Używanie funkcji Azure Disk Encryption z sekwencjonowaniem rozszerzeń w zestawie skalowania maszyn wirtualnych

Ważne

Usługa Azure Disk Encryption ma zostać wycofana 15 września 2028 r. Do tej pory można nadal korzystać z usługi Azure Disk Encryption bez zakłóceń. 15 września 2028 r. obciążenia z obsługą programu ADE będą nadal działać, ale zaszyfrowane dyski nie będą mogły zostać odblokowane po ponownym uruchomieniu maszyny wirtualnej, co spowoduje przerwy w działaniu usługi.

Użyj szyfrowania na hoście dla nowych maszyn wirtualnych. Wszystkie maszyny wirtualne z obsługą programu ADE (w tym kopie zapasowe) muszą migrować do szyfrowania na hoście przed datą wycofania, aby uniknąć przerw w działaniu usługi. Aby uzyskać szczegółowe informacje, zobacz Migrowanie z usługi Azure Disk Encryption do szyfrowania na hoście .

Rozszerzenia, takie jak szyfrowanie dysków platformy Azure, można dodać do zestawu skalowania maszyn wirtualnych platformy Azure w określonej kolejności. W tym celu użyj sekwencjonowania rozszerzeń.

Ogólnie rzecz biorąc, szyfrowanie powinno być stosowane do dysku:

Po rozszerzeniach lub skryptach niestandardowych przygotowujących dyski lub woluminy.
Przed rozszerzeniami lub skryptami niestandardowymi, które uzyskują dostęp lub używają danych na zaszyfrowanych dyskach lub woluminach.

W obu przypadkach właściwość provisionAfterExtensions określa, które rozszerzenie należy dodać później w sekwencji.

Przykładowe szablony platformy Azure

Jeśli chcesz zastosować Azure Disk Encryption po innym rozszerzeniu, umieść właściwość provisionAfterExtensions w bloku rozszerzenia AzureDiskEncryption.

Oto przykład użycia polecenia "CustomScriptExtension", skrypt programu PowerShell, który inicjuje i formatuje dysk systemu Windows, a następnie polecenie "AzureDiskEncryption":

"virtualMachineProfile": {
  "extensionProfile": {
    "extensions": [
      {
        "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
        "name": "CustomScriptExtension",
        "location": "[resourceGroup().location]",
        "properties": {
          "publisher": "Microsoft.Compute",
          "type": "CustomScriptExtension",
          "typeHandlerVersion": "1.9",
          "autoUpgradeMinorVersion": true,
          "forceUpdateTag": "[parameters('forceUpdateTag')]",
          "settings": {
            "fileUris": [
              "https://raw.githubusercontent.com/Azure-Samples/compute-automation-configurations/master/ade-vmss/FormatMBRDisk.ps1"
            ]
          },
          "protectedSettings": {
           "commandToExecute": "powershell -ExecutionPolicy Unrestricted -File FormatMBRDisk.ps1"
          }
        }
      },
      {
        "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
        "name": "AzureDiskEncryption",
        "location": "[resourceGroup().location]",
        "properties": {
          "provisionAfterExtensions": [
            "CustomScriptExtension"
          ],
          "publisher": "Microsoft.Azure.Security",
          "type": "AzureDiskEncryption",
          "typeHandlerVersion": "2.2",
          "autoUpgradeMinorVersion": true,
          "forceUpdateTag": "[parameters('forceUpdateTag')]",
          "settings": {
            "EncryptionOperation": "EnableEncryption",
            "KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
            "KeyVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
            "KekVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
            "VolumeType": "[parameters('volumeType')]",
            "SequenceVersion": "[parameters('sequenceVersion')]"
          }
        }
      },
    ]
  }
}

Aby zastosować szyfrowanie dysków Azure przed innym rozszerzeniem, umieść właściwość provisionAfterExtensions w bloku tego rozszerzenia, które ma być zastosowane później.

Oto przykład użycia polecenia "AzureDiskEncryption", po którym następuje "VMDiagnosticsSettings", rozszerzenie zapewniające możliwości monitorowania i diagnostyki na maszynie wirtualnej platformy Azure opartej na systemie Windows:

"virtualMachineProfile": {
  "extensionProfile": {
    "extensions": [
      {
        "name": "AzureDiskEncryption",
        "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
        "location": "[resourceGroup().location]",
        "properties": {
          "publisher": "Microsoft.Azure.Security",
          "type": "AzureDiskEncryption",
          "typeHandlerVersion": "2.2",
          "autoUpgradeMinorVersion": true,
          "forceUpdateTag": "[parameters('forceUpdateTag')]",
          "settings": {
            "EncryptionOperation": "EnableEncryption",
            "KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
            "KeyVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
            "KekVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
            "VolumeType": "[parameters('volumeType')]",
            "SequenceVersion": "[parameters('sequenceVersion')]"
          }
        }
      },
      { 
        "name": "Microsoft.Insights.VMDiagnosticsSettings", 
        "type": "extensions", 
        "location": "[resourceGroup().location]", 
        "apiVersion": "2016-03-30", 
        "dependsOn": [ 
          "[concat('Microsoft.Compute/virtualMachines/myVM', copyindex())]" 
        ], 
        "properties": { 
          "provisionAfterExtensions": [
            "AzureDiskEncryption"
          ],
        "publisher": "Microsoft.Azure.Diagnostics", 
          "type": "IaaSDiagnostics", 
          "typeHandlerVersion": "1.5", 
          "autoUpgradeMinorVersion": true, 
          "settings": { 
            "xmlCfg": "[base64(concat(variables('wadcfgxstart'), 
            variables('wadmetricsresourceid'), 
            concat('myVM', copyindex()),
            variables('wadcfgxend')))]", 
            "storageAccount": "[variables('storageName')]" 
          }, 
          "protectedSettings": { 
            "storageAccountName": "[variables('storageName')]", 
            "storageAccountKey": "[listkeys(variables('accountid'), 
              '2015-06-15').key1]", 
            "storageAccountEndPoint": "https://core.windows.net" 
          } 
        } 
      },
    ]
  }
}

Aby uzyskać bardziej szczegółowy szablon, zobacz:

Zastosuj rozszerzenie Azure Disk Encryption po niestandardowym skrypcie powłoki, który formatuje dysk (Linux): deploy-extseq-linux-ADE-after-customscript.json

Dalsze kroki

Dowiedz się więcej o sekwencjonowaniu rozszerzeń: wdrożenie rozszerzenia sekwencji w skalowanych zestawach maszyn wirtualnych.
Dowiedz się więcej o właściwości provisionAfterExtensions: Źródło odniesienia do szablonów Microsoft.Compute virtualMachineScaleSets/extensions.
Usługa Azure Disk Encryption dla zestawów skalowania maszyn wirtualnych
Szyfrowanie zestawów skalowania maszyn wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure
Szyfrowanie zestawów skalowania maszyn wirtualnych przy użyciu programu Azure PowerShell
Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-12-03

Udostępnij przez

Używanie funkcji Azure Disk Encryption z sekwencjonowaniem rozszerzeń w zestawie skalowania maszyn wirtualnych

Przykładowe szablony platformy Azure

Dalsze kroki

Sprzężenie zwrotne

Dodatkowe źródła