Azure Disk Encryption dla systemu Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Omówienie
Usługa Azure Disk Encryption korzysta z podsystemu dm-crypt w systemie Linux w celu zapewnienia pełnego szyfrowania dysków w wybranych dystrybucjach systemu Linux na platformie Azure. To rozwiązanie jest zintegrowane z usługą Azure Key Vault w celu zarządzania kluczami szyfrowania dysków i wpisami tajnymi.
Wymagania wstępne
Aby uzyskać pełną listę wymagań wstępnych, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux, w szczególności w następujących sekcjach:
- Obsługiwane maszyny wirtualne i systemy operacyjne
- Dodatkowe wymagania dotyczące maszyny wirtualnej
- Wymagania dotyczące sieci
- Wymagania dotyczące magazynu kluczy szyfrowania
Schemat rozszerzenia
Istnieją dwie wersje schematu rozszerzenia dla usługi Azure Disk Encryption (ADE):
- Wersja 1.1 — nowszy zalecany schemat, który nie korzysta z właściwości Entra firmy Microsoft.
- v0.1 — starszy schemat, który wymaga właściwości entra firmy Microsoft.
Aby wybrać schemat docelowy, właściwość musi być ustawiona na wersję schematu, typeHandlerVersion której chcesz użyć.
Schemat w wersji 1.1: brak identyfikatora Entra firmy Microsoft (zalecane)
Schemat wersji 1.1 jest zalecany i nie wymaga właściwości firmy Microsoft Entra.
Uwaga
Parametr DiskFormatQuery jest przestarzały. Jego funkcjonalność została zastąpiona opcją EncryptFormatAll, która jest zalecanym sposobem formatowania dysków danych w czasie szyfrowania.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schemat w wersji 0.1: z identyfikatorem Entra firmy Microsoft
Schemat 0.1 wymaga AADClientID elementu i AADClientSecret albo .AADClientCertificate
Za pomocą polecenia AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Za pomocą polecenia AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Wartości właściwości
Uwaga: w przypadku wszystkich wartości właściwości jest rozróżniana wielkość liter.
| Nazwisko | Wartość / przykład | Typ danych |
|---|---|---|
| apiVersion | 2019-07-01 | data |
| wydawca | Microsoft.Azure.Security | string |
| type | AzureDiskEncryptionForLinux | string |
| typeHandlerVersion | 1.1, 0.1 | int |
| (Schemat 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | Identyfikator GUID |
| (Schemat 0.1) AADClientSecret | hasło | string |
| (Schemat 0.1) AADClientCertificate | Odcisk palca | string |
| (opcjonalnie) (Schemat 0.1) Hasło | hasło | string |
| DiskFormatQuery | {"dev_path":","name":"","file_system":"} | Słownik JSON |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | string |
| (opcjonalnie — domyślne RSA-OAEP ) KeyEncryptionAlgorithm | "RSA-OAEP", "RSA-OAEP-256", "RSA1_5" | string |
| KeyVaultURL | Adres URL | string |
| KeyVaultResourceId | Adres URL | string |
| (opcjonalnie) KeyEncryptionKeyURL | Adres URL | string |
| (opcjonalnie) KekVaultResourceId | Adres URL | string |
| (opcjonalnie) SequenceVersion | uniqueidentifier | string |
| VolumeType | System operacyjny, dane, wszystkie | string |
Wdrażanie na podstawie szablonu
Aby zapoznać się z przykładem wdrożenia szablonu opartego na schemacie w wersji 1.1, zobacz Szablon szybkiego startu platformy Azure z szyfrowaniem running-linux-vm-without-aad.
Aby zapoznać się z przykładem wdrożenia szablonu na podstawie schematu w wersji 0.1, zobacz Szablon szybkiego startu platformy Azure encrypt-running-linux-vm.
Ostrzeżenie
- Jeśli wcześniej maszynę wirtualną zaszyfrowano za pomocą usługi Azure Disk Encryption z usługą Microsoft Entra ID, należy nadal używać tej opcji do szyfrowania maszyny wirtualnej.
- Podczas szyfrowania woluminów systemu operacyjnego Linux maszyna wirtualna powinna być uznawana za niedostępną. Zdecydowanie zalecamy unikanie logowań przy użyciu protokołu SSH podczas szyfrowania w toku, aby uniknąć problemów z blokowaniem otwartych plików, do których będzie konieczne uzyskiwanie dostępu podczas procesu szyfrowania. Aby sprawdzić postęp, użyj polecenia cmdlet Get-AzVMDiskEncryptionStatus programu PowerShell lub polecenia interfejsu wiersza polecenia szyfrowania maszyny wirtualnej. Ten proces może potrwać kilka godzin w przypadku wolumin systemu operacyjnego o pojemności 30 GB oraz zająć dodatkowy czas na szyfrowanie woluminów danych. Czas szyfrowania woluminu danych będzie proporcjonalny do rozmiaru i ilości woluminów danych;
encrypt format allopcja jest szybsza niż szyfrowanie w miejscu, ale spowoduje utratę wszystkich danych na dyskach. - Wyłączanie szyfrowania na maszynach wirtualnych z systemem Linux jest obsługiwane tylko w przypadku woluminów danych. Nie jest obsługiwane w przypadku danych lub woluminów systemu operacyjnego, jeśli wolumin systemu operacyjnego został zaszyfrowany.
Uwaga
Ponadto jeśli VolumeType parametr jest ustawiony na Wartość Wszystkie, dyski danych będą szyfrowane tylko wtedy, gdy zostaną prawidłowo zainstalowane.
Rozwiązywanie problemów i pomoc techniczna
Rozwiązywanie problemów
Aby uzyskać informacje na temat rozwiązywania problemów, zobacz Przewodnik rozwiązywania problemów z usługą Azure Disk Encryption.
Pomoc techniczna
Jeśli potrzebujesz więcej pomocy w dowolnym momencie tego artykułu, możesz skontaktować się z ekspertami platformy Azure na forach MSDN Azure i Stack Overflow.
Alternatywnie możesz zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do pomoc techniczna platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, przeczytaj często zadawane pytania dotyczące pomocy technicznej platformy Microsoft Azure.
Następne kroki
- Aby uzyskać więcej informacji na temat rozszerzeń maszyn wirtualnych, zobacz Virtual machine extensions and features for Linux (Rozszerzenia i funkcje maszyn wirtualnych dla systemu Linux).
- Aby uzyskać więcej informacji na temat usługi Azure Disk Encryption dla systemu Linux, zobacz Maszyny wirtualne z systemem Linux.