教學課程:解除封裝、連線和解除鎖定 Azure 資料箱磁碟
本文內容
重要
資料箱磁碟 的硬體加密支援目前適用於美國、歐洲和日本區域內的區域。
具有硬體加密的 Azure 資料箱磁碟需要 SATA III 連線。 不支援所有其他連線,包括USB。
警告
本文參考 CentOS,這是接近生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導 。
本教學課程說明如何解除封裝、連線及解除鎖定 Azure 資料箱磁碟。
在本教學課程中,您會了解如何:
解壓縮您的 資料箱磁碟
連線 磁碟並取得通行密鑰
解除鎖定 Windows 用戶端上的磁碟
解除鎖定 Linux 用戶端上的磁碟
解除封裝、連線和解除鎖定 Azure 資料箱磁碟
必要條件
在您開始前,請確定:
您已完成教學課程:訂購 Azure 資料箱磁碟 。
您已收到磁碟,入口網站中的作業狀態會更新為 已傳遞 。
您有用戶端電腦,您可以在其中安裝 資料箱磁碟 解除鎖定工具。 用戶端電腦必須:
解除封裝磁碟
執行下列步驟來解除封裝磁碟。
資料箱磁碟 會郵寄在小型貨箱中。 開啟方塊並移除其內容。 核取此方塊是否有 1 到 5 個固態硬碟(SSD)和每個磁碟的 USB 連接纜線。 檢查方塊中是否有任何竄改的證據,或任何其他明顯的損害。
如果貨箱遭到竄改或嚴重損壞,請勿開啟箱子。 請連絡 Microsoft 支援服務,以協助您評估磁碟是否處於良好的工作順序,以及是否需要寄送更換磁碟。
確認箱子有一個明袖,其中包含出貨卷標(目前卷標下)的退貨。 如果此標籤遺失或損壞,您一律可以從 Azure 入口網站 下載並列印新的標籤。
儲存箱子和包裝泡沫以退回磁碟。
連線 磁碟
重要
僅針對以Linux為基礎的作業系統支援及測試具有硬體加密的 Azure 資料箱磁碟。 若要使用 Windows OS 型裝置存取磁碟,請下載 資料箱磁碟 工具組 ,並執行 資料箱磁碟 SED 解除鎖定工具 。
使用隨附的 USB 纜線,將磁碟連線到執行支援版本的 Windows 或 Linux 計算機。 如需所支援操作系統版本的詳細資訊,請移至 Azure 資料箱磁碟 系統需求 。
擷取您的通行密鑰
在 Azure 入口網站 中,流覽至您的 資料箱磁碟 訂單。 流覽至 [一般>所有資源 ] 來搜尋它,然後選取您的 資料箱磁碟 訂單。 使用複製圖示來複製通行密鑰。 此複雜金鑰將用來解除鎖定磁碟。
資料箱磁碟 解除鎖定複雜金鑰
視您連線到 Windows 或 Linux 用戶端而定,解除鎖定磁碟的步驟會有所不同。
解除鎖定磁碟
執行下列步驟來連線和解除鎖定磁碟。
執行下列步驟來連線和解除鎖定磁碟。
在 Azure 入口網站 中,流覽至您的 資料箱磁碟 訂單。 流覽至 [一般>所有資源 ] 來搜尋它,然後選取您的 資料箱磁碟 訂單。
下載對應至 Windows 用戶端的 資料箱磁碟 工具組。 此工具組包含 3 個工具:資料箱磁碟 解除鎖定工具、資料箱磁碟 驗證工具,以及 資料箱磁碟 分割複製工具。
此程式只需要 資料箱磁碟 解除鎖定工具。 其餘工具將會用於後續步驟。
在您將用來複製數據的同一部計算機上擷取工具組。
開啟命令提示字元視窗,或以系統管理員身分在同一部計算機上執行 Windows PowerShell。
確認客戶端電腦符合數據箱解除鎖定工具的 作業系統需求。 在包含擷取 資料箱磁碟 工具組 的資料夾中執行系統檢查,如下列範例所示。
.\DataBoxDiskUnlock.exe /SystemCheck
下列範例輸出會確認客戶端電腦符合操作系統需求。
執行 DataBoxDiskUnlock.exe
,提供擷取您的通行密鑰一節中 取得的通行密鑰 。 傳遞金鑰會提交為參數值, Passkey
如下列範例所示。
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
成功的回應包含指派給磁碟的驅動器號,如下列範例輸出所示。
針對任何未來的磁碟重新插入重複解除鎖定步驟。 如果您需要 資料箱磁碟 解除鎖定工具的協助,請使用 help
命令,如下列範例程式代碼和範例輸出所示。
.\DataBoxDiskUnlock.exe /help
解除鎖定磁碟之後,您可以檢視磁碟的內容。
如果您在解除鎖定磁碟時遇到任何問題,請參閱如何 針對解除鎖定問題 進行疑難解答。
執行下列步驟,以在以 Linux 為基礎的電腦上連線和解除鎖定硬體加密的數據箱磁碟。
信任的平台模組 (TPM) 必須在以 SATA 為基礎的磁碟驅動器的 Linux 系統上啟用。 若要啟用 TPM,請編輯 GRUB 組態來設定 libata.allow_tpm
為 1
,如下列散發版本特定範例所示。 如需詳細資訊,請參閱位於 https://github.com/Drive-Trust-Alliance/sedutil/wiki 的 Drive-Trust-Alliance public Wiki。
警告
在裝置上啟用 TPM 可能需要重新啟動。
下列範例包含 reboot
命令。 在執行腳本之前,請確定不會遺失任何數據。
使用下列命令來啟用 CentOS 的 TPM。
sudo nano /etc/default/grub
下。 手動將 「libata.allow_tpm=1」 新增至 grub 命令行自變數。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
針對 BIOS 型系統: grub2-mkconfig -o /boot/grub2/grub.cfg
針對以 UEFI 為基礎的系統: grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
reboot
最後,藉由檢查開機映射來驗證 TPM 設定是否正確設定。
cat /proc/cmdline
使用下列命令來啟用Ubuntu/Debian的 TPM。
sudo nano /etc/default/grub
接下來,手動將 「libata.allow_tpm=1」 新增至 grub 命令行自變數。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
更新 GRUB 並重新啟動。
sudo update-grub
reboot
最後,檢查開機映像來驗證 TPM 設定是否已正確設定。
cat /proc/cmdline
---
下載 資料箱磁碟 工具組 。 將 資料箱磁碟 解除鎖定公用程式 解壓縮並複製到您電腦上的本機路徑。
下載 SEDUtil 。 如需詳細資訊,請流覽 Drive-Trust-Alliance public Wiki 。
擷取 SEDUtil
至電腦上的本機路徑,並使用下列範例建立公用程式路徑的符號連結。 或者,您可以將公用程式路徑新增至 PATH
環境變數。
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
命令 sedutil-cli –scan
會列出連線到伺服器的所有磁碟驅動器。 命令與無從驗證無關。
sudo sedutil-cli --scan
下列範例輸出會確認驗證已順利完成。
您可以使用下列命令來識別 Azure 磁碟。 您可以使用下列命令來驗證磁碟區的磁碟序號。
sedutil-cli --query <volume>
從上一個步驟中擷取的Linux工具組執行 資料箱磁碟解除鎖定公用程式 。 提供您從 [連線] 區段取得之 Azure 入口網站 的通行密鑰。 您可以選擇性地指定要解除鎖定的 BitLocker 加密磁碟區清單。 複雜密鑰和磁碟區清單應在單引號內指定,如下列範例所示。
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
下列範例輸出指出磁碟區已成功解除鎖定。 您也可以針對可複製資料的磁碟區顯示裝入點。
重要
針對任何未來的磁碟重新插入,重複步驟來解除鎖定磁碟。
如果您需要 資料箱磁碟 解除鎖定公用程式的額外協助,您可以使用說明參數,如下列範例所示。
sudo ./DataBoxDiskUnlock /Help
下圖顯示範例輸出。
解除鎖定磁碟之後,您可以移至裝入點並檢視磁碟的內容。 您現在已準備好根據所需的目的地資料類型將資料複製到資料夾。
將數據複製到磁碟之後,請務必使用下列命令安全地卸除和移除磁碟。
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'>
/Unmount /SED
下列範例輸出會確認磁碟區已成功卸除。
您可以使用支援的作業系統連線到 Windows 電腦,以驗證磁碟上的資料。 請務必先檢閱 Windows 作業系統的 OS 需求 ,再將磁碟連線到本機電腦。
執行下列步驟,以使用 Windows 計算機解除鎖定自我加密磁碟。
下載適用於 Windows 用戶端的 資料箱磁碟 工具組 ,並將其解壓縮至相同的計算機。 雖然工具組包含四個工具,但只有 資料箱 SED 解除鎖定工具 會用於硬體加密磁碟。
連線 您的 資料箱磁碟 Windows 電腦上可用的 SATA 3 連線。
使用命令提示字元或 PowerShell,執行下列命令來解除鎖定自我加密磁碟。
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
下列範例輸出會確認磁碟已成功解除鎖定。
在退出磁碟驅動器之前,請務必先安全地移除磁碟驅動器。
如果您在解除鎖定磁碟時遇到問題,請參閱 針對解除鎖定問題 進行疑難解答一文。
執行下列步驟,以在以 Linux 為基礎的電腦上連線並解除鎖定軟體加密的數據箱磁碟。
在 Azure 入口網站 中,移至 [一般>裝置] 詳細數據 。
下載 資料箱磁碟 工具組 。 擷取並複製 資料箱磁碟 解除鎖定公用程式 至電腦上的本機路徑。
瀏覽至包含 資料箱磁碟 工具組的資料夾。 在您的 Linux 用戶端上開啟終端機視窗,並變更檔案許可權以允許執行,如下列範例所示:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
chmod
執行命令之後,請執行 ls
命令來確認檔案許可權已變更,如下列範例輸出所示。
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
執行下列腳本以安裝 資料箱磁碟 解除鎖定二進位檔。 使用 sudo
以 root 身分執行命令。 通知會顯示在終端機中,通知您成功安裝。
sudo ./DataBoxDiskUnlock_Prep.sh
文本會驗證客戶端電腦是否正在執行支援的操作系統,如範例輸出所示。
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
輸入 y
以繼續安裝。 文稿會安裝下列套件:
epel-release - 包含下列三個套件的存放庫。
dislocker 和 fuse-dislocker - 用來解密 BitLocker 加密磁碟的公用程式。
ntfs-3g - 可協助掛接 NTFS 磁碟區的套件。
通知會顯示在終端機中,通知您已成功安裝套件。
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
執行 資料箱磁碟 解除鎖定工具,並提供從 Azure 入口網站 擷取的通行密鑰。 選擇性地指定要解除鎖定的 BitLocker 加密序號清單。 複雜金鑰和序號應該包含在單引號內,如下所示。
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
下列範例輸出會確認磁碟區已成功解除鎖定。 您也可以針對可複製資料的磁碟區顯示裝入點。
針對任何未來的磁碟重新插入重複解除鎖定步驟。 help
使用 命令取得 資料箱磁碟 解除鎖定工具的其他協助。
sudo //DataBoxDiskUnlock /Help
範例輸出如下所示。
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
解除鎖定磁碟之後,您可以移至裝入點並檢視磁碟的內容。 您現在已準備好將數據複製到 BlockBlob 或 PageBlob 資料夾。
將必要數據複製到磁碟之後,請務必使用下列命令安全地卸除和移除磁碟。
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2'
下列範例輸出會確認磁碟區已成功卸除。
將磁碟解壓縮,並使用內含纜線將磁碟連接到用戶端電腦。
在您將用來複製資料的同一部計算機上下載並解壓縮 資料箱磁碟 工具組。
或
若要解除鎖定 Windows 用戶端上的磁碟,請開啟命令提示字元視窗,或在相同電腦上以系統管理員身分執行 Windows PowerShell:
若要解除鎖定 Linux 用戶端上的磁碟,請開啟終端機。 移至您下載軟體的資料夾。 輸入下列命令來變更檔案許可權,以便您可以執行這些檔案:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
執行文稿以安裝所有必要的二進位檔。
sudo ./DataBoxDiskUnlock_Prep.sh
執行 資料箱磁碟 解除鎖定工具。 從 Azure 入口網站 中的一般>裝置詳細 數據取得通行密鑰,並在這裡提供。 選擇性地指定要解除鎖定之單引號內的 BitLocker 加密磁碟區清單。
sudo ./DataBoxDiskUnlock /PassKey:'<passkey>'
針對任何未來的磁碟重新插入重複解除鎖定步驟。 如果您需要 資料箱磁碟 解除鎖定工具的說明,請使用說明命令。
解除鎖定磁碟之後,您可以檢視磁碟的內容。
如需如何設定和解除鎖定磁碟的詳細資訊,請移至設定 資料箱磁碟 。
下一步
在本教學課程中,您已瞭解 Azure 資料箱磁碟 主題,例如:
解壓縮您的 資料箱磁碟
連線 磁碟並取得通行密鑰
解除鎖定 Windows 用戶端上的磁碟
解除鎖定 Linux 用戶端上的磁碟
請繼續進行下一個教學課程,以瞭解如何在 資料箱磁碟 上複製數據。