Azure Disk Encryption-probleemoplossingsgids voor Linux-VM's

Van toepassing op: ✔️ Flexibele schaalsets voor Linux-VM's ✔️

Deze handleiding is bedoeld voor IT-professionals, informatiebeveiligingsanalisten en cloudbeheerders van wie organisaties Azure Disk Encryption gebruiken. Dit artikel is bedoeld voor het oplossen van problemen met betrekking tot schijfversleuteling.

Voordat u een van de onderstaande stappen uitvoert, moet u eerst controleren of de VM's die u probeert te versleutelen behoren tot de ondersteunde VM-grootten en -besturingssystemen en dat u aan alle vereisten hebt voldaan:

• Aanvullende vereisten voor VM's
• Netwerkvereisten
• Opslagvereisten voor versleutelingssleutels

Problemen met schijfversleuteling van Linux-besturingssysteem oplossen

Schijfversleuteling van het Linux-besturingssysteem (OS) moet het besturingssysteemstation ontkoppelen voordat het wordt uitgevoerd via het volledige schijfversleutelingsproces. Als het station niet kan worden ontkoppeld, wordt het foutbericht 'kan niet ontkoppelen na ...' komt waarschijnlijk voor.

Deze fout kan optreden wanneer op een VIRTUELE machine schijfversleuteling van het besturingssysteem wordt geprobeerd met een omgeving die is gewijzigd van de ondersteunde installatiekopie van de stockgalerie. Afwijkingen van de ondersteunde installatiekopieën kunnen de mogelijkheid van de extensie verstoren om het besturingssysteemstation te ontkoppelen. Voorbeelden van afwijkingen kunnen de volgende items bevatten:

• Aangepaste installatiekopieën komen niet meer overeen met een ondersteund bestandssysteem of partitioneringsschema.
• Grote toepassingen zoals SAP, MongoDB, Apache Cassandra en Docker worden niet ondersteund wanneer ze vóór versleuteling worden geïnstalleerd en uitgevoerd in het besturingssysteem. Azure Disk Encryption kan deze processen niet veilig afsluiten zoals vereist voor de voorbereiding van het besturingssysteemstation voor schijfversleuteling. Als er nog steeds actieve processen zijn met geopende bestandsingangen naar het besturingssysteemstation, kan het besturingssysteemstation niet worden ontkoppeld, wat resulteert in een fout bij het versleutelen van het besturingssysteemstation.
• Aangepaste scripts die dicht bij de versleuteling worden uitgevoerd, of als er tijdens het versleutelingsproces andere wijzigingen op de VIRTUELE machine worden aangebracht. Dit conflict kan optreden wanneer een Azure Resource Manager-sjabloon meerdere extensies definieert die tegelijkertijd moeten worden uitgevoerd, of wanneer een aangepaste scriptextensie of andere actie tegelijkertijd wordt uitgevoerd naar schijfversleuteling. Het probleem kan worden opgelost door dergelijke stappen te serialiseren en te isoleren.
• Security Enhanced Linux (SELinux) is niet uitgeschakeld voordat versleuteling wordt ingeschakeld, zodat de stap ontkoppelen mislukt. SELinux kan opnieuw worden uitgevoerd nadat de versleuteling is voltooid.
• De besturingssysteemschijf maakt gebruik van een LVM-schema (Logical Volume Manager). Hoewel er beperkte ondersteuning voor LVM-gegevensschijven beschikbaar is, is een LVM-besturingssysteemschijf dat niet.
• Er wordt niet voldaan aan minimale geheugenvereisten (7 GB wordt voorgesteld voor besturingssysteemschijfversleuteling).
• Gegevensstations worden recursief gekoppeld onder de map /mnt/ of elkaar (bijvoorbeeld /mnt/data1, /mnt/data2, /data3 + /data3/data4).

De standaardkernel voor Ubuntu 14.04 LTS bijwerken

De Ubuntu 14.04 LTS-installatiekopie wordt geleverd met een standaard kernelversie van 4.4. Deze kernelversie heeft een bekend probleem waarbij out of Memory Killer de dd-opdracht onjuist beëindigt tijdens het versleutelingsproces van het besturingssysteem. Deze fout is opgelost in de meest recente Linux-kernel van Azure. Als u deze fout wilt voorkomen, werkt u vóór het inschakelen van versleuteling op de installatiekopie de Azure-kernel 4.15 of hoger bij met behulp van de volgende opdrachten:

sudo apt-get update
sudo apt-get install linux-azure
sudo reboot

Nadat de VIRTUELE machine opnieuw is opgestart in de nieuwe kernel, kan de nieuwe kernelversie worden bevestigd met behulp van:

uname -a

De azure Virtual Machine Agent- en extensieversies bijwerken

Azure Disk Encryption-bewerkingen kunnen mislukken op installatiekopieën van virtuele machines met niet-ondersteunde versies van de Azure Virtual Machine Agent. Linux-installatiekopieën met agentversies ouder dan 2.2.38 moeten worden bijgewerkt voordat versleuteling wordt ingeschakeld. Zie De Azure Linux-agent bijwerken op een VM en ondersteuning voor minimale versies voor virtuele-machineagents in Azure voor meer informatie.

De juiste versie van de extensie Microsoft.Azure.Security.AzureDiskEncryption of Microsoft.Azure.Security.AzureDiskEncryptionForLinux-gastagent is ook vereist. Extensieversies worden automatisch onderhouden en bijgewerkt door het platform wanneer aan de vereisten voor de Azure Virtual Machine-agent wordt voldaan en een ondersteunde versie van de virtuele-machineagent wordt gebruikt.

De extensie Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux is afgeschaft en wordt niet meer ondersteund.

Kan Linux-schijven niet versleutelen

In sommige gevallen lijkt de Linux-schijfversleuteling vast te zitten bij 'Besturingssysteemschijfversleuteling gestart' en is SSH uitgeschakeld. Het versleutelingsproces kan tussen 3 en 16 uur duren voordat de installatiekopie van een stockgalerie is voltooid. Als gegevensschijven met meerdere terabyte-grootten worden toegevoegd, kan het proces dagen duren.

Met de versleutelingsreeks voor Linux-besturingssysteem wordt het besturingssysteemstation tijdelijk ontkoppeld. Vervolgens wordt blok-op-blok-versleuteling van de hele besturingssysteemschijf uitgevoerd voordat deze opnieuw wordt gekoppeld in de versleutelde status. Linux Disk Encryption staat gelijktijdig gebruik van de virtuele machine niet toe terwijl de versleuteling wordt uitgevoerd. De prestatiekenmerken van de VIRTUELE machine kunnen een aanzienlijk verschil maken in de tijd die nodig is om de versleuteling te voltooien. Deze kenmerken omvatten de grootte van de schijf en of het opslagaccount standard of premium (SSD) opslag is.

Terwijl het besturingssysteemstation wordt versleuteld, voert de VM een onderhoudsstatus in en schakelt SSH uit om onderbreking van het lopende proces te voorkomen. Als u de versleutelingsstatus wilt controleren, gebruikt u de opdracht Azure PowerShell Get-AzVmDiskEncryptionStatus en controleert u het veld ProgressMessage . ProgressMessage rapporteert een reeks statussen wanneer de gegevens en besturingssysteemschijven zijn versleuteld:

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage            : Transitioning

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for data volumes

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Provisioning succeeded

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : OS disk encryption started

De ProgressMessage blijft in besturingssysteemschijfversleuteling gestart voor het grootste deel van het versleutelingsproces. Wanneer de versleuteling is voltooid en geslaagd, retourneert ProgressMessage :

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for all volumes

Nadat dit bericht beschikbaar is, is het versleutelde besturingssysteemstation naar verwachting gereed voor gebruik en is de virtuele machine gereed om opnieuw te worden gebruikt.

Als de opstartgegevens, het voortgangsbericht of een fout melden dat de versleuteling van het besturingssysteem tijdens dit proces is mislukt, herstelt u de VIRTUELE machine naar de momentopname of back-up die direct voor versleuteling is gemaakt. Een voorbeeld van een bericht is de fout 'kan niet worden ontkoppeld' die in deze handleiding wordt beschreven.

Voordat u versleuteling opnieuw implementeert, moet u de kenmerken van de VIRTUELE machine opnieuw controleren en ervoor zorgen dat aan alle vereisten wordt voldaan.

Problemen met Azure Disk Encryption achter een firewall oplossen

Schijfversleuteling in een geïsoleerd netwerk bekijken

Problemen met versleutelingsstatus oplossen

In de portal kan een schijf worden weergegeven als versleuteld, zelfs nadat deze niet is versleuteld binnen de virtuele machine. Dit kan gebeuren wanneer opdrachten op laag niveau worden gebruikt om de schijf rechtstreeks te ontsleutelen vanuit de VIRTUELE machine, in plaats van de azure Disk Encryption-beheeropdrachten op een hoger niveau te gebruiken. De opdrachten op een hoger niveau ontsleutelen niet alleen de schijf van de VIRTUELE machine, maar buiten de VM werken ze ook belangrijke versleutelingsinstellingen op platformniveau en extensie-instellingen bij die zijn gekoppeld aan de VIRTUELE machine. Als deze niet in overeenstemming worden gehouden, kan het platform de versleutelingsstatus niet rapporteren of de VM goed inrichten.

Als u Azure Disk Encryption wilt uitschakelen met PowerShell, gebruikt u Disable-AzVMDiskEncryption gevolgd door Remove-AzVMDiskEncryptionExtension. Het uitvoeren van Remove-AzVMDiskEncryptionExtension voordat de versleuteling is uitgeschakeld, mislukt.

Als u Azure Disk Encryption wilt uitschakelen met CLI, gebruikt u az vm encryption disable.

Volgende stappen

In dit document hebt u meer geleerd over enkele veelvoorkomende problemen in Azure Disk Encryption en hoe u deze problemen kunt oplossen. Zie de volgende artikelen voor meer informatie over deze service en de mogelijkheden ervan:

• Schijfversleuteling toepassen in Microsoft Defender voor Cloud
• Versleuteling van inactieve gegevens in Azure