Guida alla risoluzione dei problemi di Crittografia dischi di AzureAzure Disk Encryption troubleshooting guide

Questa guida è destinata a professionisti IT, analisti della sicurezza delle informazioni e amministratori cloud le cui organizzazioni usano Crittografia dischi di Azure e necessitano di indicazioni per risolvere i problemi relativi alla crittografia dei dischi.This guide is for IT professionals, information security analysts, and cloud administrators whose organizations use Azure Disk Encryption and need guidance to troubleshoot disk-encryption-related problems.

Risoluzione dei problemi relativi alla crittografia del disco del sistema operativo LinuxTroubleshooting Linux OS disk encryption

Per la crittografia del disco del sistema operativo Linux, prima di affrontare l'intero processo è necessario smontare l'unità del sistema operativo.Linux operating system (OS) disk encryption must unmount the OS drive before running it through the full disk encryption process. In caso contrario, verrà probabilmente visualizzato un messaggio di erroreIf it cannot unmount the drive, an error message of "failed to unmount after …" di tipo "Impossibile smontare dopo...".is likely to occur.

È molto probabile che questo errore si verifichi quando si tenta di eseguire la crittografia del disco del sistema operativo in un ambiente di VM di destinazione che è stato modificato rispetto all'immagine predefinita supportata della raccolta.This error is most likely to happen when OS disk encryption is attempted on a target VM environment that has been modified or changed from its supported stock gallery image. Di seguito sono riportati alcuni esempi di deviazioni dall'immagine supportata che possono impedire all'estensione di smontare l'unità del sistema operativo:Examples of deviations from the supported image that can interfere with the extension’s ability to unmount the OS drive include the following:

  • Immagini personalizzate che non corrispondono più al file system o allo schema di partizionamento supportato.Customized images no longer match a supported file system or partitioning scheme.
  • Installazione ed esecuzione nel sistema operativo di applicazioni di grandi dimensioni come SAP, MongoDB o Apache Cassandra prima della crittografia.Large applications such as SAP, MongoDB, or Apache Cassandra are installed and running in the OS prior to encryption. L'estensione non può essere arrestata correttamente da queste applicazioni.The extension cannot properly shut down these applications. Se le applicazioni mantengono handle di file aperti nell'unità del sistema operativo, l'unità non può essere disinstallata, causando un errore.If the applications maintain open file handles to the OS drive, the drive cannot be unmounted, causing failure.
  • Esecuzione di script personalizzati a breve distanza di tempo dall'abilitazione della crittografia o esecuzione di qualsiasi altra modifica nella VM durante il processo di crittografia.Custom scripts that run in close time proximity to the encryption being enabled, or if any other changes are being made on the VM during the encryption process. Questo conflitto può verificarsi quando un modello di Azure Resource Manager definisce l'esecuzione simultanea di più estensioni o quando un'estensione di script personalizzati o un'altra azione viene eseguita contemporaneamente alla crittografia del disco.This conflict can happen when an Azure Resource Manager template defines multiple extensions to execute simultaneously, or when a custom script extension or other action runs simultaneously to disk encryption. Il problema potrebbe essere risolto serializzando e isolando tali passaggi.Serializing and isolating such steps might resolve the issue.
  • Mancata disabilitazione di SELinux prima dell'abilitazione della crittografia, che causa l'esito negativo del passaggio di smontaggio.Security Enhanced Linux (SELinux) has not been disabled before enabling encryption, so the unmount step fails. È possibile riabilitare SELinux al termine della crittografia.SELinux can be reenabled after encryption is complete.
  • Il disco del sistema operativo usa uno schema di gestione dei volumi logici.The OS disk uses a Logical Volume Manager (LVM) scheme. Sebbene sia disponibile un supporto limitato per dischi dati LVM, non sono supportati dischi del sistema operativo LVM.Although limited LVM data disk support is available, an LVM OS disk is not.
  • Requisiti minimi di memoria non soddisfatti. Per la crittografia del disco del sistema operativo sono consigliati 7 GB.Minimum memory requirements are not met (7 GB is suggested for OS disk encryption).
  • Montaggio ricorsivo delle unità dati nella directory /mnt/ o l'una nell'altra (ad esempio, /mnt/data1, /mnt/data2, /data3 + /data3/data4).Data drives are recursively mounted under the /mnt/ directory, or each other (for example, /mnt/data1, /mnt/data2, /data3 + /data3/data4).
  • Altri prerequisiti di Crittografia dischi di Azure per Linux non soddisfatti.Other Azure Disk Encryption prerequisites for Linux are not met.

Impossibile eseguire la crittografiaUnable to encrypt

In alcuni casi, la crittografia del disco Linux sembra bloccata nella fase "OS disk encryption started" e SSH è disabilitato.In some cases, the Linux disk encryption appears to be stuck at "OS disk encryption started" and SSH is disabled. Il processo di crittografia in un'immagine di galleria della raccolta può richiedere da 3 a 16 ore.The encryption process can take between 3-16 hours to finish on a stock gallery image. Se vengono aggiunti dischi dati di dimensioni da più TB, il processo può richiedere giorni.If multi-terabyte-sized data disks are added, the process might take days.

La sequenza di crittografia del disco del sistema operativo Linux smonta temporaneamente l'unità del sistema operativo,The Linux OS disk encryption sequence unmounts the OS drive temporarily. per poi eseguire la crittografia blocco per blocco dell'intero disco del sistema operativo e riportarlo allo stato crittografato.It then performs block-by-block encryption of the entire OS disk, before it remounts it in its encrypted state. A differenza di Crittografia dischi di Azure in Windows, la crittografia dei dischi Linux non consente di usare contemporaneamente la VM mentre è in corso la crittografia.Unlike Azure Disk Encryption on Windows, Linux Disk Encryption does not allow for concurrent use of the VM while the encryption is in progress. Le caratteristiche delle prestazioni della macchina virtuale possono determinare una differenza significativa nel tempo necessario per completare la crittografia.The performance characteristics of the VM can make a significant difference in the time required to complete encryption. Tali caratteristiche includono le dimensioni del disco e l'archiviazione standard o premium (SSD) dell'account di archiviazione.These characteristics include the size of the disk and whether the storage account is standard or premium (SSD) storage.

Per controllare lo stato della crittografia è possibile eseguire il poll del campo ProgressMessage restituito dal comando Get-AzureRmVmDiskEncryptionStatus.To check the encryption status, poll the ProgressMessage field returned from the Get-AzureRmVmDiskEncryptionStatus command. Mentre viene eseguita la crittografia dell'unità del sistema operativo, la macchina virtuale passa in stato di manutenzione e SSH viene disabilitato per impedire interruzioni del processo in corso.While the OS drive is being encrypted, the VM enters a servicing state, and disables SSH to prevent any disruption to the ongoing process. Mentre la crittografia è in corso, di norma viene visualizzato il messaggio EncryptionInProgress.The EncryptionInProgress message reports for the majority of the time while the encryption is in progress. Diverse ore più tardi, il messaggio VMRestartPending chiederà di riavviare la macchina virtuale.Several hours later, a VMRestartPending message prompts you to restart the VM. ad esempio:For example:

PS > Get-AzureRmVMDiskEncryptionStatus -ResourceGroupName $resourceGroupName -VMName $vmName
OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : OS disk encryption started

PS > Get-AzureRmVMDiskEncryptionStatus -ResourceGroupName $resourceGroupName -VMName $vmName
OsVolumeEncrypted          : VMRestartPending
DataVolumesEncrypted       : Encrypted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : OS disk successfully encrypted, please reboot the VM

Dopo la richiesta di riavviare la macchina virtuale e il riavvio della stessa, è necessario attendere 2-3 minuti perché nella destinazione siano completati il reboot e i passaggi finali.After you are prompted to reboot the VM, and after the VM restarts, you must wait 2-3 minutes for the reboot and for the final steps to be performed on the target. Una volta completata la crittografia, il messaggio di stato cambia.The status message changes when the encryption is finally complete. Quando viene visualizzato tale messaggio, l'unità del sistema operativo crittografata sarà pronta per l'uso e la macchina virtuale sarà nuovamente utilizzabile.After this message is available, the encrypted OS drive is expected to be ready for use and the VM is ready to be used again.

Nei casi seguenti, è consigliabile ripristinare la macchina virtuale alla copia shadow o al backup eseguito immediatamente prima della crittografia:In the following cases, we recommend that you restore the VM back to the snapshot or backup taken immediately before encryption:

  • Se la sequenza di riavvio descritta in precedenza non viene completata.If the reboot sequence described previously does not happen.
  • Se le informazioni di riavvio, il messaggio di stato di avanzamento o altri indicatori di errore indicano che la crittografia del sistema operativo all'interno di questo processo non è riuscita.If the boot information, progress message, or other error indicators report that OS encryption has failed in the middle of this process. Un esempio di messaggio è l'errore "Impossibile smontare" descritto in questa Guida.An example of a message is the "failed to unmount" error that is described in this guide.

Prima del tentativo successivo, valutare di nuovo le caratteristiche della macchina virtuale e verificare che siano soddisfatti tutti i prerequisiti.Prior to the next attempt, reevaluate the characteristics of the VM and ensure that all of the prerequisites are satisfied.

Risoluzione dei problemi di Crittografia dischi di Azure dietro un firewallTroubleshooting Azure Disk Encryption behind a firewall

Quando la connettività è limitata da un firewall, da un requisito del proxy o dalle impostazioni di gruppi di sicurezza di rete (NSG), l'estensione potrebbe non essere più in grado di eseguire le attività necessarie.When connectivity is restricted by a firewall, proxy requirement, or network security group (NSG) settings, the ability of the extension to perform needed tasks might be disrupted. È quindi possibile che vengano visualizzati messaggi del tipo "Stato estensione non disponibile nella macchina virtuale".This disruption can result in status messages such as "Extension status not available on the VM." In scenari previsti, la crittografia non viene completata.In expected scenarios, the encryption fails to finish. Le sezioni che seguono illustrano alcuni problemi comuni relativi ai firewall che è possibile esaminare.The sections that follow have some common firewall problems that you might investigate.

Gruppi di sicurezza di reteNetwork security groups

Tutte le impostazioni dei gruppi di sicurezza di rete devono consentire all'endpoint di soddisfare i prerequisiti di configurazione di rete documentati per la crittografia dei dischi.Any network security group settings that are applied must still allow the endpoint to meet the documented network configuration prerequisites for disk encryption.

Azure Key Vault protetto da firewallAzure Key Vault behind a firewall

La macchina virtuale deve poter accedere all'insieme di credenziali delle chiavi.The VM must be able to access a key vault. Vedere il materiale sussidiario sull'accesso a un insieme di credenziali delle chiavi protetto da firewall e gestito dal team di Azure Key Vault.Refer to guidance on access to the key vault from behind a firewall that the Azure Key Vault team maintains.

Gestione pacchetti Linux protetto da firewallLinux package management behind a firewall

In fase di esecuzione, Crittografia dischi di Azure per Linux usa il sistema di gestione pacchetti della distribuzione di destinazione per installare i componenti che costituiscono prerequisiti necessari prima di abilitare la crittografia.At runtime, Azure Disk Encryption for Linux relies on the target distribution’s package management system to install needed prerequisite components prior to enabling encryption. Se le impostazioni del firewall impediscono alla VM di scaricare e installare tali componenti, si verificheranno errori successivi.If the firewall settings prevent the VM from being able to download and install these components, then subsequent failures are expected. I passaggi per configurare questo sistema di gestione pacchetti possono variare in base alla distribuzione.The steps to configure this package management system can vary by distribution. In Red Hat, quando è necessario un proxy è essenziale verificare che subscription-manager e yum siano configurati correttamente.On Red Hat, when a proxy is required, you must ensure that the subscription-manager and yum are set up properly. Per altre informazioni, vedere Risoluzione dei problemi relativi a subscription-manager e yum.For more information, see How to troubleshoot subscription-manager and yum problems.

Risoluzione dei problemi di Server Core di Windows Server 2016Troubleshooting Windows Server 2016 Server Core

In Server Core di Windows Server 2016, la componente bdehdcfg non è disponibile per impostazione predefinita.On Windows Server 2016 Server Core, the bdehdcfg component is not available by default. Questa componente è necessaria per la Crittografia dischi di Azure.This component is required by Azure Disk Encryption. Viene usato per dividere il volume di sistema dal volume del sistema operativo, operazione che viene eseguita solo una volta per la durata della macchina virtuale.It is used to split the system volume from OS volume, which is done only once for the life time of the VM. Questi file binari non sono necessari durante le operazioni di crittografia successive.These binaries are not required during later encryption operations.

Per risolvere questo problema, copiare i 4 file seguenti da una macchina virtuale Windows Server 2016 Data Center nello stesso percorso in Server Core:To workaround this issue, copy the following 4 files from a Windows Server 2016 Data Center VM to the same location on Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
  1. Immettere il comando seguente:Enter the following command:

    bdehdcfg.exe -target default
    
  2. Questo comando crea una partizione di sistema da 550 MB.This command creates a 550-MB system partition. Riavviare il sistema.Reboot the system.

  3. Usare DiskPart per verificare i volumi, quindi procedere.Use DiskPart to check the volumes, and then proceed.

ad esempio:For example:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Passaggi successiviNext steps

In questo documento sono stati esaminati alcuni problemi comuni di Crittografia dischi di Azure ed è stato illustrato come risolverli.In this document, you learned more about some common problems in Azure Disk Encryption and how to troubleshoot those problems. Per altre informazioni su questo servizio e sulle relative funzionalità, vedere gli articoli seguenti:For more information about this service and its capabilities, see the following articles: