教學課程：針對 Azure 資料箱磁碟打開包裝、連線然後解除鎖定

文章
10/17/2024

重要

資料箱磁碟的硬體加密支援目前適用於美國、歐洲和日本以內的區域。

具有硬體加密的 Azure 資料箱磁碟需要 SATA III 連線。不支援所有其他連線，包括 USB。

警告

本文參考 CentOS，這是處於終止服務 (EOL) 狀態的 Linux 發行版。請據此考慮您的使用方式和規劃。如需詳細資訊，請參閱 CentOS 生命週期結束指導。

本教學課程說明如何針對 Azure 資料箱磁碟打開包裝、連線然後解除鎖定。

在本教學課程中，您會了解如何：

打開資料箱磁碟的包裝
連接到磁碟並取得通行金鑰
將 Windows 用戶端上的磁碟解除鎖定
將 Linux 用戶端上的磁碟解除鎖定

針對 Azure 資料箱磁碟打開包裝、連線然後解除鎖定

必要條件

在您開始前，請確定：

您已完成教學課程：訂購 Azure 資料箱磁碟。
您已收到磁碟，入口網站中的作業狀態會更新為已交付。
您有一部用戶端電腦，可以在上面安裝資料箱磁碟解除鎖定工具。您的用戶端電腦必須：
- 執行支援的作業系統。
- 安裝其他必要軟體 (如果是 Windows 用戶端)。

解除封裝磁碟

執行下列步驟以打開磁碟的包裝。

資料箱磁碟是以小型包裹寄出。請開啟包裹然後取出內容物。檢查包裹裡每個磁碟是否有 1 到 5 個固態硬碟 (SSD) 和 USB 連接線。檢查包裹是否有任何竄改的證據，或其他任何明顯的損毀。
如果包裹已遭竄改或嚴重損毀，請勿開啟包裹。請連絡 Microsoft 支援服務以協助您評估磁碟是否可正常運作，以及是否需要寄送替代品給您。
確認包裹有明顯外盒，其中包含用來退貨的出貨標籤 (在目前的標籤底下)。如果此標籤遺失或損毀，您隨時都可以從 Azure 入口網站下載並列印新標籤。
請保留包裹及包裝發泡材料，以便將磁碟退回。

連線磁碟

重要

僅針對以 Linux 為基礎的作業系統支援及測試具有硬體加密的 Azure 資料箱磁碟。若要使用 Windows OS 型裝置存取磁碟，請下載資料箱磁碟工具組並執行資料箱磁碟 SED 解除鎖定工具。

軟體加密
硬體加密

使用內含的 USB 纜線將磁碟連接到執行支援版本的 Windows 或 Linux 電腦。如需有關支援作業系統版本的詳細資訊，請移至 Azure 資料箱磁碟系統需求。

此螢幕擷取畫面顯示軟體加密磁碟機的資料箱磁碟連接器。

擷取您的通行金鑰

在 Azure 入口網站中，瀏覽至您的資料箱磁碟訂單。瀏覽至 [一般] > [所有資源] 來進行搜尋，然後選取您的資料箱磁碟訂單。使用複製圖示來複製通行金鑰。此通行金鑰用來將磁碟解除鎖定。

資料箱磁碟解除鎖定通行金鑰

視您連線至 Windows 或 Linux 用戶端，用來解除鎖定磁碟的步驟會有所不同。

解除鎖定磁碟

請執行下列步驟，以連接磁碟並解除鎖定。

在 Azure 入口網站中，瀏覽至您的資料箱磁碟訂單。瀏覽至 [一般] > [所有資源] 來進行搜尋，然後選取您的資料箱磁碟訂單。
下載對應至 Windows 用戶端的資料箱磁碟工具組。此工具組包含 3 個工具：資料箱磁碟解除鎖定工具、資料箱磁碟驗證工具及資料箱磁碟分割複製工具。

注意

資料箱磁碟工具不支援 Powershell ISE

這個程序只需要資料箱磁碟解除鎖定工具。其餘工具將使用於後續步驟。

下載適用於 Windows 的資料箱磁碟工具組
在您用來複製資料的相同電腦上將工具組解壓縮。
在相同電腦上以系統管理員的身分，開啟 [命令提示字元] 視窗或執行 Windows PowerShell。
確認用戶端電腦符合資料箱解除鎖定工具的作業系統需求。在包含所擷取資料箱磁碟工具組的資料夾中執行系統檢查，如下列範例所示。
```
.\DataBoxDiskUnlock.exe /SystemCheck
```
下列範例輸出確認用戶端電腦符合作業系統需求。
執行 DataBoxDiskUnlock.exe，並提供在 [擷取通行金鑰] 區段中取得的通行金鑰。通行金鑰會提交為 Passkey 參數值，如下列範例所示。
```
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
```
成功回應包含指派給磁碟的磁碟機代號，如下列範例輸出所示。
請針對日後任何磁碟重新插入重複解除鎖定步驟。如果您需要資料箱磁碟解除鎖定工具的協助，請使用 help 命令，如下列範例程式碼和範例輸出所示。
```
.\DataBoxDiskUnlock.exe /help
```
將磁碟解除鎖定之後，您就可以檢視磁碟的內容。

注意

請勿格式化或修改磁碟的內容或現有檔案結構。

如果您在解除鎖定磁碟時遇到任何問題，請參閱如何針對解除鎖定問題進行疑難排解。

執行下列步驟，以在 Linux 電腦上連線和解除鎖定硬體加密的資料箱磁碟。

信賴平台模組 (TPM) 必須在 SATA 型磁碟機的 Linux 系統上啟用。若要啟用 TPM，請編輯 GRUB 組態，將 libata.allow_tpm 設定為 1，如下列散發版本特定範例所示。如需詳細資訊，請參閱位於 https://github.com/Drive-Trust-Alliance/sedutil/wiki 的 Drive-Trust-Alliance public Wiki。

警告

在裝置上啟用 TPM 可能需要重新啟動。

下列範例包含 reboot 命令。在執行指令碼之前，請確定不會遺失任何資料。
- CentOS
- Ubuntu/Debian
使用下列命令來啟用 CentOS 的 TPM。

sudo nano /etc/default/grub

接著，將 "libata.allow_tpm=1" 手動新增至 grub 命令列引數。

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

若為 BIOS 型系統：grub2-mkconfig -o /boot/grub2/grub.cfg

若為 UEFI 型系統：grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

reboot

最後，藉由檢查開機映像來驗證 TPM 設定是否設定正確。 cat /proc/cmdline
使用下列命令來啟用 Ubuntu/Debian 的 TPM。

sudo nano /etc/default/grub

接下來，將 "libata.allow_tpm=1" 手動新增至 grub 命令列引數。

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

更新 GRUB 並重新啟動。

sudo update-grub reboot

最後，藉由檢查開機映像來驗證 TPM 設定是否設定正確。

cat /proc/cmdline
```
---
```
下載資料箱磁碟工具組。擷取 [資料箱磁碟解除鎖定公用程式] 並複製到您電腦上的本機路徑。
下載 SEDUtil。如需詳細資訊，請瀏覽 Drive-Trust-Alliance public Wiki。

重要

SEDUtil 是自我加密磁碟機的外部公用程式。這不是由 Microsoft 管理。如需詳細資訊，包括此公用程式的授權資訊，請參閱 https://sedutil.com/。
將 SEDUtil 擷取至電腦上的本機路徑，並使用下列範例建立公用程式路徑的符號連結。或者，您可以將公用程式路徑新增至 PATH 環境變數。
```
chmod +x /path/to/sedutil-cli

#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
```
sedutil-cli –scan 命令會列出連線到伺服器的所有磁碟機。此命令與發行版本無關。
```
sudo sedutil-cli --scan
```
下列範例輸出確認驗證已順利完成。
您可使用下列命令來識別 Azure 磁碟。您可使用下列命令來驗證磁碟區的磁碟序號。
```
sedutil-cli --query <volume> 
```
從上一個步驟中擷取的 Linux 工具組執行資料箱磁碟解除鎖定公用程式。從 Azure 入口網站提供您從 [連線到磁碟] 區段中取得的通行金鑰。選擇性地，您可指定要解除鎖定的 BitLocker 加密磁碟區清單。通行金鑰和磁碟區清單應指定於單引號內，如下列範例所示。
```
chmod +x DataBoxDiskUnlock

#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock

sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
```
下列範例輸出指出磁碟區已成功解除鎖定。掛接點也會針對可在其中複製資料的磁碟區顯示。

重要

針對任何未來的磁碟重新插入，重複執行步驟以將磁碟解除鎖定。

如果您需要資料箱磁碟解除鎖定公用程式的額外協助，您可使用 help 參數，如下列範例所示。
```
sudo ./DataBoxDiskUnlock /Help
```
下圖顯示範例輸出。
將磁碟解除鎖定之後，您可以移至掛接點並檢視磁碟的內容。您現在已準備好根據所需的目的地資料類型將資料複製到資料夾。
將資料複製到磁碟之後，務必使用下列命令安全地卸載和移除磁碟。
```
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'> 
      /Unmount  /SED
```
下列範例輸出確認已成功卸載磁碟區。
您可使用支援的作業系統連線到 Windows 電腦，以驗證您磁碟上的資料。務必先檢閱 Windows 作業系統的 OS 需求，再將磁碟連線到本機電腦。

執行下列步驟，以使用 Windows 電腦解除鎖定自我加密磁碟。
- 下載適用於 Windows 用戶端的資料箱磁碟工具組，並將其解壓縮至同一部電腦。雖然工具組包含四個工具，但只有資料箱 SED 解除鎖定工具使用於硬體加密磁碟。
- 將您的資料箱磁碟連線到 Windows 電腦上可用的 SATA 3 連線。
- 使用命令提示字元或 PowerShell，執行下列命令來將自我加密的磁碟解除鎖定。
```
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
```
  下列範例輸出確認磁碟已成功解除鎖定。
- 在退出磁碟機之前，務必先安全地將其移除。

如果您在解除鎖定磁碟時遇到問題，請參閱針對解除鎖定問題進行疑難排解一文。

執行下列步驟，以在 Linux 電腦上連線和解除鎖定軟體加密的資料箱磁碟。

在 Azure 入口網站中，移至 [一般] > [裝置詳細資料]。
下載資料箱磁碟工具組。擷取 [資料箱磁碟解除鎖定公用程式] 並複製到您電腦上的本機路徑。
瀏覽至包含資料箱磁碟工具組的資料夾。在 Linux 用戶端上開啟終端機視窗，且變更檔案權限以允許執行，如下列範例所示：

chmod +x DataBoxDiskUnlock chmod +x DataBoxDiskUnlock_Prep.sh

執行 chmod 命令之後，請執行 ls 命令來確認檔案權限已變更，如下列範例輸出所示。
```
    [user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
    [user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
    [user@localhost Downloads]$ ls -l
    -rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
    -rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
```

執行下列指令碼以安裝資料箱磁碟解除鎖定二進位檔。使用 sudo 以 root 身分執行命令。通知會顯示在終端機中，通知您安裝成功。

sudo ./DataBoxDiskUnlock_Prep.sh

此指令碼會驗證用戶端電腦是否正執行支援的作業系統，如範例輸出所示。

[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
    OS = CentOS Version = 6.9
    Release = CentOS release 6.9 (Final)
    Architecture = x64

    The script will install the following packages and dependencies.
    epel-release
    dislocker
    ntfs-3g
    fuse-dislocker
    Do you wish to continue? y|n :|

輸入 y 繼續安裝。此指令碼會安裝下列套件：

epel-release - 包含下列三個套件的存放庫。
dislocker 和 fuse-dislocker - 用以將 BitLocker 加密磁碟解密的公用程式。

ntfs-3g - 可協助掛接 NTFS 磁碟區的套件。

通知會顯示在終端機中，通知您已成功安裝套件。

Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6        ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies

Running transaction check
Package epel-release.noarch 0:6-8 will be erased  Finished Dependency Resolution

Dependencies Resolved
Package        Architecture        Version        Repository        Size
Removing:  epel-release        noarch         6-8        @extras        22 k
Transaction Summary                                
Remove        1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.

執行資料箱磁碟解除鎖定工具，並提供從 Azure 入口網站擷取的通行金鑰。選擇性地指定要解除鎖定的 BitLocker 加密序號清單。通行金鑰和序號應該包含在單引號內，如下所示。
```
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>' 
    /SerialNumbers: '22183820683A;221838206839'
```
下列範例輸出確認磁碟區已成功解除鎖定。掛接點也會針對可在其中複製資料的磁碟區顯示。

請針對日後任何磁碟重新插入重複解除鎖定步驟。使用 help 命令，取得資料箱磁碟解除鎖定工具的其他協助。

sudo //DataBoxDiskUnlock /Help

範例輸出如下所示。

[user@localhost Downloads]$ DataBoxDiskUnlock /Help   

START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker 
and self-encrypted Data Box disks ordered through Azure portal. 

More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:

Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc' 
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B' 
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED 
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED 
Example: sudo DataBoxDiskUnlock /Help 
Example: sudo DataBoxDiskUnlock /Unmount 
Example: sudo DataBoxDiskUnlock /Rescan  /Volumes:'/dev/sdb;/dev/sdc'

/PassKey       : This option takes a passkey as input and unlocks all of your disks.
                Get the passkey from your Data Box Disk order in Azure portal.
/Volumes       : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed           : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption). 
                Volumes or Serial Numbers is a mandatory field when /SED flag is used.  
/Help          : This option provides help on the tool usage and examples. 
/Unmount       : This option unmounts all the volumes mounted by this tool. 
/Rescan        : Perform SATA controller reset to repair the SATA link speed for specific volumes. 
-----------------------------------------------------

將磁碟解除鎖定之後，您可以移至掛接點並檢視磁碟的內容。您現在已準備好將資料複製到 BlockBlob 或 PageBlob 資料夾。

注意

請勿格式化或修改磁碟的內容或現有檔案結構。
將必要資料複製到磁碟之後，務必使用下列命令來安全地卸載和移除磁碟。
```
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2' 
```
下列範例輸出確認已成功卸載磁碟區。

打開磁碟包裝並使用內含的纜線將磁碟連接到用戶端電腦。
在您用來複製資料的相同電腦上，下載並解壓縮資料箱磁碟工具組。

下載適用於 Windows 的資料箱磁碟工具組

或

下載適用於 Linux 的資料箱磁碟工具組
解除鎖定 Windows 用戶端上的磁碟，在相同電腦上以系統管理員身分，開啟 [命令提示字元] 視窗或執行 Windows PowerShell：
- 在安裝資料箱磁碟解除鎖定工具的相同資料夾中輸入下列命令。
```
.\DataBoxDiskUnlock.exe
```
- 在 Azure 入口網站中的 [一般] > [裝置詳細資料] 取得通行金鑰，並在此處提供。指派給磁碟的磁碟機代號隨即顯示。
若要解除鎖定 Linux 用戶端上的磁碟，請開啟終端機。移至您下載軟體的資料夾。輸入下列命令來變更檔案權限，以便執行這些檔案：
```
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
```
執行指令碼以安裝所有必要的二進位檔。
```
sudo ./DataBoxDiskUnlock_Prep.sh
```
執行資料箱磁碟解除鎖定工具。在 Azure 入口網站中的 [一般] > [裝置詳細資料] 取得通行金鑰，並在此處提供。選擇性地指定單引號內要解除鎖定的 BitLocker 加密磁碟區清單。
```
sudo ./DataBoxDiskUnlock /PassKey:'<passkey>'
```
請針對日後任何磁碟重新插入重複解除鎖定步驟。如果您需要資料箱磁碟解除鎖定工具的說明，請使說明命令。

將磁碟解除鎖定之後，您就可以檢視磁碟的內容。

如需有關如何設定及解除鎖定磁碟的詳細資訊，請前往設定資料箱磁碟。

下一步

在本教學課程中，您已了解 Azure 資料箱磁碟的相關主題，像是：

打開資料箱磁碟的包裝
連接到磁碟並取得通行金鑰
將 Windows 用戶端上的磁碟解除鎖定
將 Linux 用戶端上的磁碟解除鎖定

請前進到下一個教學課程，以了解如何複製資料箱磁碟上的資料。

複製資料箱磁碟上的資料

分享方式：