適用於 Linux 虛擬機器的 Azure 磁碟加密常見問題集

linux 虛擬機 Azure 磁碟加密 會使用 Linux 的 dm-crypt 功能，提供 OS 磁碟* 和數據磁碟的完整磁碟加密。 此外，使用 EncryptFormatAll 功能時，其也會提供暫存磁碟的加密。 內容會以客戶管理的金鑰從 VM 加密至記憶體後端。

請參閱 支援的虛擬機和操作系統。

Linux 虛擬機 Azure 磁碟加密 在所有 Azure 公用區域中正式運作。

Azure 磁碟加密 GA 支援 Azure Resource Manager 範本、Azure PowerShell 和 Azure CLI。 不同的使用者體驗可為您賦予彈性。 您有三種不同的選項可啟用虛擬機的磁碟加密。 如需 Azure 磁碟加密所提供之使用者體驗與逐步指導方針的詳細資訊，請參閱適用於 Linux 的 Azure 磁碟加密案例。

使用 Azure 磁碟加密對 VM 磁碟進行加密並不需付費，但如果使用 Azure Key Vault 則需付費。 如需 Azure Key Vault 成本的詳細資訊，請參閱 Key Vault 價格頁面。

若要開始使用，請參閱 Azure 磁碟加密概觀。

Azure 磁碟加密概觀一文列出支援 Azure 磁碟加密的 VM 大小和 VM 作業系統。

是，您可以同時將開機和資料磁碟區加密，或者您可以在無須先將 OS 磁碟區加密的情況下，將資料磁碟區加密。

您將 OS 磁碟區加密之後，就不支援停用 OS 磁碟區上的加密。 針對擴展集中的 Linux 虛擬機，只能加密數據磁碟區。

否，Azure 磁碟加密只能將已掛接的磁碟區加密。

儲存體伺服器端加密會將 Azure 儲存體中的 Azure 受控磁碟加密。 受控磁碟預設會採用使用平台管理的金鑰進行伺服器端加密來加密 (從 2017 年 6 月 10 日開始)。 您可以藉由指定客戶管理的金鑰，使用您自己的金鑰來管理受控磁碟的加密。 如需詳細資訊，請參閱 Azure 受控磁碟的伺服器端加密。

請參閱 受控磁碟加密選項概觀。

若要輪替祕密，只要呼叫您最初用來啟用磁碟加密的相同命令，並指定不同的 Key Vault 即可。 若要輪替金鑰加密金鑰，請呼叫您最初用來啟用磁碟加密的相同命令，並指定新的金鑰加密。

若要新增金鑰加密金鑰，請再次呼叫啟用命令，並傳遞金鑰加密金鑰參數。 若要移除金鑰加密金鑰，請再次呼叫啟用命令，但不使用金鑰加密金鑰參數。

是，您可以提供自己的金鑰加密金鑰。 這些金鑰會在 Azure Key Vault 中受到保護，這是 Azure 磁碟加密的金鑰儲存區。 如需金鑰加密金鑰支援案例的詳細資訊，請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫。

是，您可以使用 Azure Key Vault 來產生金鑰加密金鑰以供 Azure 磁碟加密使用。 這些金鑰會在 Azure Key Vault 中受到保護，這是 Azure 磁碟加密的金鑰儲存區。 如需金鑰加密金鑰的詳細資訊，請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫。

您無法使用內部部署金鑰管理服務或 HSM 來保護 Azure 磁碟加密的加密金鑰。 只能使用 Azure Key Vault 服務來保護加密金鑰。 如需金鑰加密金鑰支援案例的詳細資訊，請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫。

Azure 磁碟加密有其先決條件。 請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫一文，以建立新的金鑰保存庫，或針對磁碟加密存取設定現有的金鑰保存庫，從而啟用加密並保護祕密和金鑰。 如需金鑰加密金鑰支援案例的詳細資訊，請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫。

Azure 磁碟加密有其先決條件。 請參閱 Azure 磁碟加密與 Microsoft Entra 識別碼內容，以建立 Microsoft Entra 應用程式、建立新的金鑰保存庫，或設定現有的金鑰保存庫以進行磁碟加密存取，以啟用加密，以及保護秘密和金鑰。 如需金鑰加密金鑰支援情節的詳細資訊，請參閱使用 Microsoft Entra ID 建立及設定適用於 Azure 磁碟加密的金鑰保存庫。

是。 仍支援使用 Microsoft Entra 應用程式來進行磁碟加密。 不過，加密新的虛擬機時，建議您使用新的方法，而不是使用 Microsoft Entra 應用程式加密。

目前沒有直接的移轉途徑，可將使用 Microsoft Entra 應用程式加密的機器移轉至未使用 Microsoft Entra 應用程式的加密。 此外，也沒有直接的途徑可從未使用 Microsoft Entra 應用程式的加密移轉至使用 AD 應用程式的加密。

使用最新版的 Azure PowerShell SDK 來設定 Azure 磁碟加密。 下載最新版的 Azure PowerShell。 Azure SDK 1.1.0 版「不」支援 Azure 磁碟加密。

針對如 Azure Resource Manager (ARM) 的部署案例，其中您必須部署適用於 Linux VM 的 Azure 磁碟加密延伸模組以在 Linux IaaS VM 上啟用加密，您必須使用支援生產環境的 Azure 磁碟加密延伸模組 "Microsoft.Azure.Security.AzureDiskEncryptionForLinux"。

您無法對自訂 Linux 映像套用 Azure 磁碟加密。 只有前述支援散發版本的資源庫 Linux 映像受到支援。 目前不支援自訂 Linux 映像。

是，您可以在 Red Hat Linux VM 上執行 Yum 更新。 如需詳細資訊，請參閱隔離式網路上的 Azure 磁碟加密。

建議採取下列工作流程，即可在 Linux 上獲得最佳結果：

• 先從與所需的作業系統發行版本和版本相對應的未修改內建資源庫映像開始
• 備份您想要加密的任何掛接磁碟驅動器。 此備份可在發生失敗時用來進行復原，例如，VM 在加密完成前重新開機時。
• 加密 (可能需要數小時或甚至數天，取決於 VM 特性和附加的任何資料磁碟的大小)
• 自訂軟體，並且視需要將軟體新增至映像。

如果此工作流程不可行，靠著平台儲存體帳戶層的儲存體服務加密 (SSE)，可能可以替代使用 dm crypt 的完整磁碟加密。

「Bek 磁碟區」是本機數據磁碟區，可安全地儲存加密 Azure 虛擬機的加密密鑰。

Azure 磁碟加密會使用 aes-xts-plain64 搭配 256 位元磁碟區主要金鑰的解密預設值。

否，不會從已使用「Azure 磁碟加密」進行加密的資料磁碟機中清除資料。 就像 EncryptFormatAll 不會重新加密 OS 磁碟機一樣，它也不會重新加密已加密的資料磁碟機。 如需詳細資訊，請參閱 EncryptFormatAll 準則。

支援對 XFS OS 磁碟進行加密。

只有在使用 EncryptFormatAll 參數的情況下，才支援對 XFS 資料磁碟進行加密。 此選項會重新格式化磁碟區，並清除先前的任何數據。 如需詳細資訊，請參閱 EncryptFormatAll 準則。

不支援 Azure 磁碟加密 加密 OS 磁碟的大小。

Azure 備份提供一種機制，可以在相同的訂用帳戶和區域內備份及還原加密的 VM。 如需相關指示，請參閱使用 Azure 備份來備份及還原加密的虛擬機器 \(部分機器翻譯\)。 目前不支援將加密的 VM 還原至不同的區域。

您可以在 Azure 磁碟加密的 Microsoft 問與答頁面 \(英文\) 上提問或提供意見反應。

下一步

在本文件中，您已了解有關 Azure 磁碟加密的常見問題。 如需此服務的詳細資訊，請參閱下列文章：

• Azure 磁碟加密概觀
• 在 Azure 資訊安全中心套用磁碟加密
• 待用 Azure 資料加密