適用於:Azure Local 的超融合部署
本文說明如何檢視及啟用 BitLocker 加密,以及擷取 Azure 本機實例上的 BitLocker 修復密鑰。
必要條件
開始之前,請確定您可以存取已部署、註冊及連線至 Azure 的 Azure 本機實例。
透過 Azure 入口網站 檢視 BitLocker 設定
要在 Azure 入口網站查看 BitLocker 設定,請確保你已套用 MCSB 計畫。 如需詳細資訊,請參閱 套用 Microsoft Cloud Security Benchmark 方案。
BitLocker 提供兩種類型的保護:OS 磁碟區的加密,以及數據磁碟區的加密。 您只能在 Azure 入口網站 中檢視 BitLocker 設定。 若要管理設定,請參閱 使用PowerShell管理 BitLocker 設定。
使用 PowerShell 管理 BitLocker 設定
您可以在 Azure 本機實例上檢視、啟用和停用磁碟區加密設定。
PowerShell Cmdlet 屬性
以下 cmdlet 是 AzureStackBitLockerAgent 模組的一部分:
Get-ASBitLocker
取得您 Azure 本地實例中磁碟區目前的 BitLocker 加密狀態。
Get-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | PerNode>
| 參數 | Required | 說明 |
|---|---|---|
-VolumeType |
是的 | 查詢的卷類型。 有效值: BootVolume, ClusterSharedVolume。 |
-Local |
No | 擷取本地節點磁碟區的 BitLocker 詳細資料。 可以在一般遠端 PowerShell 會話中執行。 這是預設的範圍。 |
-PerNode |
No | 擷取叢集中每個節點的 BitLocker 細節。 需要 CredSSP 認證(遠端 PowerShell)或遠端桌面(RDP)會話。 |
Enable-ASBitLocker
啟用指定磁碟區類型的 BitLocker 加密。
Enable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| 參數 | Required | 說明 |
|---|---|---|
-VolumeType |
是的 | 要加密的容量類型。 有效值: BootVolume, ClusterSharedVolume。 |
-Local |
No | 加密本地節點擁有的磁碟區。 這是預設的範圍。 |
-Cluster |
No | 將叢集中所有節點的磁碟卷進行加密。 需要 CredSSP 認證。 |
-MountPoint |
No | 根據掛載點路徑以針對特定的 CSV(例如C:\ClusterStorage\Volume1)。 只有在 -Local 範圍內提供。 若省略,則本地節點擁有的所有 CSV 都會被加密。 |
Disable-ASBitLocker(停用 ASBitLocker)
在指定的卷類型上停用 BitLocker 加密。
Disable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| 參數 | Required | 說明 |
|---|---|---|
-VolumeType |
是的 | 要解密的卷類型。 有效值: BootVolume, ClusterSharedVolume。 |
-Local |
No | 解密本地節點擁有的磁碟區。 這是預設的範圍。 |
-Cluster |
No | 解密叢集中所有伺服器節點的資料磁碟區。 需要 CredSSP 認證。 |
-MountPoint |
No | 依據掛載點路徑鎖定特定的 CSV 文件(例如 C:\ClusterStorage\Volume1)。 僅在 -Local 範圍內可用。 若省略,所有由本地節點擁有的 CSV 都會被解密。 |
檢視使用 BitLocker 的磁碟區加密設定
請遵循下列步驟來檢視加密設定:
連線到您的 Azure 本機電腦。
請使用本地管理員憑證執行以下 PowerShell 指令:
Get-ASBitLocker -VolumeType BootVolume -Local要查看叢集共享卷的加密狀態:
Get-ASBitLocker -VolumeType ClusterSharedVolume -Local要查看叢集中所有節點的加密狀態(需 CredSSP 或 RDP):
Get-ASBitLocker -VolumeType ClusterSharedVolume -PerNode
啟用 BitLocker 的磁碟區加密
重要
- 啟用卷類型
BootVolume加密需要 TPM 2.0。 - 目標節點擁有的所有 CSV 必須在開始前處於 線上 狀態。
CSV 加密過程中會發生什麼事
當你在 ClusterSharedVolume 上啟用 BitLocker 時,該磁碟區會經歷以下運作週期:
| Phase | 體積狀態 | 音量可達嗎? | 虛擬機影響 |
|---|---|---|---|
| 1. 維護模式 | CSV 被暫停透過 Suspend-ClusterResource。 |
不行 ——輸入輸出是暫停的。 | 帶有虛擬磁碟的 CSV 工作負載的虛擬機器 被暫停。 |
| 2. 加密啟動 | BitLocker 加密開始了。 關鍵保護器已被創建。 | 不—— 音量仍處於維持狀態。 | 虛擬機保持暫停。 |
| 3. 履歷 | CSV 會透過 Resume-ClusterResource 重新上線。 |
是的 ——音量又能被存取了。 | 虛擬機繼續運作。 |
| 4. 重定向輸入輸出 | 當加密在背景完成時,CSV 會進入 重定向 I/O 模式。 所有來自非擁有者節點的 I/O 都會經過協調者(擁有者)節點。 | 是的 ——音量完全可存取。 | 虛擬機正在執行中。 非擁有者節點的 I/O 效能可能會在加密完成前降低。 |
| 5. 直接輸入輸出 | 加密完成後,CSV 會回復到正常 的直接 I/O 模式。 | 是的 | 沒有影響。 |
規劃維修期間。 維護階段(階段1–2)的長度取決於體積大小與系統負載。 在此期間,工作負載的虛擬機會暫停,且該磁碟區無法被存取。 此操作請於計畫性維護期間執行。
注意
關鍵保護者: 加密過程中會自動建立兩個金鑰保護器:
- 復原密碼:備份至 Active Directory(網域加入部署類型)和 Azure Key Vault(非網域加入部署類型)以進行災難復原。
- 一個外部 金鑰 ——儲存在擁有者節點上
C:\Windows\Cluster,用於故障轉移時自動解鎖 CSV。
若想將恢復金鑰儲存到外部位置,例如 Azure Key Vault,請參見 取得 BitLocker 恢復金鑰。
Warning
若加密失敗,系統會嘗試停用 BitLocker 並完全解密卷後再繼續。 若清理失敗,CSV 可能仍處於 維護模式 ,需人工調查。 詳情請查看加密 C:\MASLogs\ASEncryptionLogs 日誌。
請遵循下列步驟,使用 BitLocker 啟用磁碟區加密:
連線到您的 Azure 本機電腦。
請使用本地管理員憑證執行以下 PowerShell 指令。
要在本地節點加密啟動磁碟:
Enable-ASBitLocker -VolumeType BootVolume -Local要加密本地節點所擁有的所有叢集共享卷:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Local要透過掛載點加密特定的 CSV 文件:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"要加密叢集內所有 CSV(需要 CredSSP):
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
使用 BitLocker 停用磁碟區加密
停用 BitLocker 的維護模式生命週期與啟用 BitLocker 相同:程序暫停 CSV,啟動解密,然後繼續執行 CSV。 解密作業會在背景繼續進行,而磁碟區則以重定向 I/O 模式存取。
請依照以下步驟使用 BitLocker 來停用磁碟區加密:
連線到您的 Azure 本機電腦。
請使用本地管理員憑證執行以下 PowerShell 指令。
要解密本地節點上的開機磁碟區:
Disable-ASBitLocker -VolumeType BootVolume -Local要解密本地節點擁有的所有叢集共享磁碟區:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Local要依掛載點解密特定的 CSV:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"要解密叢集內所有 CSV(需要 CredSSP):
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
取得 BitLocker 修復金鑰
注意
你可以隨時從本地的 Active Directory 取得 BitLocker 金鑰。 如果叢集已關閉且您沒有密鑰,則可能無法存取叢集上的加密數據。 若要儲存 BitLocker 修復金鑰,建議您將其匯出並儲存在安全的外部位置,例如 Azure 金鑰保存庫。
要匯出叢集的復原金鑰,請依照以下步驟操作:
以本機系統管理員身分連線到您的 Azure 本機實例。 請在本地主控台會話、本地遠端桌面協定(RDP)會話,或帶有 CredSSP 認證的遠端 PowerShell 會話中執行以下指令:
若要取得修復金鑰資訊,請在 PowerShell 中執行下列命令:
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey以下是範例輸出:
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- NODE01 {Password1} Key1 NODE02 {Password2} Key2 NODE03 {Password3} Key3 NODE04 {Password4} Key4
下一步
欲了解更多關於 BitLocker 與叢集共享卷整合的資訊,請參見: