Azure Disk Encryption untuk Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Gambaran Umum

Azure Disk Encryption memanfaatkan subsistem dm-crypt di Linux untuk menyediakan enkripsi disk penuh pada pilih distribusi Azure Linux. Solusi ini terintegrasi dengan Azure Key Vault untuk mengelola kunci dan rahasia enkripsi disk.

Prasyarat

Untuk mengetahui daftar lengkap prasyarat, lihat Azure Disk Encryption untuk Linux VM, khususnya bagian berikut ini:

• VM dan sistem operasi yang didukung
• Persyaratan komputer virtual tambahan
• Persyaratan jaringan
• Persyaratan penyimpanan kunci enkripsi

Skema Ekstensi

Ada dua versi skema ekstensi untuk Azure Disk Encryption (ADE):

• v1.1 - Skema yang direkomendasikan yang lebih baru yang tidak menggunakan properti Microsoft Entra.
• v0.1 - Skema lama yang memerlukan properti Microsoft Entra.

Untuk memilih skema target, properti typeHandlerVersion harus diatur setara dengan versi skema yang ingin Anda gunakan.

Skema v1.1: Tidak ada ID Microsoft Entra (disarankan)

Skema v1.1 direkomendasikan dan tidak memerlukan properti Microsoft Entra.

Catatan

Parameter DiskFormatQuery tidak digunakan lagi. Sebagai gantinya, fungsionalitasnya telah digantikan oleh opsi EncryptFormatAll, yang merupakan cara yang disarankan untuk memformat disk data pada saat enkripsi.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Skema v0.1: dengan ID Microsoft Entra

Skema 0,1 membutuhkan AADClientID dan AADClientSecret atau AADClientCertificate.

Menggunakan AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Menggunakan AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Nilai properti

Catatan: Semua nilai properti peka huruf besar/kecil.

Nama	Nilai / Contoh	Jenis Data
apiVersion	2019-07-01	date
penerbit	Microsoft.Azure.Security	string
jenis	AzureDiskEncryptionForLinux	string
typeHandlerVersion	1.1, 0.1	int
(Skema 0.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(Skema 0.1) AADClientSecret	kata sandi	string
(Skema 0.1) AADClientCertificate	thumbprint	string
(opsional) (skema 0,1) Frase sandi	kata sandi	string
DiskFormatQuery	{"dev_path":"","name":"","file_system":""}	Kamus JSON
EncryptionOperation	EnableEncryption, EnableEncryptionFormatAll	string
(opsional - RSA-OAEP default) KeyEncryptionAlgorithm	'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5'	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(opsional) KeyEncryptionKeyURL	url	string
(opsional) KekVaultResourceId	url	string
(opsional) SequenceVersion	uniqueidentifier	string
VolumeType	OS, Data, Semua	string

Penyebaran templat

Untuk contoh penyebaran templat berdasarkan skema v1.1, lihat Templat Mulai Cepat Azure encrypt-running-linux-vm-without-aad.

Untuk contoh penyebaran templat berdasarkan skema v0.1, lihat Templat Mulai Cepat Azure encrypt-running-linux-vm.

Peringatan

• Jika sebelumnya Anda telah menggunakan Azure Disk Encryption dengan MICROSOFT Entra ID untuk mengenkripsi VM, Anda harus terus menggunakan opsi ini untuk mengenkripsi VM Anda.
• Saat Anda mengenkripsi volume OS Linux, VM harus dianggap tidak tersedia. Kami sangat menyarankan Anda untuk tidak masuk SSH saat enkripsi sedang berlangsung guna menghindari pemblokiran file terbuka yang perlu diakses selama proses enkripsi. Untuk memeriksa kemajuan, gunakan cmdlet PowerShell Get-AzVMDiskEncryptionStatus atau enkripsi vm menunjukkan perintah CLI. Proses ini dapat memakan waktu beberapa jam untuk volume OS 30-GB dan waktu tambahan untuk mengenkripsi volume data. Waktu enkripsi volume data akan sebanding dengan ukuran dan kuantitas volume data; opsi encrypt format all lebih cepat daripada enkripsi di tempat, tetapi akan mengakibatkan hilangnya semua data pada disk.
• Menonaktifkan enkripsi pada Linux VM hanya didukung untuk volume data. Tindakan ini tidak didukung pada volume data atau OS jika volume OS telah dienkripsi.

Catatan

Juga jika parameter VolumeType diatur ke Semua, disk data akan dienkripsi hanya jika diformat dengan benar.

Pemecahan masalah dan dukungan

Pemecahan Masalah

Untuk pemecahan masalah, lihat panduan pemecahan masalah Azure Disk Encryption.

Dukungan

Jika Anda memerlukan bantuan lebih lanjut kapan saja dalam artikel ini, Anda dapat menghubungi pakar Azure di forum Azure MSDN dan Stack Overflow.

Atau, Anda dapat mengajukan insiden dukungan Azure. Buka Dukungan Azure dan pilih Dapatkan dukungan. Untuk informasi selengkapnya tentang cara menggunakan Dukungan Azure, baca FAQ Dukungan Microsoft Azure.

Langkah berikutnya

• Untuk informasi selengkapnya tentang ekstensi VM, lihat Ekstensi dan fitur mesin virtual untuk Linux.
• Untuk mengetahui informasi selengkapnya tentang Azure Disk Encryption untuk Linux, lihat Mesin virtual Linux.