Linux VM'leri için Azure Disk Şifrelemesi
Dikkat
Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı göz önünde bulundurun ve uygun şekilde planlayın. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.
Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Esnek ölçek kümeleri
Azure Disk Şifrelemesi verilerinizi koruyarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Azure sanal makinelerinin (VM) işletim sistemi ve veri diskleri için birim şifrelemesi sağlamak üzere Linux'un DM-Crypt özelliğini kullanır ve disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir.
Azure Disk Şifrelemesi, Sanal Makineler gibi bölge dayanıklıdır. Ayrıntılar için bkz. Kullanılabilirlik Alanları destekleyen Azure Hizmetleri.
Bulut için Microsoft Defender kullanıyorsanız, şifrelenmemiş VM'leriniz varsa uyarı alırsınız. Uyarılar Yüksek Önem Derecesi olarak gösterilir ve bu VM'lerin şifrelenmesi önerilir.
Uyarı
- Vm'yi şifrelemek için daha önce Microsoft Entra Id ile Azure Disk Şifrelemesi kullandıysanız, VM'nizi şifrelemek için bu seçeneği kullanmaya devam etmeniz gerekir. Ayrıntılar için bkz. Microsoft Entra ID ile Azure Disk Şifrelemesi (önceki sürüm).
- Bazı öneriler veri, ağ veya işlem kaynağı kullanımını artırarak ek lisans veya abonelik maliyetlerine neden olabilir. Desteklenen bölgelerde Azure'da kaynak oluşturmak için geçerli bir etkin Azure aboneliğiniz olmalıdır.
Azure CLI ile Linux VM oluşturma ve şifreleme hızlı başlangıcı veya Azure PowerShell ile Linux VM oluşturma ve şifreleme hızlı başlangıcıile Linux için Azure Disk Şifrelemesi temellerini yalnızca birkaç dakika içinde öğrenebilirsiniz.
Desteklenen VM'ler ve işletim sistemleri
Desteklenen VM'ler
Linux VM'leri çeşitli boyutlarda kullanılabilir. Azure Disk Şifrelemesi 1. Nesil ve 2. Nesil VM'lerde desteklenir. Azure Disk Şifrelemesi, premium depolama alanı olan VM'ler için de kullanılabilir.
Bkz. Yerel geçici disk içermeyen Azure VM boyutları.
Azure Disk Şifrelemesi ayrıca Temel, A serisi VM'ler veya bu minimum bellek gereksinimlerini karşılamayan sanal makinelerde:
Bellek gereksinimleri
Sanal makine | En düşük bellek gereksinimi |
---|---|
Yalnızca veri birimlerini şifrelerken Linux VM'leri | 2 GB |
Hem verileri hem de işletim sistemi birimlerini şifrelerken ve kök (/) dosya sistemi kullanımının 4 GB veya daha az olduğu durumlarda Linux VM'leri | 8 GB |
Hem verileri hem de işletim sistemi birimlerini şifrelerken ve kök (/) dosya sistemi kullanımının 4 GB'tan büyük olduğu Durumlarda Linux VM'leri | Kök dosya sistemi kullanımı * 2. Örneğin, 16 GB kök dosya sistemi kullanımı en az 32 GB RAM gerektirir |
Linux sanal makinelerinde işletim sistemi disk şifreleme işlemi tamamlandıktan sonra VM daha az bellekle çalışacak şekilde yapılandırılabilir.
Diğer özel durumlar için bkz. Azure Disk Şifrelemesi: Kısıtlamalar.
Desteklenen işletim sistemleri
Azure Disk Şifrelemesi,Azure onaylı Linux dağıtımları, kendisi tüm Linux sunucusu olası dağıtımlarının bir alt kümesidir.
Azure tarafından onaylanmayan Linux sunucu dağıtımları Azure Disk Şifrelemesi desteklemez; onaylananların yalnızca aşağıdaki dağıtımları ve sürümleri Azure Disk Şifrelemesi destekler:
Publisher | Sunduğu | SKU | URN | Şifreleme için desteklenen birim türü |
---|---|---|---|---|
Canonical | Ubuntu | 22.04-LTS | Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest | İşletim sistemi ve veri diski |
Canonical | Ubuntu | 22.04-LTS 2. Nesil | Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest | İşletim sistemi ve veri diski |
Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | İşletim sistemi ve veri diski |
Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | İşletim sistemi ve veri diski |
Canonical | Ubuntu | 20.04-LTS 2. Nesil | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | İşletim sistemi ve veri diski |
Canonical | Ubuntu | 20.04-DAILY-LTS 2. Nesil | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | İşletim sistemi ve veri diski |
Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | İşletim sistemi ve veri diski |
Canonical | Ubuntu 18.04 | 18.04-GÜNLÜK-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | İşletim sistemi ve veri diski |
MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* | İşletim sistemi ve veri diski |
MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2-gen2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* | İşletim sistemi ve veri diski |
OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | İşletim sistemi ve veri diski |
OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 7.4 | 7.4 | OpenLogic:CentOS:7.4:latest | İşletim sistemi ve veri diski |
OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:en son | Yalnızca veri diski |
Oracle | Oracle Linux 8.6 | 8.6 | Oracle:Oracle-Linux:ol86-lvm:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
Oracle | Oracle Linux 8.6 2. Nesil | 8.6 | Oracle:Oracle-Linux:ol86-lvm-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
Oracle | Oracle Linux 8.5 | 8.5 | Oracle:Oracle-Linux:ol85-lvm:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
Oracle | Oracle Linux 8.5 2. Nesil | 8.5 | Oracle:Oracle-Linux:ol85-lvm-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 9.2 | 9.2 | RedHat:RHEL:9_2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 9.2 2. Nesil | 9.2 | RedHat:RHEL:92-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 9.0 | 9.0 | RedHat:RHEL:9_0:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 9.0 2. Nesil | 9.0 | RedHat:RHEL:90-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 9-lvm | 9 lvm | RedHat:RHEL:9-lvm:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 9-lvm 2. Nesil | 9-lvm-gen2 | RedHat:RHEL:9-lvm-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.9 | 8.9 | RedHat:RHEL:8_9:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.9 2. Nesil | 8.9 | RedHat:RHEL:89-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.8 | 8.8 | RedHat:RHEL:8_8:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.8 2. Nesil | 8.8 | RedHat:RHEL:88-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.7 | 8.7 | RedHat:RHEL:8_7:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.7 2. Nesil | 8.7 | RedHat:RHEL:87-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.6 | 8.6 | RedHat:RHEL:8_6:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.6 2. Nesil | 8.6 | RedHat:RHEL:86-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.5 | 8.5 | RedHat:RHEL:8_5:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.5 2. Nesil | 8.5 | RedHat:RHEL:85-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8-LVM 2. Nesil | 8-lvm-gen2 | RedHat:RHEL:8-lvm-gen2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 7.8 | 7.8 | RedHat:RHEL:7.8:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 7.4 | 7.4 | RedHat:RHEL:7.4:latest | İşletim sistemi ve veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:en son | Veri diski (aşağıdaki nota bakın) |
RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:en son | Veri diski (aşağıdaki nota bakın) |
SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:en son | Yalnızca veri diski |
SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:en son | Yalnızca veri diski |
SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:en son | Yalnızca veri diski |
* Mayıs 2023'ten büyük veya buna eşit görüntü sürümleri için.
Not
RHEL:
- Yeni Azure Disk Şifrelemesi uygulaması RHEL işletim sistemi ve RHEL7 Kullandıkça Öde görüntüleri için veri diski için desteklenir.
- ADE, RHEL Kendi Aboneliğinizi Getir Gold Görüntüleri için de desteklenir, ancak yalnızca abonelik kaydedildikten sonra desteklenir. Daha fazla bilgi için bkz . Red Hat Enterprise Linux Azure'da Kendi Aboneliğinizi Getir Gold Görüntüleri
Tüm dağıtımlar:
- Belirli bir teklif türü için ADE desteği, yayımcı tarafından sağlanan kullanım süresi sonu tarihinin ötesine geçmiyor.
- Eski ADE çözümü (Microsoft Entra kimlik bilgilerini kullanarak) yeni VM'ler için önerilmez ve RHEL 7.8'den sonraki RHEL sürümleriyle veya varsayılan olarak Python 3 ile uyumlu değildir.
Ek VM gereksinimleri
Azure Disk Şifrelemesi sistemde dm-crypt ve vfat modüllerinin mevcut olmasını gerektirir. Vfat'ın varsayılan görüntüden kaldırılması veya devre dışı bırakılması, sistemin anahtar birimini okumasını ve sonraki yeniden başlatmalarda disklerin kilidini açmak için gereken anahtarı almasını engeller. Vfat modülünü sistemden kaldıran veya veri sürücülerinde işletim sistemi bağlama noktalarını/klasörlerini genişletmeyi zorlayan sistem sağlamlaştırma adımları Azure Disk Şifrelemesi ile uyumlu değildir.
Şifrelemeyi etkinleştirmeden önce, şifrelenecek veri disklerinin /etc/fstab içinde düzgün bir şekilde listelenmesi gerekir. Girdi oluştururken "nofail" seçeneğini kullanın ve kalıcı bir blok cihaz adı seçin ("/dev/sdX" biçimindeki cihaz adları, özellikle şifrelemeden sonra yeniden başlatmalarda aynı diskle ilişkilendirilmeyebilir; bu davranış hakkında daha fazla ayrıntı için bkz. Linux VM cihaz adı değişiklikleriyle ilgili sorunları giderme).
/etc/fstab ayarlarının bağlama için düzgün yapılandırıldığından emin olun. Bu ayarları yapılandırmak için mount -a komutunu çalıştırın veya VM'yi yeniden başlatın ve yeniden bağlamayı bu şekilde tetikleyin. Bu işlem tamamlandıktan sonra, sürücünün hala bağlı olduğunu doğrulamak için lsblk komutunun çıkışını denetleyin.
- Şifrelemeyi etkinleştirmeden önce /etc/fstab dosyası sürücüyü düzgün bağlamazsa Azure Disk Şifrelemesi düzgün şekilde bağlayamazsınız.
- Azure Disk Şifrelemesi işlemi, bağlama bilgilerini /etc/fstab dosyasından ve şifreleme işleminin bir parçası olarak kendi yapılandırma dosyasına taşır. Veri sürücüsü şifrelemesi tamamlandıktan sonra /etc/fstab'de eksik girişi görmek için alarma alınmayın.
- Şifrelemeye başlamadan önce, bağlı veri disklerine yazabilecek tüm hizmetleri ve işlemleri durdurduğunuz ve devre dışı bıraktığınızı, böylece yeniden başlatma sonrasında otomatik olarak yeniden başlatılmadığından emin olun. Bunlar, dosyaları bu bölümlerde açık tutarak şifreleme yordamının bunları yeniden bağlamasını önleyerek şifrelemenin başarısız olmasını sağlayabilir.
- Yeniden başlatma işleminden sonra, Azure Disk Şifrelemesi işleminin yeni şifrelenmiş diskleri bağlaması zaman alır. Yeniden başlatmadan sonra hemen kullanılamazlar. İşlemin başlatılması, kilidinin açılması ve diğer işlemlerin erişebilmesi için şifrelenmiş sürücülerin bağlanması için zaman gerekir. Sistem özelliklerine bağlı olarak yeniden başlatma işleminden sonra bu işlem bir dakikadan fazla sürebilir.
Veri disklerini bağlamak ve gerekli /etc/fstab girdilerini oluşturmak için kullanılan komutların bir örneği aşağıda verilmiştir:
sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a
Ağ gereksinimleri
Azure Disk Şifrelemesi özelliğini etkinleştirmek için Linux VM'lerinin aşağıdaki ağ uç noktası yapılandırma gereksinimlerini karşılaması gerekir:
- Anahtar kasanıza bağlanmak üzere bir belirteç almak için Linux VM'sinin [login.microsoftonline.com] bir Microsoft Entra uç noktasına bağlanabilmesi gerekir.
- Şifreleme anahtarlarını anahtar kasanıza yazmak için Linux VM'sinin anahtar kasası uç noktasına bağlanabilmesi gerekir.
- Linux VM'nin Azure uzantı deposunu barındıran bir Azure depolama uç noktasına ve VHD dosyalarını barındıran bir Azure depolama hesabına bağlanabilmesi gerekir.
- Güvenlik ilkeniz Azure VM'lerinden İnternet'e erişimi kısıtlıyorsa, önceki URI'yi çözümleyebilir ve IP'lere giden bağlantıya izin verecek belirli bir kuralı yapılandırabilirsiniz. Daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki Azure Key Vault.
Şifreleme anahtarı depolama gereksinimleri
Azure Disk Şifrelemesi, disk şifreleme anahtarlarını ve gizli dizilerini denetlemek ve yönetmek için bir Azure Key Vault gerektirir. Anahtar kasanız ve VM'leriniz aynı Azure bölgesinde ve aboneliğinde bulunmalıdır.
Ayrıntılar için bkz. Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.
Terminoloji
Aşağıdaki tabloda, Azure disk şifreleme belgelerinde kullanılan bazı yaygın terimler tanımlanmaktadır:
Terminoloji | Tanım |
---|---|
Azure Key Vault | Key Vault, Federal Bilgi İşleme Standartları (FIPS) tarafından doğrulanmış donanım güvenlik modüllerini temel alan bir şifreleme, anahtar yönetimi hizmetidir. Bu standartlar, şifreleme anahtarlarınızı ve hassas gizli dizilerinizi korumaya yardımcı olur. Daha fazla bilgi için Bkz. Azure Key Vault belgeleri ve Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma. |
Azure CLI | Azure CLI , Azure kaynaklarını komut satırından yönetmek ve yönetmek için iyileştirilmiştir. |
DM-Crypt | DM-Crypt , Linux vm'lerinde disk şifrelemesini etkinleştirmek için kullanılan Linux tabanlı, saydam disk şifreleme alt sistemidir. |
Anahtar şifreleme anahtarı (KEK) | Gizli diziyi korumak veya sarmak için kullanabileceğiniz asimetrik anahtar (RSA 2048). Donanım güvenlik modülü (HSM) korumalı anahtar veya yazılım korumalı anahtar sağlayabilirsiniz. Daha fazla bilgi için Bkz. Azure Key Vault belgeleri ve Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma. |
PowerShell cmdlet'leri | Daha fazla bilgi için bkz . Azure PowerShell cmdlet'leri. |
Sonraki adımlar
- Hızlı Başlangıç - Azure CLI ile Linux VM oluşturma ve şifreleme
- Hızlı Başlangıç - Azure PowerShell ile Linux VM oluşturma ve şifreleme
- Linux VM’lerde Azure Disk Şifrelemesi senaryoları
- Azure Disk Şifrelemesi önkoşulları CLI betiği
- Azure Disk Şifrelemesi önkoşulları PowerShell betiği
- Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma