Delen via

Migreren van Azure Disk Encryption naar versleuteling op host

Belangrijk

Azure Disk Encryption is gepland voor buitengebruikstelling op 15 september 2028. Tot die datum kunt u Azure Disk Encryption blijven gebruiken zonder onderbreking. Op 15 september 2028 blijven workloads met ADE-functionaliteit actief, maar versleutelde schijven kunnen niet worden ontgrendeld nadat de VM opnieuw is opgestart, wat leidt tot serviceonderbreking.

Gebruik versleuteling op de host voor nieuwe VM's. Alle ADE-VM's (inclusief back-ups) moeten vóór de buitengebruikstellingsdatum migreren naar versleuteling op de host om serviceonderbreking te voorkomen. Zie Migreren van Azure Disk Encryption naar versleuteling op de host voor meer informatie.

Dit artikel bevat stapsgewijze richtlijnen voor het migreren van uw virtuele machines van Azure Disk Encryption (ADE) naar versleuteling op de host. Voor het migratieproces moeten nieuwe schijven en VM's worden gemaakt, omdat in-place conversie niet wordt ondersteund.

Migratieoverzicht

Azure Disk Encryption (ADE) versleutelt gegevens binnen de VIRTUELE machine met BitLocker (Windows) of dm-crypt (Linux), terwijl versleuteling op host gegevens versleutelt op het hostniveau van de VIRTUELE machine zonder CPU-resources van de VM te verbruiken. Versleuteling op de host verbetert de standaardversleuteling aan de serverzijde (SSE) van Azure door end-to-end-versleuteling te bieden voor alle VM-gegevens, waaronder tijdelijke schijven, caches en gegevensstromen tussen berekening en opslag.

Zie Overzicht van opties voor beheerde schijfversleuteling en End-to-End-versleuteling inschakelen met behulp van versleuteling op de host voor meer informatie.

Migratiebeperkingen en overwegingen

Voordat u het migratieproces start, moet u rekening houden met deze belangrijke beperkingen en overwegingen die van invloed zijn op uw migratiestrategie:

  • Geen in-place migratie: U kunt ADE-versleutelde schijven niet rechtstreeks converteren naar versleuteling op de host. Voor migratie moeten nieuwe schijven en VM's worden gemaakt.

  • Beperking van linux-besturingssysteemschijven: het uitschakelen van ADE op Linux-besturingssysteemschijven wordt niet ondersteund. Voor Linux-VM's met met ADE versleutelde besturingssysteemschijven moet u een nieuwe VIRTUELE machine met een nieuwe besturingssysteemschijf maken.

  • Windows ADE-versleutelingspatronen: Op Windows-VM's kan Azure Disk Encryption alleen de besturingssysteemschijf of alle schijven (OS + gegevensschijven) versleutelen. Het is niet mogelijk om alleen gegevensschijven op Windows-VM's te versleutelen.

  • UDE-vlagpersistentie: schijven die zijn versleuteld met Azure Disk Encryption hebben een UDE-vlag (Unified Data Encryption) die blijft bestaan, zelfs na ontsleuteling. Zowel momentopnamen als schijfkopieën met de optie Kopiëren behouden deze UDE-vlag. Voor de migratie moeten nieuwe beheerde schijven worden gemaakt met behulp van de methode Upload en de VHD-blobgegevens worden gekopieerd, waardoor een nieuw schijfobject wordt gemaakt zonder metagegevens van de bronschijf.

  • Downtime vereist: voor het migratieproces is downtime van vm's vereist voor schijfbewerkingen en VM-recreatie.

  • Aan een domein gekoppelde VM's: als uw VM's deel uitmaken van een Active Directory-domein, zijn er meer stappen vereist:

    • De oorspronkelijke VM moet worden verwijderd uit het domein voordat deze wordt verwijderd
    • Nadat u de nieuwe virtuele machine hebt gemaakt, moet deze opnieuw worden gekoppeld aan het domein
    • Voor Virtuele Linux-machines kan domeindeelname worden gerealiseerd met behulp van Azure AD-extensies

    Zie Wat is Microsoft Entra Domain Services voor meer informatie?

Vereiste voorwaarden

Voordat u de migratie start:

  1. Maak een back-up van uw gegevens: maak back-ups van alle kritieke gegevens voordat u begint met het migratieproces.

  2. Test het proces: test indien mogelijk eerst het migratieproces op een niet-productie-VM.

  3. Versleutelingsbronnen voorbereiden: Zorg ervoor dat uw VM-grootte versleuteling op de host ondersteunt. De meeste huidige VM-grootten ondersteunen deze functie. Zie End-to-End-versleuteling inschakelen met behulp van versleuteling op de host voor meer informatie over vm-groottevereisten.

  4. Documentconfiguratie: Noteer uw huidige VM-configuratie, inclusief netwerkinstellingen, extensies en gekoppelde resources.

Migratiestappen

De volgende migratiestappen werken voor de meeste scenario's, met specifieke verschillen die voor elk besturingssysteem worden vermeld.

Belangrijk

Linux-VM's met versleutelde besturingssysteemschijven kunnen niet ter plaatse worden ontsleuteld. Voor deze VM's moet u een nieuwe VIRTUELE machine maken met een nieuwe besturingssysteemschijf en uw gegevens migreren. Zie de sectie Linux-VM's migreren met versleutelde besturingssysteemschijven nadat u het onderstaande algemene proces hebt bekeken.

Azure Disk Encryption uitschakelen

De eerste stap is het uitschakelen van de bestaande Azure Disk Encryption, indien mogelijk:

Nadat de ADE-opdracht is uitgeschakeld, wordt de vm-versleutelingsstatus in Azure Portal onmiddellijk gewijzigd in 'SSE + PMK'. Het daadwerkelijke ontsleutelingsproces op besturingssysteemniveau kost echter tijd en is afhankelijk van de hoeveelheid gegevens die is versleuteld. U moet controleren of ontsleuteling op besturingssysteemniveau is voltooid voordat u doorgaat met de volgende stap.

Voor Windows-VM's:

  • Open de opdrachtprompt als administrator en voer het volgende uit: manage-bde -status
  • Controleer of alle volumes de status "Volledig ontsleuteld" weergeven
  • Het ontsleutelingspercentage moet 100% weergeven voor alle versleutelde volumes

Voor Virtuele Linux-machines (alleen gegevensschijven):

  • Voer dit uit: sudo cryptsetup status /dev/mapper/<device-name>
  • Controleer of versleutelde apparaten niet meer actief zijn
  • Controleer met: lsblk om te bevestigen dat er geen versleutelde toewijzingen overblijven

Wacht totdat de ontsleuteling is voltooid voordat u doorgaat met schijfmigratie om de gegevensintegriteit te garanderen.

Nieuwe beheerde schijven maken

Maak nieuwe schijven die geen ADE-versleutelingsmetagegevens bevatten. Dit proces werkt voor zowel Windows- als Linux-VM's, met enkele specifieke overwegingen voor Linux-besturingssysteemschijven.

Belangrijk

U moet een offset van 512 bytes toevoegen bij het kopiëren van een beheerde schijf vanuit Azure. Dit komt doordat Azure de voettekst weglaat bij het rapporteren van de schijfgrootte. Het kopiëren mislukt als u dit niet doet. Het volgende script doet dit al voor u.

Als u een besturingssysteemschijf maakt, voegt u --hyper-v-generation <yourGeneration> toe aan az disk create.

# Set variables
sourceDiskName="MySourceDisk"
sourceRG="MyResourceGroup"
targetDiskName="MyTargetDisk"
targetRG="MyResourceGroup"
targetLocation="eastus"
# For OS disks, specify either "Windows" or "Linux"
# For data disks, omit the targetOS variable and --os-type parameter
targetOS="Windows"

# Get source disk size in bytes
sourceDiskSizeBytes=$(az disk show -g $sourceRG -n $sourceDiskName --query '[diskSizeBytes]' -o tsv)

# Create a new empty target disk with upload capability
az disk create -g $targetRG -n $targetDiskName -l $targetLocation --os-type $targetOS --for-upload --upload-size-bytes $(($sourceDiskSizeBytes+512)) --sku standard_lrs

# Generate SAS URIs for both disks
targetSASURI=$(az disk grant-access -n $targetDiskName -g $targetRG --access-level Write --duration-in-seconds 86400 --query [accessSas] -o tsv)

sourceSASURI=$(az disk grant-access -n $sourceDiskName -g $sourceRG --access-level Read --duration-in-seconds 86400 --query [accessSas] -o tsv)

# Copy the disk data using AzCopy
azcopy copy $sourceSASURI $targetSASURI --blob-type PageBlob

# Revoke SAS access when complete
az disk revoke-access -n $sourceDiskName -g $sourceRG

az disk revoke-access -n $targetDiskName -g $targetRG

Met deze methode worden nieuwe schijven gemaakt zonder de UDE-vlag (Azure Disk Encryption Metadata), wat essentieel is voor een schone migratie.

Een nieuwe VIRTUELE machine maken met versleuteling

Maak een nieuwe VIRTUELE machine met behulp van de zojuist gemaakte schijven met de gekozen versleutelingsmethode.

U kunt kiezen uit verschillende versleutelingsopties, afhankelijk van uw beveiligingsvereisten. Dit artikel bevat stappen voor het maken van een nieuwe VIRTUELE machine met versleuteling op de host. Dit is het meest voorkomende migratiepad. Andere versleutelingsopties worden behandeld in overzicht van opties voor beheerde schijfversleuteling.

Een nieuwe VIRTUELE machine maken met versleuteling op de host

Versleuteling op de host biedt het dichtstbijzijnde equivalent aan de dekking van Azure Disk Encryption en wordt behandeld in deze sectie.

Voor besturingssysteemschijven:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

Voor gegevensschijven:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

De nieuwe schijven controleren en configureren

Nadat u de nieuwe VIRTUELE machine met versleuteling op de host hebt gemaakt, moet u de schijven voor uw besturingssysteem controleren en configureren.

Voor Windows-VM's:

  • Controleer of schijfletters juist zijn toegewezen
  • Controleer of toepassingen toegang hebben tot de schijven correct
  • Toepassingen of scripts bijwerken die verwijzen naar specifieke schijf-id's

Voor Virtuele Linux-machines:

  • Bijwerken /etc/fstab met de nieuwe schijf-UUID's
  • Koppel de gegevensschijven aan de juiste koppelpunten
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

Voor Zowel Windows als Linux zijn mogelijk aanvullende configuratiestappen vereist die specifiek zijn voor uw toepassingen of workloads.

Versleuteling en opschonen controleren

Controleer of versleuteling op de host correct is geconfigureerd op zowel Windows- als Linux-VM's.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

Nadat u hebt bevestigd dat versleuteling op de host goed werkt:

  1. Vm-functionaliteit testen om ervoor te zorgen dat toepassingen correct werken
  2. Controleren of gegevens toegankelijk en intact zijn
  3. Verwijder de oorspronkelijke resources wanneer u tevreden bent met de migratie:
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Virtuele Linux-machines migreren met versleutelde besturingssysteemschijven

Omdat u versleuteling op Linux-besturingssysteemschijven niet kunt uitschakelen, verschilt het proces van Windows.

  1. Een nieuwe VIRTUELE machine maken met versleuteling op de host ingeschakeld

    az vm create \
  --resource-group "MyResourceGroup" \
  --name "MyVM-New" \
  --image "Ubuntu2204" \
  --encryption-at-host true \
  --admin-username "azureuser" \
  --generate-ssh-keys

  2. Voor opties voor gegevensmigratie:

    • Voor toepassingsgegevens: SCP, rsync of andere methoden voor bestandsoverdracht gebruiken om gegevens te kopiëren
    • Voor configuratie: Belangrijke configuratiebestanden en -instellingen repliceren
    • Voor complexe toepassingen: gebruik back-up-/herstelprocedures die geschikt zijn voor uw toepassingen
    # Example of using SCP to copy files from source to new VM
az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
  --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"

Nadat u de nieuwe VIRTUELE machine hebt gemaakt:

  1. De nieuwe VIRTUELE machine zo configureren dat deze overeenkomt met de oorspronkelijke omgeving

    • Dezelfde netwerkconfiguraties instellen
    • Dezelfde toepassingen en services installeren
    • Dezelfde beveiligingsinstellingen toepassen

  2. Test grondig voordat u de oorspronkelijke VM uit bedrijf gaat nemen

Deze aanpak werkt zowel voor Windows- als Linux-VM's, maar is vooral belangrijk voor Linux-VM's met versleutelde besturingssysteemschijven die niet ter plaatse kunnen worden ontsleuteld.

Zie Een VHD uploaden naar Azure en bestanden kopiëren naar een Virtuele Linux-machine met behulp van SCP voor hulp bij gegevensmigratie.

Overwegingen voor vm's die lid zijn van een domein

Als uw VM's lid zijn van een Active Directory-domein, zijn er aanvullende stappen vereist tijdens het migratieproces:

Premigratiedomeinstappen

  1. Lidmaatschap van documentdomein: het huidige domein, de organisatie-eenheid (OE) en eventuele speciale groepslidmaatschappen vastleggen
  2. Computeraccount opmerking: het computeraccount in Active Directory moet worden beheerd
  3. Back-up van domeinspecifieke configuraties: alle domeinspecifieke instellingen, groepsbeleid of certificaten opslaan

Domeinverwijderingsproces

  1. Verwijderen uit domein: Voordat u de oorspronkelijke VM verwijdert, verwijdert u deze uit het domein met behulp van een van de volgende methoden:

    • PowerShell-cmdlet Remove-Computer gebruiken in Windows
    • Het dialoogvenster Systeemeigenschappen gebruiken om te wijzigen in werkgroep
    • Het computeraccount handmatig verwijderen uit Active Directory: gebruikers en computers

  2. Active Directory opschonen: alle zwevende computeraccounts of DNS-vermeldingen verwijderen

Domein na migratie opnieuw deelnemen

  1. Nieuwe VM toevoegen aan domein: Na het maken van de nieuwe VM met versleuteling op de host:

    • Voor Windows: PowerShell-cmdlet of systeemeigenschappen gebruiken Add-Computer
    • Voor Linux: Azure AD-domeindeelnameextensie of handmatige configuratie gebruiken

  2. Domeininstellingen herstellen: domeinspecifieke configuraties, groepsbeleid of certificaten opnieuw toepassen

  3. Domeinfunctionaliteit verifiëren: domeinverificatie testen, toepassing voor groepsbeleid en toegang tot netwerkbronnen

Toevoegen aan Linux-domein

Voor Virtuele Linux-machines kunt u de AZURE AD Domain Services VM-extensie gebruiken:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Zie Wat is Microsoft Entra Domain Services voor meer informatie?

Belangrijke aandachtspunten voor domeinen

  • De nieuwe VM heeft een andere computer-SID, die van invloed kan zijn op sommige toepassingen
  • Kerberos-tickets en referenties in de cache moeten worden vernieuwd
  • Voor sommige domein-geïntegreerde toepassingen is mogelijk herconfiguratie vereist
  • Plannen voor mogelijk tijdelijk verlies van domeinservices tijdens migratie

Verificatie na migratie

Controleer na het voltooien van de migratie of versleuteling op de host correct werkt:

  1. Controleer de versleuteling bij de hoststatus: controleer of versleuteling op de host is ingeschakeld:

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

  2. Vm-functionaliteit testen: zorg ervoor dat uw toepassingen en services correct werken.

  3. Schijfversleuteling controleren: controleer of schijven correct zijn versleuteld:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState

  4. Prestaties bewaken: vergelijk de prestaties vóór en na de migratie om de verwachte verbeteringen te bevestigen.

Zie End-to-End-versleuteling inschakelen met behulp van versleuteling op de host voor meer informatie over versleutelingsverificatie.

Cleanup

Na een geslaagde migratie en verificatie:

  1. Oude VM verwijderen: de oorspronkelijke met ADE versleutelde VM verwijderen

  2. Oude schijven verwijderen: de oorspronkelijke versleutelde schijven verwijderen

  3. Key Vault-toegangsbeleid bijwerken: andere oplossingen voor schijfversleuteling maken gebruik van standaardsleutelkluisautorisatiemechanismen. Als u de Key Vault voor Azure Disk Encryption niet meer nodig hebt, werkt u het toegangsbeleid bij om de instelling voor speciale schijfversleuteling uit te schakelen:

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
  1. Resources opschonen: tijdelijke resources verwijderen die tijdens de migratie zijn gemaakt
  2. Updatedocumentatie: Werk uw infrastructuurdocumentatie bij zodat deze overeenkomt met de migratie naar versleuteling op de host

Veelvoorkomende problemen en oplossingen

VM-grootte biedt geen ondersteuning voor versleuteling op host

Oplossing: Controleer de lijst met ondersteunde VM-grootten en pas de grootte van uw VM indien nodig aan

DE VM kan niet worden gestart na de migratie

Oplossing: Controleer of alle schijven correct zijn gekoppeld en of de besturingssysteemschijf is ingesteld als de opstartschijf

Versleuteling op host niet ingeschakeld

Oplossing: Controleer of de VM is gemaakt met de --encryption-at-host true parameter en of uw abonnement deze functie ondersteunt

Prestatieproblemen blijven bestaan

Oplossing: Controleer of versleuteling op de host correct is ingeschakeld en of de VM-grootte de verwachte prestaties ondersteunt.

Volgende stappen

  • Last updated on