重要
資料箱磁碟的硬體加密支援目前適用於美國、歐洲和日本以內的區域。
具有硬體加密的 Azure 資料箱磁碟需要 SATA III 連線。 不支援所有其他連線,包括 USB。
警告
本文參考 CentOS,這是處於終止服務 (EOL) 狀態的 Linux 發行版。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
本教學課程說明如何針對 Azure 資料箱磁碟打開包裝、連線然後解除鎖定。
在本教學課程中,您會了解如何:
- 打開資料箱磁碟的包裝
- 連接到磁碟並取得通行金鑰
- 將 Windows 用戶端上的磁碟解除鎖定
- 將 Linux 用戶端上的磁碟解除鎖定
針對 Azure 資料箱磁碟打開包裝、連線然後解除鎖定
必要條件
在您開始前,請確定:
- 您已完成教學課程:訂購 Azure 資料箱磁碟。
- 您已收到磁碟,入口網站中的作業狀態會更新為已交付。
- 您有一部用戶端電腦,可以在上面安裝資料箱磁碟解除鎖定工具。 您的用戶端電腦必須:
解除封裝磁碟
執行下列步驟以打開磁碟的包裝。
資料箱磁碟是以小型包裹寄出。 請開啟包裹然後取出內容物。 檢查包裹裡每個磁碟是否有 1 到 5 個固態硬碟 (SSD) 和 USB 連接線。 檢查包裹是否有任何竄改的證據,或其他任何明顯的損毀。
如果包裹已遭竄改或嚴重損毀,請勿開啟包裹。 請連絡 Microsoft 支援服務以協助您評估磁碟是否可正常運作,以及是否需要寄送替代品給您。
確認包裹有明顯外盒,其中包含用來退貨的出貨標籤 (在目前的標籤底下)。 如果此標籤遺失或損毀,您隨時都可以從 Azure 入口網站下載並列印新標籤。
請保留包裹及包裝發泡材料,以便將磁碟退回。
連線磁碟
重要
僅針對以 Linux 為基礎的作業系統支援及測試具有硬體加密的 Azure 資料箱磁碟。 若要使用 Windows OS 型裝置存取磁碟,請下載資料箱磁碟工具組並執行資料箱磁碟 SED 解除鎖定工具。
使用內含的 USB 纜線將磁碟連接到執行支援版本的 Windows 或 Linux 電腦。 如需有關支援作業系統版本的詳細資訊,請移至 Azure 資料箱磁碟系統需求。
在執行支援版本的 Linux 主機上,將磁碟連線到可用的 SATA 連接埠。 如需有關支援作業系統版本的詳細資訊,請移至 Azure 資料箱磁碟系統需求。
擷取您的通行金鑰
在 Azure 入口網站中,瀏覽至您的資料箱磁碟訂單。 瀏覽至 [一般] > [所有資源] 來進行搜尋,然後選取您的資料箱磁碟訂單。 使用複製圖示來複製通行金鑰。 此通行金鑰用來將磁碟解除鎖定。
資料箱磁碟解除鎖定通行金鑰
視您連線至 Windows 或 Linux 用戶端,用來解除鎖定磁碟的步驟會有所不同。
解除鎖定磁碟
請執行下列步驟,以連接磁碟並解除鎖定。
請執行下列步驟,以連接磁碟並解除鎖定。
在 Azure 入口網站中,瀏覽至您的資料箱磁碟訂單。 瀏覽至 [一般] > [所有資源] 來進行搜尋,然後選取您的資料箱磁碟訂單。
下載對應至 Windows 用戶端的資料箱磁碟工具組。 此工具組包含 3 個工具:資料箱磁碟解除鎖定工具、資料箱磁碟驗證工具及資料箱磁碟分割複製工具。
注意
資料箱磁碟工具不支援 Powershell ISE
這個程序只需要資料箱磁碟解除鎖定工具。 其餘工具將使用於後續步驟。
在您用來複製資料的相同電腦上將工具組解壓縮。
在相同電腦上以系統管理員的身分,開啟 [命令提示字元] 視窗或執行 Windows PowerShell。
確認用戶端電腦符合資料箱解除鎖定工具的作業系統需求。 在包含所擷取資料箱磁碟工具組的資料夾中執行系統檢查,如下列範例所示。
.\DataBoxDiskUnlock.exe /SystemCheck
下列範例輸出確認用戶端電腦符合作業系統需求。
執行 DataBoxDiskUnlock.exe,並提供在 [擷取通行金鑰] 區段中取得的通行金鑰。 通行金鑰會提交為 Passkey 參數值,如下列範例所示。
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
成功回應包含指派給磁碟的磁碟機代號,如下列範例輸出所示。
請針對日後任何磁碟重新插入重複解除鎖定步驟。 如果您需要資料箱磁碟解除鎖定工具的協助,請使用 help 命令,如下列範例程式碼和範例輸出所示。
.\DataBoxDiskUnlock.exe /help
將磁碟解除鎖定之後,您就可以檢視磁碟的內容。
如果您在解除鎖定磁碟時遇到任何問題,請參閱如何針對解除鎖定問題進行疑難排解。
執行下列步驟,以在 Linux 電腦上連線和解除鎖定硬體加密的資料箱磁碟。
信賴平台模組 (TPM) 必須在 SATA 型磁碟機的 Linux 系統上啟用。 若要啟用 TPM,請編輯 GRUB 組態,將 libata.allow_tpm 設定為 1,如下列散發版本特定範例所示。 如需詳細資訊,請參閱位於 https://github.com/Drive-Trust-Alliance/sedutil/wiki 的 Drive-Trust-Alliance public Wiki。
警告
在裝置上啟用 TPM 可能需要重新啟動。
下列範例包含 reboot 命令。 在執行指令碼之前,請確定不會遺失任何資料。
使用下列命令來啟用 CentOS 的 TPM。
sudo nano /etc/default/grub
接著, 將 "libata.allow_tpm=1" 手動新增至 grub 命令列引數。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
若為 BIOS 型系統:grub2-mkconfig -o /boot/grub2/grub.cfg
若為 UEFI 型系統:grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
reboot
最後,藉由檢查開機映像來驗證 TPM 設定是否設定正確。
cat /proc/cmdline
使用下列命令來啟用 Ubuntu/Debian 的 TPM。
sudo nano /etc/default/grub
接下來,將 "libata.allow_tpm=1" 手動新增至 grub 命令列引數。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
更新 GRUB 並重新啟動。
sudo update-grub
reboot
最後,藉由檢查開機映像來驗證 TPM 設定是否設定正確。
cat /proc/cmdline
---
下載資料箱磁碟工具組。 擷取 [資料箱磁碟解除鎖定公用程式] 並複製到您電腦上的本機路徑。
下載 SEDUtil。 如需詳細資訊,請瀏覽 Drive-Trust-Alliance public Wiki。
將 SEDUtil 擷取至電腦上的本機路徑,並使用下列範例建立公用程式路徑的符號連結。 或者,您可以將公用程式路徑新增至 PATH 環境變數。
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
sedutil-cli –scan 命令會列出連線到伺服器的所有磁碟機。 此命令與發行版本無關。
sudo sedutil-cli --scan
下列範例輸出確認驗證已順利完成。
您可使用下列命令來識別 Azure 磁碟。 您可使用下列命令來驗證磁碟區的磁碟序號。
sedutil-cli --query <volume>
從上一個步驟中擷取的 Linux 工具組執行資料箱磁碟解除鎖定公用程式。 從 Azure 入口網站提供您從 [連線到磁碟] 區段中取得的通行金鑰。 選擇性地,您可指定要解除鎖定的 BitLocker 加密磁碟區清單。 通行金鑰和磁碟區清單應指定於單引號內,如下列範例所示。
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
下列範例輸出指出磁碟區已成功解除鎖定。 掛接點也會針對可在其中複製資料的磁碟區顯示。
重要
針對任何未來的磁碟重新插入,重複執行步驟以將磁碟解除鎖定。
如果您需要資料箱磁碟解除鎖定公用程式的額外協助,您可使用 help 參數,如下列範例所示。
sudo ./DataBoxDiskUnlock /Help
下圖顯示範例輸出。
將磁碟解除鎖定之後,您可以移至掛接點並檢視磁碟的內容。 您現在已準備好根據所需的目的地資料類型將資料複製到資料夾。
將資料複製到磁碟之後,務必使用下列命令安全地卸載和移除磁碟。
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'>
/Unmount /SED
下列範例輸出確認已成功卸載磁碟區。
您可使用支援的作業系統連線到 Windows 電腦,以驗證您磁碟上的資料。 務必先檢閱 Windows 作業系統的 OS 需求,再將磁碟連線到本機電腦。
執行下列步驟,以使用 Windows 電腦解除鎖定自我加密磁碟。
下載適用於 Windows 用戶端的資料箱磁碟工具組,並將其解壓縮至同一部電腦。 雖然工具組包含四個工具,但只有資料箱 SED 解除鎖定工具使用於硬體加密磁碟。
將您的資料箱磁碟連線到 Windows 電腦上可用的 SATA 3 連線。
使用命令提示字元或 PowerShell,執行下列命令來將自我加密的磁碟解除鎖定。
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
下列範例輸出確認磁碟已成功解除鎖定。
在退出磁碟機之前,務必先安全地將其移除。
如果您在解除鎖定磁碟時遇到問題,請參閱針對解除鎖定問題進行疑難排解一文。
執行下列步驟,以在 Linux 電腦上連線和解除鎖定軟體加密的資料箱磁碟。
在 Azure 入口網站中,移至 [一般] > [裝置詳細資料]。
下載資料箱磁碟工具組。 擷取 [資料箱磁碟解除鎖定公用程式] 並複製到您電腦上的本機路徑。
瀏覽至包含資料箱磁碟工具組的資料夾。 在 Linux 用戶端上開啟終端機視窗,且變更檔案權限以允許執行,如下列範例所示:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
執行 chmod 命令之後,請執行 ls 命令來確認檔案權限已變更,如下列範例輸出所示。
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
執行下列指令碼以安裝資料箱磁碟解除鎖定二進位檔。 使用 sudo 以 root 身分執行命令。 通知會顯示在終端機中,通知您安裝成功。
sudo ./DataBoxDiskUnlock_Prep.sh
此指令碼會驗證用戶端電腦是否正執行支援的作業系統,如範例輸出所示。
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
輸入 y 繼續安裝。 此指令碼會安裝下列套件:
epel-release - 包含下列三個套件的存放庫。
dislocker 和 fuse-dislocker - 用以將 BitLocker 加密磁碟解密的公用程式。
ntfs-3g - 可協助掛接 NTFS 磁碟區的套件。
通知會顯示在終端機中,通知您已成功安裝套件。
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
執行資料箱磁碟解除鎖定工具,並提供從 Azure 入口網站擷取的通行金鑰。 選擇性地指定要解除鎖定的 BitLocker 加密序號清單。 通行金鑰和序號應該包含在單引號內,如下所示。
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
下列範例輸出確認磁碟區已成功解除鎖定。 掛接點也會針對可在其中複製資料的磁碟區顯示。
請針對日後任何磁碟重新插入重複解除鎖定步驟。 使用 help 命令,取得資料箱磁碟解除鎖定工具的其他協助。
sudo //DataBoxDiskUnlock /Help
範例輸出如下所示。
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
將磁碟解除鎖定之後,您可以移至掛接點並檢視磁碟的內容。 您現在已準備好將資料複製到 BlockBlob 或 PageBlob 資料夾。
將必要資料複製到磁碟之後,務必使用下列命令來安全地卸載和移除磁碟。
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2'
下列範例輸出確認已成功卸載磁碟區。
打開磁碟包裝並使用內含的纜線將磁碟連接到用戶端電腦。
在您用來複製資料的相同電腦上,下載並解壓縮資料箱磁碟工具組。
或
解除鎖定 Windows 用戶端上的磁碟,在相同電腦上以系統管理員身分,開啟 [命令提示字元] 視窗或執行 Windows PowerShell:
若要解除鎖定 Linux 用戶端上的磁碟,請開啟終端機。 移至您下載軟體的資料夾。 輸入下列命令來變更檔案權限,以便執行這些檔案:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
執行指令碼以安裝所有必要的二進位檔。
sudo ./DataBoxDiskUnlock_Prep.sh
執行資料箱磁碟解除鎖定工具。 在 Azure 入口網站中的 [一般] > [裝置詳細資料] 取得通行金鑰,並在此處提供。 選擇性地指定單引號內要解除鎖定的 BitLocker 加密磁碟區清單。
sudo ./DataBoxDiskUnlock /PassKey:'<passkey>'
請針對日後任何磁碟重新插入重複解除鎖定步驟。 如果您需要資料箱磁碟解除鎖定工具的說明,請使說明命令。
將磁碟解除鎖定之後,您就可以檢視磁碟的內容。
如需有關如何設定及解除鎖定磁碟的詳細資訊,請前往設定資料箱磁碟。
下一步
在本教學課程中,您已了解 Azure 資料箱磁碟的相關主題,像是:
- 打開資料箱磁碟的包裝
- 連接到磁碟並取得通行金鑰
- 將 Windows 用戶端上的磁碟解除鎖定
- 將 Linux 用戶端上的磁碟解除鎖定
請前進到下一個教學課程,以了解如何複製資料箱磁碟上的資料。
