這很重要
Azure 磁碟加密預定於 2028 年 9 月 15 日退休。 在此之前,您可以繼續使用 Azure 磁碟加密,不會中斷。 2028 年 9 月 15 日,啟用 ADE 的工作負載仍可繼續運行,但加密磁碟在虛擬機重啟後將無法解鎖,導致服務中斷。
為新的虛擬機器使用主機端加密。 所有啟用 ADE 的虛擬機(包括備份)必須在退休日前遷移至主機加密,以避免服務中斷。 詳情請參見「 從 Azure 磁碟加密遷移到主機加密 」。
適用於:✔️ Linux 虛擬機 ✔️ 彈性規模設定
Azure PowerShell 模組可用來從 PowerShell 命令列或在指令碼中建立和管理 Azure 資源。 本快速入門說明如何使用 Azure PowerShell 模組來建立 Linux 虛擬機(VM)、建立用於儲存加密密鑰的 Key Vault,以及加密 VM。 本快速入門使用 Canonical 的 Ubuntu 16.04 LTS 市集映像,並設定 VM 大小為 Standard_D2S_V3。 不過,可以使用任何 ADE 支援的 Linux 映像版本 ,而不是 Ubuntu VM。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
建立資源群組
使用 New-AzResourceGroup 來建立 Azure 資源群組。 資源群組是用來部署和管理 Azure 資源的邏輯容器:
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
建立虛擬機
使用 New-AzVM 建立 Azure 虛擬機,並將其傳遞至您在上一個步驟中建立的 VM 組態物件。
$cred = Get-Credential
New-AzVM -Name MyVm -Credential $cred -ResourceGroupName MyResourceGroup -Image Canonical:UbuntuServer:18.04-LTS:latest -Size Standard_D2S_V3
可能需要幾分鐘的時間才能部署好 VM。
建立為加密金鑰設定的金鑰保存庫
Azure 磁碟加密會將其加密金鑰儲存在 Azure Key Vault 中。 使用 New-AzKeyvault 建立金鑰保存庫。 若要啟用金鑰保存庫來儲存加密金鑰,請使用 -EnabledForDiskEncryption 參數。
這很重要
每個金鑰保存庫都必須具有跨 Azure 唯一的名稱。 在下列範例中,將<your-unique-keyvault-name>取代為您選擇的名稱。
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location EastUS -EnabledForDiskEncryption
將虛擬機器加密
利用 Set-AzVmDiskEncryptionExtension 將您的 VM 加密。
Set-AzVmDiskEncryptionExtension 需要從您的金鑰保管庫物件中獲取一些值。 您可以將金鑰保存庫的唯一名稱傳遞至 Get-AzKeyvault,以取得這些值。
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -SkipVmBackup -VolumeType All
幾分鐘后,程式會傳回:
RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
True OK OK
您可以執行 Get-AzVmDiskEncryptionStatus 以驗證加密程序。
Get-AzVmDiskEncryptionStatus -VMName MyVM -ResourceGroupName MyResourceGroup
開啟加密時,您會在傳回的輸出中看到此資訊:
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : OS disk encryption started
清理資源
當不再需要時,您可以使用 Remove-AzResourceGroup 命令來移除資源群組、VM 及所有相關資源:
Remove-AzResourceGroup -Name "myResourceGroup"
後續步驟
在本快速入門中,您建立了一個虛擬機、建立了一個啟用加密密鑰管理功能的 Key Vault,並加密了該虛擬機。 請前進到下一篇文章,以深入瞭解適用於Linux VM的 Azure 磁碟加密。