Azure Disk Encryption pro Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Přehled

Azure Disk Encryption využívá subsystém dm-crypt v Linuxu k zajištění úplného šifrování disků ve vybraných distribucích Azure Linuxu. Toto řešení je integrované se službou Azure Key Vault pro správu šifrovacích klíčů disků a tajných kódů.

Požadavky

Úplný seznam požadavků najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem, konkrétně v následujících částech:

• Podporované virtuální počítače a operační systémy
• Další požadavky na virtuální počítač
• Požadavky na síť
• Požadavky na úložiště šifrovacích klíčů

Schéma rozšíření

Pro Azure Disk Encryption (ADE) existují dvě verze schématu rozšíření:

• v1.1 – Novější doporučené schéma, které nepoužívá vlastnosti Microsoft Entra.
• v0.1 – starší schéma, které vyžaduje vlastnosti Microsoft Entra.

Chcete-li vybrat cílové schéma, musí být vlastnost nastavena na verzi schématu, typeHandlerVersion kterou chcete použít.

Schéma v1.1: Žádné ID Microsoft Entra (doporučeno)

Schéma verze 1.1 se doporučuje a nevyžaduje vlastnosti Microsoft Entra.

Poznámka:

Parametr DiskFormatQuery je zastaralý. Jeho funkce byla nahrazena možností EncryptFormatAll místo toho, což je doporučený způsob formátování datových disků v době šifrování.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schéma v0.1: s ID Microsoft Entra

Schéma 0.1 vyžaduje AADClientID nebo AADClientSecret AADClientCertificate.

Pomocí AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Pomocí AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Hodnoty vlastností

Poznámka: U všech hodnot vlastností se rozlišují malá a velká písmena.

Název	Hodnota / příklad	Datový typ
apiVersion	2019-07-01	datum
vydavatel	Microsoft.Azure.Security	string
type	AzureDiskEncryptionForLinux	string
typeHandlerVersion	1.1, 0.1	int
(Schéma 0.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(Schéma 0.1) AADClientSecret	Heslo	string
(Schéma 0.1) AADClientCertificate	otisk palce	string
(volitelné) (Schéma 0.1) Přístupové heslo	Heslo	string
DiskFormatQuery	{"dev_path":","name":",","file_system":"}	Slovník JSON
EncryptionOperation	EnableEncryption, EnableEncryptionFormatAll	string
(volitelné – výchozí RSA-OAEP ) KeyEncryptionAlgorithm	RSA-OAEP, RSA-OAEP-256, RSA1_5	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(volitelné) KeyEncryptionKeyURL	url	string
(volitelné) KekVaultResourceId	url	string
(volitelné) SequenceVersion	uniqueidentifier	string
VolumeType	Operační systém, data, vše	string

Nasazení šablon

Příklad nasazení šablony na základě schématu verze 1.1 najdete v šabloně Rychlého startu Azure encrypt-running-linux-vm-without-aad.

Příklad nasazení šablony na základě schématu v0.1 najdete v šabloně Azure Pro rychlý start encrypt-running-linux-vm.

Upozorňující

• Pokud jste virtuální počítač už dříve zašifrovali službou Azure Disk Encryption s Microsoft Entra ID, musíte k jeho šifrování dále používat tuto možnost.
• Při šifrování svazků s operačním systémem Linux bude potřeba virtuální počítač považovat za nedostupný. Během šifrování důrazně doporučujeme nepoužívat přihlášení SSH. Vyhnete se tak problémům se zablokováním otevřených souborů, ke kterým probíhající šifrování vyžaduje přístup. Pokud chcete zkontrolovat průběh, použijte rutinu PowerShellu Get-AzVMDiskEncryptionStatus nebo příkaz rozhraní příkazového řádku pro šifrování virtuálního počítače. U svazku s operačním systémem o velikosti 30 GB půjde o několikahodinový proces. A další čas bude vyžadovat šifrování datových svazků. Doba šifrování objemu dat bude úměrná velikosti a množství datových svazků; možnost encrypt format all je rychlejší než místní šifrování, ale způsobí ztrátu všech dat na discích.
• Zákaz šifrování je na virtuálních počítačích s Linuxem podporovaný jen u datových svazků. Zákaz není podporovaný u datových svazků ani u svazků s OS, pokud je zašifrovaný svazek operačního systému.

Poznámka:

VolumeType Pokud je parametr nastavený na Vše, datové disky se zašifrují jenom v případě, že jsou správně připojené.

Řešení potíží a podpora

Odstraňování potíží

Informace o řešení potíží najdete v průvodci odstraňováním potíží pro službu Azure Disk Encryption.

Technická podpora

Pokud potřebujete další pomoc v libovolném bodě tohoto článku, můžete kontaktovat odborníky na Azure na fórech MSDN Azure a Stack Overflow.

Případně můžete podat incident podpora Azure. Přejděte na podpora Azure a vyberte Získat podporu. Informace o používání podpory Azure najdete v nejčastějších dotazech k podpoře Microsoft Azure.

Další kroky

• Další informace o rozšířeních virtuálních počítačů najdete v tématu Rozšíření a funkce virtuálního počítače pro Linux.
• Další informace o službě Azure Disk Encryption pro Linux najdete v tématu Virtuální počítače s Linuxem.