重要
Azure 磁碟加密預定於 2028 年 9 月 15 日退休。 在此之前,您可以繼續使用 Azure 磁碟加密,不會中斷。 2028 年 9 月 15 日,啟用 ADE 的工作負載仍可繼續運行,但加密磁碟在虛擬機重啟後將無法解鎖,導致服務中斷。
為新的虛擬機器使用主機端加密。 所有啟用 ADE 的虛擬機(包括備份)必須在退休日前遷移至主機加密,以避免服務中斷。 詳情請參見「 從 Azure 磁碟加密遷移到主機加密 」。
適用於:✔️ Windows VM ✔️ 彈性擴展集
Azure CLI 可用來從命令列或在指令碼中建立和管理 Azure 資源。 本快速入門示範如何使用 Azure CLI 建立和加密 Windows Server 2016 虛擬機器 (VM)。
如果您沒有 Azure 帳戶,請在開始之前建立 免費帳戶 。
必要條件
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱開始使用 Azure Cloud Shell。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱 使用 Azure CLI 向 Azure 進行驗證。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能的詳細資訊,請參閱 使用和管理 Azure CLI 的擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
- 本文需要 2.0.30 版或更新版本的 Azure CLI。 如果您是使用 Azure Cloud Shell,就已安裝最新版本。
建立資源群組
使用 az group create 命令來建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。 下列範例會在 eastus 位置建立名為 myResourceGroup 的資源群組:
az group create --name myResourceGroup --location eastus
建立虛擬機器
使用 az vm create 建立 VM。 下列範例會建立名為 myVM 的 VM。 此範例會以 azureuser 作為系統管理使用者名稱並以 myPassword12 作為密碼。
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image win2016datacenter \
--admin-username azureuser \
--admin-password myPassword12
建立虛擬機器和支援資源需要幾分鐘的時間。 下列範例輸出顯示 VM 建立作業成功。
{
"fqdns": "",
"id": "/subscriptions/<guid>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
"location": "eastus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.0.4",
"publicIpAddress": "52.174.34.95",
"resourceGroup": "myResourceGroup"
}
建立為加密金鑰設定的金鑰保存庫
Azure 磁碟加密會將其加密金鑰儲存在 Azure Key Vault 中。 使用 az keyvault create 建立金鑰保存庫。 若要讓金鑰保存庫儲存加密金鑰,請使用 --enabled-for-disk-encryption 參數。
重要
每個金鑰保存庫必須有唯一的名稱。 此範例會建立名為 myKV 的金鑰保存庫,但您必須為自己的金鑰保存庫命名不同名稱。
az keyvault create --name "myKV" --resource-group "myResourceGroup" --location eastus --enabled-for-disk-encryption
將虛擬機器加密
使用 az vm encryption 加密您的 VM,提供您唯一的金鑰保存庫名稱給 --disk-encryption-keyvault 參數。
az vm encryption enable -g MyResourceGroup --name MyVM --disk-encryption-keyvault myKV
您可以確認您的 VM 上啟用加密az vm show
az vm encryption show --name MyVM -g MyResourceGroup
您也會在傳回的輸出中看到下列文字:
"EncryptionOperation": "EnableEncryption"
清除資源
若不再需要,您可以使用 az group delete 命令來移除資源群組、VM 和金鑰保存庫。
az group delete --name myResourceGroup
下一步
在本快速入門中,您已經建立虛擬機器、建立為加密金鑰啟用的金鑰保存庫,並加密 VM。 繼續閱讀下一篇文章,以深入了解 IaaS VM 的 Azure 磁碟加密先決條件。