Azure Disk Encryption für Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)Azure Disk Encryption for Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

ÜbersichtOverview

Azure Disk Encryption nutzt das Subsystem dm-crypt in Linux zur Gewährleistung einer vollständigen Datenträgerverschlüsselung bei der Auswahl von Azure Linux-Verteilungen.Azure Disk Encryption leverages the dm-crypt subsystem in Linux to provide full disk encryption on select Azure Linux distributions. Diese Lösung ist in Azure Key Vault integriert, um die Verwaltung der Datenträger-Verschlüsselungsschlüssel zu erleichtern.This solution is integrated with Azure Key Vault to manage disk encryption keys and secrets.

VoraussetzungenPrerequisites

Eine vollständige Liste mit den Voraussetzungen finden Sie unter Azure Disk Encryption für Linux-VMs. Achten Sie besonders auf die folgenden Abschnitte:For a full list of prerequisites, see Azure Disk Encryption for Linux VMs, specifically the following sections:

ErweiterungsschemaExtension Schema

Es gibt zwei Versionen des Erweiterungsschemas für Azure Disk Encryption (ADE):There are two versions of extension schema for Azure Disk Encryption (ADE):

  • v1.1 – Ein neueres empfohlenes Schema, das keine Azure Active Directory (AAD)-Eigenschaften verwendet.v1.1 - A newer recommended schema that does not use Azure Active Directory (AAD) properties.
  • v0.1 – Ein älteres Schema, für das keine Azure Active Directory (AAD)-Eigenschaften erforderlich sind.v0.1 - An older schema that requires Azure Active Directory (AAD) properties.

Um ein Zielschema auszuwählen, muss die typeHandlerVersion-Eigenschaft auf die Version des Schemas festgelegt werden, das Sie verwenden möchten.To select a target schema, the typeHandlerVersion property must be set equal to version of schema you want to use.

Das v1.1-Schema wird empfohlen und erfordert keine Azure Active Directory (AAD)-Eigenschaften.The v1.1 schema is recommended and does not require Azure Active Directory (AAD) properties.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v0.1: mit AADSchema v0.1: with AAD

Das 0.1-Schema erfordert AADClientID und entweder AADClientSecret oder AADClientCertificate.The 0.1 schema requires AADClientID and either AADClientSecret or AADClientCertificate.

Verwenden von AADClientSecret:Using AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Verwenden von AADClientCertificate:Using AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

EigenschaftswerteProperty values

NameName Wert/BeispielValue / Example DatentypData Type
apiVersionapiVersion 01.07.20192019-07-01 datedate
publisherpublisher Microsoft.Azure.SecurityMicrosoft.Azure.Security Zeichenfolgestring
typetype AzureDiskEncryptionForLinuxAzureDiskEncryptionForLinux Zeichenfolgestring
typeHandlerVersiontypeHandlerVersion 1.1, 0.11.1, 0.1 INTint
(0.1-Schema) AADClientID(0.1 schema) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guidguid
(0.1-Schema) AADClientSecret(0.1 schema) AADClientSecret passwordpassword Zeichenfolgestring
(0.1-Schema) AADClientCertificate(0.1 schema) AADClientCertificate thumbprintthumbprint Zeichenfolgestring
(optional) (0.1-Schema) Passphrase(optional) (0.1 schema) Passphrase passwordpassword Zeichenfolgestring
DiskFormatQueryDiskFormatQuery {"dev_path":"","name":"","file_system":""}{"dev_path":"","name":"","file_system":""} JSON-WörterbuchJSON dictionary
EncryptionOperationEncryptionOperation EnableEncryption, EnableEncryptionFormatAllEnableEncryption, EnableEncryptionFormatAll Zeichenfolgestring
(optional – Standard-RSA-OAEP) KeyEncryptionAlgorithm(optional - default RSA-OAEP ) KeyEncryptionAlgorithm 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5''RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' Zeichenfolgestring
KeyVaultURLKeyVaultURL urlurl Zeichenfolgestring
KeyVaultResourceIdKeyVaultResourceId urlurl Zeichenfolgestring
(optional) KeyEncryptionKeyURL(optional) KeyEncryptionKeyURL urlurl Zeichenfolgestring
(optional) KekVaultResourceId(optional) KekVaultResourceId urlurl Zeichenfolgestring
(optional) SequenceVersion(optional) SequenceVersion UNIQUEIDENTIFIERuniqueidentifier Zeichenfolgestring
VolumeTypeVolumeType Betriebssystem, Daten, alleOS, Data, All Zeichenfolgestring

Bereitstellung von VorlagenTemplate deployment

Ein Beispiel für eine Vorlagenbereitstellung, die auf Schema v1.1 basiert, finden Sie in der Azure-Schnellstartvorlage 201-encrypt-running-linux-vm-without-aad.For an example of template deployment based on schema v1.1, see the Azure Quickstart Template 201-encrypt-running-linux-vm-without-aad.

Ein Beispiel für eine Vorlagenbereitstellung, die auf Schema v0.1 basiert, finden Sie in der Azure-Schnellstartvorlage 201-encrypt-running-linux-vm.For an example of template deployment based on schema v0.1, see the Azure Quickstart Template 201-encrypt-running-linux-vm.

Warnung

  • Wenn Sie zuvor Azure Disk Encryption mit Azure AD zum Verschlüsseln eines virtuellen Computers verwendet haben, müssen Sie diese Option auch weiterhin zum Verschlüsseln Ihres virtuellen Computers verwenden.If you have previously used Azure Disk Encryption with Azure AD to encrypt a VM, you must continue use this option to encrypt your VM.
  • Beim Verschlüsseln von Linux-Betriebssystemvolumes sollte die VM als nicht verfügbar angesehen werden.When encrypting Linux OS volumes, the VM should be considered unavailable. Es wird dringend empfohlen, SSH-Anmeldungen zu vermeiden, während die Verschlüsselung ausgeführt wird, damit es nicht aufgrund von Problemen zur Blockierung geöffneter Dateien kommt, auf die während des Verschlüsselungsvorgangs zugegriffen werden muss.We strongly recommend to avoid SSH logins while the encryption is in progress to avoid issues blocking any open files that will need to be accessed during the encryption process. Verwenden Sie zum Überprüfen des Fortschritts das PowerShell-Cmdlet Get-AzVMDiskEncryptionStatus oder den CLI-Befehl vm encryption show.To check progress, use the Get-AzVMDiskEncryptionStatus PowerShell cmdlet or the vm encryption show CLI command. Es ist zu erwarten, dass dieser Prozess bei einem Betriebssystemvolume mit 30 GB einige Stunden in Anspruch nimmt, zuzüglich der Zeit für die Verschlüsselung von Datenvolumes.This process can be expected to take a few hours for a 30GB OS volume, plus additional time for encrypting data volumes. Die Verschlüsselungszeit für das Datenvolume hängt proportional von der Größe und Menge der Datenvolumes ab, es sei denn, es wird die Verschlüsselungsformatoption „all“ verwendet.Data volume encryption time will be proportional to the size and quantity of the data volumes unless the encrypt format all option is used.
  • Das Deaktivieren der Verschlüsselung auf virtuellen Linux-Computern wird nur für Datenvolumes unterstützt.Disabling encryption on Linux VMs is only supported for data volumes. Dies wird nicht auf Daten- oder Betriebssystemvolumes unterstützt, wenn das Betriebssystemvolume verschlüsselt wurde.It is not supported on data or OS volumes if the OS volume has been encrypted.

Hinweis

Wenn der VolumeType-Parameter auf „All“ festgelegt ist, werden Datenträger nur dann verschlüsselt, wenn sie ordnungsgemäß eingebunden sind.Also if VolumeType parameter is set to All, data disks will be encrypted only if they are properly mounted.

Problembehandlung und SupportTroubleshoot and support

ProblembehandlungTroubleshoot

Informationen zur Problembehandlung finden Sie unter Leitfaden zur Azure Disk Encryption-Problembehandlung.For troubleshooting, refer to the Azure Disk Encryption troubleshooting guide.

SupportSupport

Sollten Sie beim Lesen dieses Artikels feststellen, dass Sie weitere Hilfe benötigen, können Sie sich über das MSDN Azure-Forum oder über das Stack Overflow-Forum mit Azure-Experten in Verbindung setzen.If you need more help at any point in this article, you can contact the Azure experts on the MSDN Azure and Stack Overflow forums.

Alternativ dazu haben Sie die Möglichkeit, einen Azure-Supportfall zu erstellen.Alternatively, you can file an Azure support incident. Navigieren Sie zum Azure-Support, und wählen Sie „Support erhalten“ aus.Go to Azure support and select Get support. Informationen zur Nutzung von Azure-Support finden Sie unter Microsoft Azure-Support-FAQ.For information about using Azure Support, read the Microsoft Azure Support FAQ.

Nächste SchritteNext steps