Azure Disk Encryption för Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Översikt

Azure Disk Encryption använder dm-crypt-undersystemet i Linux för att tillhandahålla fullständig diskkryptering vid utvalda Azure Linux-distributioner. Den här lösningen är integrerad med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter.

Förutsättningar

En fullständig lista över krav finns i Azure Disk Encryption för virtuella Linux-datorer, särskilt följande avsnitt:

• Virtuella datorer och operativsystem som stöds
• Ytterligare vm-krav
• Nätverkskrav
• Lagringskrav för krypteringsnycklar

Tilläggsschema

Det finns två versioner av tilläggsschemat för Azure Disk Encryption (ADE):

• v1.1 – Ett nyare rekommenderat schema som inte använder Microsoft Entra-egenskaper.
• v0.1 – Ett äldre schema som kräver Microsoft Entra-egenskaper.

Om du vill välja ett målschema måste egenskapen vara lika med den typeHandlerVersion version av schemat som du vill använda.

Schema v1.1: Inget Microsoft Entra-ID (rekommenderas)

V1.1-schemat rekommenderas och kräver inte Microsoft Entra-egenskaper.

Kommentar

Parametern DiskFormatQuery är inaktuell. Dess funktioner har ersatts av alternativet EncryptFormatAll i stället, vilket är det rekommenderade sättet att formatera datadiskar vid tidpunkten för kryptering.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v0.1: med Microsoft Entra-ID

0.1-schemat kräver AADClientID och antingen AADClientSecret eller AADClientCertificate.

Använda AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Använda AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Egenskapsvärden

Obs! Alla egenskapsvärden är skiftlägeskänsliga.

Name	Värde/exempel	Datatyp
apiVersion	2019-07-01	datum
förläggare	Microsoft.Azure.Security	sträng
type	AzureDiskEncryptionForLinux	sträng
typeHandlerVersion	1.1, 0.1	heltal
(0.1 schema) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(0.1 schema) AADClientSecret	password	sträng
(0.1 schema) AADClientCertificate	tumavtryck	sträng
(valfritt) (0.1 schema) Lösenfras	password	sträng
DiskFormatQuery	{"dev_path":"","name":"","file_system":""}	JSON-ordlista
EncryptionOperation	EnableEncryption, EnableEncryptionFormatAll	sträng
(valfritt – standard-RSA-OAEP ) KeyEncryptionAlgorithm	"RSA-OAEP", "RSA-OAEP-256", "RSA1_5"	sträng
KeyVaultURL	URL	sträng
KeyVaultResourceId	URL	sträng
(valfritt) KeyEncryptionKeyURL	URL	sträng
(valfritt) KekVaultResourceId	URL	sträng
(valfritt) SequenceVersion	uniqueidentifier	sträng
VolumeType	OS, Data, Alla	sträng

Malldistribution

Ett exempel på malldistribution baserat på schema v1.1 finns i Azure Quickstart Template encrypt-running-linux-vm-without-aad.

Ett exempel på malldistribution baserat på schema v0.1 finns i Azure Quickstart Template encrypt-running-linux-vm.

Varning

• Om du tidigare har använt Azure Disk Encryption med Microsoft Entra ID för att kryptera en virtuell dator måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn.
• När du krypterar Linux OS-volymer bör den virtuella datorn betraktas som otillgänglig. Vi rekommenderar starkt att du undviker SSH-inloggningar medan krypteringen pågår för att undvika problem med blockering av öppna filer som måste nås under krypteringsprocessen. Om du vill kontrollera förloppet använder du PowerShell-cmdleten Get-AzVMDiskEncryptionStatus eller cli-kommandot för vm-kryptering. Den här processen kan förväntas ta några timmar för en OS-volym på 30 GB, plus ytterligare tid för kryptering av datavolymer. Datavolymkrypteringstiden är proportionell mot datavolymernas storlek och kvantitet. alternativet encrypt format all är snabbare än på plats-kryptering, men resulterar i förlust av alla data på diskarna.
• Inaktivering av kryptering på virtuella Linux-datorer stöds endast för datavolymer. Det stöds inte för data- eller OS-volymer om OS-volymen har krypterats.

Kommentar

VolumeType Om parametern är inställd på Alla krypteras datadiskar endast om de är korrekt monterade.

Felsökning och support

Felsöka

Information om felsökning finns i felsökningsguiden för Azure Disk Encryption.

Support

Om du behöver mer hjälp när som helst i den här artikeln kan du kontakta Azure-experterna på MSDN Azure- och Stack Overflow-forumen.

Du kan också skapa en Azure-supportincident. Gå till Azure-support och välj Hämta support. Information om hur du använder Azure Support finns i Vanliga frågor och svar om Microsoft Azure-support.

Nästa steg

• Mer information om VM-tillägg finns i Tillägg och funktioner för virtuella datorer för Linux.
• Mer information om Azure Disk Encryption för Linux finns i Virtuella Linux-datorer.