這很重要
Azure 磁碟加密預定於 2028 年 9 月 15 日退休。 在此之前,您可以繼續使用 Azure 磁碟加密,不會中斷。 2028 年 9 月 15 日,啟用 ADE 的工作負載仍可繼續運行,但加密磁碟在虛擬機重啟後將無法解鎖,導致服務中斷。
為新的虛擬機器使用主機端加密。 所有啟用 ADE 的虛擬機(包括備份)必須在退休日前遷移至主機加密,以避免服務中斷。 詳情請參見「 從 Azure 磁碟加密遷移到主機加密 」。
適用於:✔️ Linux 虛擬機 ✔️ 彈性規模設定
Azure CLI 可用來從命令列或在指令碼中建立和管理 Azure 資源。 本快速入門說明如何使用 Azure CLI 來建立和加密 Linux 虛擬機(VM)。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
如果您選擇在本機安裝和使用 Azure CLI,本快速入門會要求您執行 Azure CLI 2.0.30 版或更新版本。 執行 az --version 以尋找版本。 如果您需要安裝或升級,請參閱安裝 Azure CLI。
建立資源群組
使用 az group create 命令來建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。 下列範例會在 eastus 位置建立名為 myResourceGroup 的資源群組:
az group create --name "myResourceGroup" --location "eastus"
建立虛擬機
使用 az vm create 建立 VM。 下列範例會建立名為 myVM 的 VM。
az vm create \
--resource-group "myResourceGroup" \
--name "myVM" \
--image "Canonical:UbuntuServer:20.04-LTS:latest" \
--size "Standard_D2S_V3"\
--generate-ssh-keys
備註
您可以使用 任何 ADE 支援的 Linux 映像版本 ,而不是 Ubuntu VM。 請根據需要替換 Canonical:UbuntuServer:20.04-LTS:latest。
建立虛擬機器和支援資源需要幾分鐘的時間。 下列範例輸出顯示 VM 建立作業成功。
{
"fqdns": "",
"id": "/subscriptions/<guid>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
"location": "eastus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.0.4",
"publicIpAddress": "52.174.34.95",
"resourceGroup": "myResourceGroup"
}
建立為加密金鑰設定的金鑰保存庫
Azure 磁碟加密會將其加密金鑰儲存在 Azure Key Vault 中。 使用 az keyvault create 建立金鑰庫。 若要讓 Key Vault 儲存加密金鑰,請使用 --enabled-for-disk-encryption 參數。
這很重要
每個金鑰保存庫都必須具有跨 Azure 唯一的名稱。 以您所選的名稱取代 <your-unique-keyvault-name>。
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
將虛擬機器加密
使用 az vm encryption 對您的 VM 進行加密,並提供唯一的 Key Vault 名稱給 '--disk-encryption-keyvault' 參數。
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>"
一會兒之後,程式會傳回「已接受加密要求。 使用 'show' 命令來監視進度。」。 “show” 命令是 az vm show。
az vm encryption show --name "myVM" -g "MyResourceGroup"
啟用加密時,您會在傳回的輸出中看到「EnableEncryption」:
"EncryptionOperation": "EnableEncryption"
清理資源
若不再需要,您可以使用 az group delete 命令來移除資源群組、VM 和 Key Vault。
az group delete --name "myResourceGroup"
後續步驟
在本快速入門中,您已建立虛擬機、建立啟用了加密密鑰的金鑰保存庫,並加密了虛擬機。 請繼續進行下一篇文章,以深入瞭解適用於Linux VM的 Azure 磁碟加密。