Udostępnij przez

Azure Disk Encryption dla systemu Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Przegląd

Usługa Azure Disk Encryption korzysta z podsystemu dm-crypt w systemie Linux w celu zapewnienia pełnego szyfrowania dysków w wybranych dystrybucjach systemu Linux na platformie Azure. To rozwiązanie jest zintegrowane z usługą Azure Key Vault w celu zarządzania kluczami szyfrowania dysków i wpisami tajnymi.

Uwaga

Wypróbuj pomoc maszyny wirtualnej, aby uzyskać szybszą diagnostykę. Zalecamy uruchomienie asysty maszyny wirtualnej dla systemu Windows lub asystenta maszyny wirtualnej dla systemu Linux. Te narzędzia diagnostyczne oparte na skryptach ułatwiają identyfikowanie typowych problemów, które mają wpływ na agenta gościa maszyny wirtualnej platformy Azure i ogólną kondycję maszyny wirtualnej.

Jeśli występują problemy z wydajnością maszyn wirtualnych, przed skontaktowaniem się z pomocą techniczną uruchom te narzędzia.

Wymagania wstępne

Aby uzyskać pełną listę wymagań wstępnych, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux, w szczególności w następujących sekcjach:

Schemat rozszerzenia

Istnieją dwie wersje schematu rozszerzenia dla usługi Azure Disk Encryption (ADE):

  • Wersja 1.1 — nowszy zalecany schemat, który nie korzysta z właściwości Entra firmy Microsoft.
  • v0.1 — starszy schemat, który wymaga właściwości Microsoft Entra.

Aby wybrać schemat docelowy, właściwość typeHandlerVersion musi być ustawiona na wersję schematu, którą chcesz użyć.

Schemat w wersji 1.1 jest zalecany i nie wymaga właściwości Microsoft Entra.

Uwaga

Parametr DiskFormatQuery jest przestarzały. Jego funkcjonalność została zastąpiona opcją EncryptFormatAll, która jest zalecanym sposobem formatowania dysków danych w czasie szyfrowania.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schemat w wersji 0.1: z identyfikatorem Entra firmy Microsoft

Schemat 0.1 wymaga elementu AADClientID oraz jednego z elementów: AADClientSecret albo AADClientCertificate.

Korzystanie z AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Korzystanie z AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Wartości właściwości

Uwaga: w przypadku wszystkich wartości właściwości jest rozróżniana wielkość liter.

Nazwa Wartość / przykład Typ danych
apiVersion 2019-07-01 date
wydawca Microsoft.Azure.Security ciąg
typ AzureDiskEncryptionForLinux ciąg
typeHandlerVersion 1.1, 0.1 int
(Schemat 0.1) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx przewodnik
(Schemat 0.1) AADClientSecret hasło ciąg
(Schemat 0.1) AADClientCertificate odcisk palca ciąg
(opcjonalnie) (Schemat 0.1) Hasło hasło ciąg
DiskFormatQuery {"dev_path":"","name":"","file_system":""} Słownik JSON
EncryptionOperation EnableEncryption (Włącz szyfrowanie), EnableEncryptionFormatAll (Włącz szyfrowanie dla wszystkich formatów) ciąg
(opcjonalnie — domyślna RSA-OAEP ) KeyEncryptionAlgorithm "RSA-OAEP", "RSA-OAEP-256", "RSA1_5" ciąg
KeyVaultURL url ciąg
KeyVaultResourceId url ciąg
(opcjonalnie) KeyEncryptionKeyURL url ciąg
(opcjonalnie) KekVaultResourceId url ciąg
(opcjonalnie) SequenceVersion unikalny identyfikator ciąg
VolumeType System operacyjny, dane, wszystkie ciąg

Template deployment

Aby uzyskać przykład wdrożenia szablonu opartego na schemacie w wersji 1.1, zobacz Szablon szybkiego startu platformy Azure encrypt-running-linux-vm-without-aad.

Aby zapoznać się z przykładem wdrożenia szablonu na podstawie schematu w wersji 0.1, zobacz Szablon szybkiego startu platformy Azure encrypt-running-linux-vm.

Ostrzeżenie

  • Jeśli wcześniej maszynę wirtualną zaszyfrowano za pomocą usługi Azure Disk Encryption z usługą Microsoft Entra ID, należy nadal używać tej opcji do szyfrowania maszyny wirtualnej.
  • Podczas szyfrowania woluminów systemu operacyjnego Linux maszyna wirtualna powinna być uznawana za niedostępną. Zdecydowanie zalecamy unikanie logowań przy użyciu protokołu SSH podczas szyfrowania w toku, aby uniknąć problemów z blokowaniem otwartych plików, do których będzie konieczne uzyskiwanie dostępu podczas procesu szyfrowania. Aby sprawdzić postęp, użyj cmdlet Get-AzVMDiskEncryptionStatus programu PowerShell lub polecenia vm encryption show CLI. Ten proces może potrwać kilka godzin w przypadku wolumin systemu operacyjnego o pojemności 30 GB oraz zająć dodatkowy czas na szyfrowanie woluminów danych. Czas szyfrowania woluminu danych będzie proporcjonalny do rozmiaru i ilości woluminów danych; encrypt format all opcja jest szybsza niż szyfrowanie w miejscu, ale spowoduje utratę wszystkich danych na dyskach.
  • Wyłączanie szyfrowania na maszynach wirtualnych z systemem Linux jest obsługiwane tylko w przypadku woluminów danych. Nie jest obsługiwane w przypadku danych lub woluminów systemu operacyjnego, jeśli wolumin systemu operacyjnego został zaszyfrowany.

Uwaga

Ponadto jeśli VolumeType parametr jest ustawiony na Wartość Wszystkie, dyski danych będą szyfrowane tylko wtedy, gdy zostaną prawidłowo zainstalowane.

Rozwiązywanie problemów i pomoc techniczna

Rozwiązywanie problemów

Aby uzyskać informacje na temat rozwiązywania problemów, zapoznaj się z przewodnikiem rozwiązywania problemów z usługą Azure Disk Encryption.

Wsparcie

Jeśli potrzebujesz więcej pomocy w dowolnym momencie tego artykułu, możesz skontaktować się z ekspertami platformy Azure na forach MSDN Azure i Stack Overflow.

Alternatywnie możesz zgłosić incydent do pomocy technicznej Azure. Przejdź do pomocy technicznej platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, przeczytaj często zadawane pytania dotyczące pomocy technicznej platformy Microsoft Azure.

Następne kroki

  • Last updated on