Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Visão geral
O Azure Disk Encryption aproveita o subsistema dm-crypt no Linux para fornecer criptografia de disco completo em distribuições Linux do Azure selecionadas. Esta solução está integrada com o Azure Key Vault para gerir chaves e segredos de encriptação de disco.
Observação
Experimenta o VM assist para diagnósticos mais rápidos. Recomendamos que execute o VM assist para Windows ou o VM assist para Linux. Essas ferramentas de diagnóstico baseadas em script ajudam você a identificar problemas comuns que afetam o Agente Convidado da VM do Azure e a integridade geral da VM.
Se estiver a experienciar problemas de desempenho com máquinas virtuais, antes de contactar o suporte, execute estas ferramentas.
Pré-requisitos
Para obter uma lista completa de pré-requisitos, consulte Azure Disk Encryption for Linux VMs, especificamente as seguintes seções:
- VMs e sistemas operacionais suportados
- Requisitos adicionais da VM
- Requisitos de rede
- Requisitos do armazenamento de chaves de encriptação
Esquema de extensão
Há duas versões do esquema de extensão para o Azure Disk Encryption (ADE):
- v1.1 - Um esquema recomendado mais recente que não usa as propriedades do Microsoft Entra.
- v0.1 - Um esquema mais antigo que requer propriedades do Microsoft Entra.
Para selecionar um esquema de destino, a typeHandlerVersion propriedade deve ser definida como igual à versão do esquema que você deseja usar.
Esquema v1.1: Sem ID do Microsoft Entra (recomendado)
O esquema v1.1 é recomendado e não requer propriedades do Microsoft Entra.
Observação
O DiskFormatQuery parâmetro foi preterido. Sua funcionalidade foi substituída pela opção EncryptFormatAll, que é a maneira recomendada de formatar discos de dados no momento da criptografia.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Esquema v0.1: com Microsoft Entra ID
O esquema 0.1 requer AADClientID e ou AADClientSecretAADClientCertificate.
Utilização de AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Utilização de AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valores de propriedade
Nota: Todos os valores de propriedade distinguem entre maiúsculas e minúsculas.
| Nome | Valor / Exemplo | Tipo de dados |
|---|---|---|
| apiVersion | 2019-07-01 | date |
| editor | Microsoft.Azure.Segurança | cadeia (de caracteres) |
| tipo | AzureDiskEncryptionForLinux | cadeia (de caracteres) |
| typeHandlerVersion | 1.1, 0.1 | int |
| (esquema 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (esquema 0.1) AADClientSecret | palavra-passe | cadeia (de caracteres) |
| (esquema 0.1) AADClientCertificate | thumbprint | cadeia (de caracteres) |
| (facultativo) (esquema 0.1) Frase secreta | palavra-passe | cadeia (de caracteres) |
| DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | Dicionário JSON |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | cadeia (de caracteres) |
| (opcional - padrão RSA-OAEP) KeyEncryptionAlgorithm | «RSA-OAEP», «RSA-OAEP-256», «RSA1_5» | cadeia (de caracteres) |
| KeyVaultURL | url | cadeia (de caracteres) |
| KeyVaultResourceId | url | cadeia (de caracteres) |
| (facultativo) KeyEncryptionKeyURL | url | cadeia (de caracteres) |
| (facultativo) KekVaultResourceId | url | cadeia (de caracteres) |
| (facultativo) SequenceVersion | identificador único | cadeia (de caracteres) |
| VolumeType | SO, Dados, Todos | cadeia (de caracteres) |
Implementação de modelos
Para obter um exemplo de implantação de modelo com base no esquema v1.1, consulte o Modelo de Início Rápido do Azure encrypt-running-linux-vm-without-aad.
Para obter um exemplo de implantação de modelo com base no esquema v0.1, consulte Azure Quickstart Template encrypt-running-linux-vm.
Advertência
- Se já tiver utilizado o Azure Disk Encryption com o Microsoft Entra ID para encriptar uma VM, terá de continuar a utilizar esta opção para encriptar a VM.
- Ao encriptar os volumes do SO Linux, a VM deverá ser considerada indisponível. Recomendamos vivamente evitar inícios de sessão SSH enquanto a encriptação está a decorrer para evitar problemas que bloqueiem ficheiros abertos que precisem de ser acedidos durante o processo de encriptação. Para verificar o progresso, use o cmdlet Get-AzVMDiskEncryptionStatus PowerShell ou o comando vm encryption show CLI. Este processo deve demorar algumas horas para um volume de SO de 30 GB, mais tempo adicional para encriptar os volumes de dados. O tempo de encriptação do volume de dados será proporcional ao tamanho e à quantidade dos volumes de dados; a
encrypt format allopção é mais rápida do que a encriptação no local, mas resultará na perda de todos os dados nos discos. - A desativação da encriptação nas VMs do Linux só é suportada para os volumes de dados. Não será suportada em volumes de dados ou de SO se o volume de SO tiver sido encriptado.
Observação
Além disso, se VolumeType o parâmetro for definido como Todos, os discos de dados serão criptografados somente se estiverem montados corretamente.
Solução de problemas e suporte
Solucionar problemas
Para solucionar problemas, consulte o guia de solução de problemas do Azure Disk Encryption.
Apoio
Se precisar de mais ajuda em qualquer ponto deste artigo, entre em contato com os especialistas do Azure nos fóruns MSDN Azure e Stack Overflow.
Como alternativa, você pode registrar um incidente de suporte do Azure. Vá para Suporte do Azure e selecione Obter suporte. Para obter informações sobre como usar o Suporte do Azure, leia as Perguntas frequentes de Suporte do Microsoft Azure.
Próximos passos
- Para obter mais informações sobre extensões de VM, consulte Extensões de máquina virtual e recursos para Linux.
- Para obter mais informações sobre o Azure Disk Encryption para Linux, consulte Máquinas virtuais Linux.