
kullanarak AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
kullanarak AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Özellik değerleri
Not: Tüm özellik değerleri büyük/küçük harfe duyarlıdır.
| Ad | Değer / Örnek | Veri Türü |
|---|---|---|
| apiVersion | 2019-07-01 | tarih |
| Yayımcı | Microsoft.Azure.Security | Dize |
| tür | AzureDiskEncryptionForLinux | Dize |
| typeHandlerVersion | 1.1, 0.1 | int |
| (0.1 şeması) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (0.1 şeması) AADClientSecret | password | Dize |
| (0.1 şeması) AADClientCertificate | Parmak izi | Dize |
| (isteğe bağlı) (0.1 şeması) Parola | password | Dize |
| DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | JSON sözlüğü |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | Dize |
| (isteğe bağlı - varsayılan RSA-OAEP ) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | Dize |
| KeyVaultURL | url | dize |
| KeyVaultResourceId | url | dize |
| (isteğe bağlı) KeyEncryptionKeyURL | url | dize |
| (isteğe bağlı) KekVaultResourceId | url | dize |
| (isteğe bağlı) SequenceVersion | uniqueidentifier | Dize |
| VolumeType | İşletim Sistemi, Veri, Tümü | Dize |
Şablon dağıtımı
v1.1 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-linux-vm-without-aad.
v0.1 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-linux-vm.
Uyarı
- Vm'yi şifrelemek için daha önce Microsoft Entra ID ile Azure Disk Şifrelemesi kullandıysanız, VM'nizi şifrelemek için bu seçeneği kullanmaya devam etmeniz gerekir.
- Linux işletim sistemi birimleri şifrelenirken sanal makinenin kullanım dışı kalacağı kabul edilmelidir. Şifreleme işlemi sırasında erişilmesi gerekecek olan açık dosyaların kilitlenmesi gibi sorunlarla karşılaşmamak için şifreleme işlemi devam ederken kesinlikle SSH oturumu açılmaması önerilir. İlerleme durumunu denetlemek için Get-AzVMDiskEncryptionStatus PowerShell cmdlet'ini veya vm şifreleme show CLI komutunu kullanın. Bu işlem 30 GB boyutlarındaki bir işletim sistemi birimi için birkaç saat sürebilir. Veri birimlerinin şifrelenmesi için de ek zaman gerekir. Veri hacmi şifreleme süresi, veri birimlerinin boyutu ve miktarıyla orantılı olacaktır;
encrypt format allseçeneği yerinde şifrelemeden daha hızlıdır, ancak disklerdeki tüm verilerin kaybolmasına neden olur. - Linux sanal makinelerinde şifrelemenin devre dışı bırakılması yalnızca veri birimleri için desteklenir. İşletim sistemi biriminin şifrelenmiş olması durumunda veri veya işletim sistemi birimleri için desteklenmez.
Dekont
Ayrıca parametre Tümü olarak ayarlanırsa VolumeType , veri diskleri yalnızca düzgün şekilde bağlandığında şifrelenir.
Sorun giderme ve destek
Sorun giderme
Sorunları gidermek için Azure Disk Şifrelemesi sorun giderme kılavuzuna bakın.
Destek
Bu makalenin herhangi bir noktasında daha fazla yardıma ihtiyacınız varsa MSDN Azure ve Stack Overflow forumlarında Azure uzmanlarına başvurabilirsiniz.
Alternatif olarak, bir Azure desteği olayı da oluşturabilirsiniz. Azure desteği gidin ve Destek al'ı seçin. Azure Desteği'ni kullanma hakkında bilgi için Microsoft Azure Desteği SSS bölümünü okuyun.
Sonraki adımlar
- VM uzantıları hakkında daha fazla bilgi için bkz . Linux için sanal makine uzantıları ve özellikleri.
- Linux için Azure Disk Şifrelemesi hakkında daha fazla bilgi için bkz. Linux sanal makineleri.