Azure Disk Encryption-probleemoplossingsgids voor Linux-VM's

Van toepassing op: ✔️ Virtuele Linux-heavy_check_mark: flexibele schaalsets

Deze handleiding is voor IT-professionals, informatiebeveiligingsanalisten en cloudbeheerders waarvan organisaties gebruikmaken van Azure Disk Encryption. Dit artikel is bedoeld om u te helpen bij het oplossen van problemen met betrekking tot schijfversleuteling.

Voordat u een van de onderstaande stappen neemt, moet u eerst controleren of de VM'sdie u wilt versleutelen, tot de ondersteunde VM-grootten en besturingssystemen behoren en dat u aan alle vereisten hebt voldaan:

Problemen met schijfversleuteling van Linux-besturingssysteem oplossen

Schijfversleuteling van het Linux-besturingssysteem moet het besturingssysteemstation ontkoppelen voordat het door het versleutelingsproces voor de volledige schijf wordt uitgevoerd. Als het station niet kan worden ontkoppeld, wordt het foutbericht 'Kan niet ontkoppelen na ...' komt waarschijnlijk voor.

Deze fout kan optreden wanneer versleuteling van de besturingssysteemschijf wordt uitgevoerd op een VM met een omgeving die is gewijzigd van de ondersteunde voorraadgalerie-afbeelding. Afwijkingen van de ondersteunde afbeelding kunnen de mogelijkheid van de extensie om het besturingssysteemstation te ontkoppelen verstoren. Voorbeelden van afwijkingen zijn onder andere de volgende items:

  • Aangepaste installatieprogramma's komen niet meer overeen met een ondersteund bestandssysteem of partitieschema.
  • Grote toepassingen zoals SAP, MongoDB, Apache Cassandra en Docker worden niet ondersteund wanneer ze vóór versleuteling worden geïnstalleerd en uitgevoerd in het besturingssysteem. Azure Disk Encryption kan deze processen niet veilig afsluiten zoals vereist ter voorbereiding van het besturingssysteemstation voor schijfversleuteling. Als er nog steeds actieve processen zijn die geopende bestandsinggrepen naar het besturingssysteemstation houden, kan het besturingssysteemstation niet worden ontkoppeld, waardoor het besturingssysteemstation niet kan worden versleuteld.
  • Aangepaste scripts die worden uitgevoerd in de nabijheid van de versleuteling die wordt ingeschakeld, of als er tijdens het versleutelingsproces andere wijzigingen worden aangebracht op de VM. Dit conflict kan optreden wanneer een Azure Resource Manager sjabloon meerdere extensies definieert die gelijktijdig moeten worden uitgevoerd, of wanneer een aangepaste scriptextensie of een andere actie gelijktijdig wordt uitgevoerd op schijfversleuteling. Het serialiseren en isoleren van dergelijke stappen kan het probleem oplossen.
  • Security Enhanced Linux (SELinux) is niet uitgeschakeld voordat versleuteling werd inschakelen, dus de stap ontkoppelen mislukt. SELinux kan opnieuw worden ingeslagen nadat de versleuteling is voltooid.
  • De besturingssysteemschijf maakt gebruik van een LVM-schema (Logical Volume Manager). Hoewel beperkte ondersteuning voor LVM-gegevensschijven beschikbaar is, is een LVM-besturingssysteemschijf dat niet.
  • Er wordt niet voldaan aan de minimale geheugenvereisten (7 GB wordt aanbevolen voor schijfversleuteling van het besturingssysteem).
  • Gegevensstations worden recursief gemonteerd onder de map /mnt/ of elkaar (bijvoorbeeld /mnt/data1, /mnt/data2, /data3 + /data3/data4).

De standaardkernel voor Ubuntu 14.04 LTS bijwerken

De Ubuntu 14.04 LTS-installatie afbeelding wordt geleverd met een standaard kernelversie van 4.4. Deze kernelversie heeft een bekend probleem waarbij out-of-memory Computer de dd-opdracht onjuist beëindigt tijdens het versleutelingsproces van het besturingssysteem. Deze fout is opgelost in de meest recente Linux-kernel die is afgestemd op Azure. Om deze fout te voorkomen, moet u, voordat u versleuteling in de afbeelding inschakelen, bijwerken naar de kernel 4.15 of hoger van Azure met behulp van de volgende opdrachten:

sudo apt-get update
sudo apt-get install linux-azure
sudo reboot

Nadat de VM opnieuw is opgestart in de nieuwe kernel, kan de nieuwe kernelversie worden bevestigd met behulp van:

uname -a

De Azure Virtual Machine Agent en extensieversies bijwerken

Azure Disk Encryption-bewerkingen kunnen mislukken op virtuele-machine-afbeeldingen met niet-ondersteunde versies van de Azure Virtual Machine Agent. Linux-afbeeldingen met een eerdere versie dan 2.2.38 van de agent moeten worden bijgewerkt voordat versleuteling wordt inschakelen. Zie De Azure Linux-agent bijwerken op een VM en Ondersteuning voor minimale versie voor agents voor virtuele machines in Azure voor meer informatie.

De juiste versie van de extensie microsoft.Azure.Security.AzureDiskEncryption of Microsoft.Azure.Security.AzureDiskEncryptionForLinux gastagent is ook vereist. Extensieversies worden automatisch onderhouden en bijgewerkt door het platform wanneer aan de vereisten voor de Azure Virtual Machine-agent is voldaan en er een ondersteunde versie van de virtuele-machineagent wordt gebruikt.

De extensie Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux is afgeschaft en wordt niet meer ondersteund.

Kan Linux-schijven niet versleutelen

In sommige gevallen lijkt de Linux-schijfversleuteling te zijn vastgelopen bij 'Versleuteling van besturingssysteemschijf gestart' en is SSH uitgeschakeld. Het versleutelingsproces kan 3-16 uur duren voordat het versleutelingsproces voor een afbeelding in een voorraadgalerie is voltooien. Als er gegevensschijven van meerdere terabytes worden toegevoegd, kan het proces dagen duren.

Met de versleutelingsreeks voor linux-besturingssysteemschijven wordt het besturingssysteemstation tijdelijk ontkoppeld. Vervolgens wordt blok-voor-blok-versleuteling van de hele besturingssysteemschijf uitgevoerd voordat deze opnieuw wordt versleuteld. Linux Disk Encryption staat gelijktijdig gebruik van de VM niet toe terwijl de versleuteling wordt uitgevoerd. De prestatiekenmerken van de VM kunnen een aanzienlijk verschil maken in de tijd die nodig is om versleuteling te voltooien. Deze kenmerken omvatten de grootte van de schijf en of het opslagaccount Standard- of Premium-opslag (SSD) is.

Terwijl het besturingssysteemstation wordt versleuteld, krijgt de VM een onderhoudstoestand en wordt SSH uitgeschakeld om onderbreking van het lopende proces te voorkomen. Als u de versleutelingsstatus wilt controleren, Azure PowerShell de opdracht Get-AzVmDiskEncryptionStatus en controleert u het veld ProgressMessage. ProgressMessage rapporteert een reeks statussen terwijl de gegevens en besturingssysteemschijven zijn versleuteld:

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage            : Transitioning

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for data volumes

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Provisioning succeeded

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : OS disk encryption started

ProgressMessage blijft voor het grootste deel van het versleutelingsproces in besturingssysteemschijfversleuteling gestart. Wanneer de versleuteling is voltooid en is geslaagd, retourneert ProgressMessage het volgende:

PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"

OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Encryption succeeded for all volumes

Nadat dit bericht beschikbaar is, is het versleutelde besturingssysteemstation naar verwachting gereed voor gebruik en kan de VM weer worden gebruikt.

Als de opstartgegevens, het voortgangsbericht of een foutmelding geven dat de versleuteling van het besturingssysteem tijdens dit proces is mislukt, herstelt u de VM naar de momentopname of back-up die direct vóór de versleuteling is gemaakt. Een voorbeeld van een bericht is de fout 'kan niet ontkoppelen' die in deze handleiding wordt beschreven.

Voordat u versleuteling opnieuw gaat proberen, moet u de kenmerken van de VM opnieuw beoordelen en ervoor zorgen dat aan alle vereisten wordt voldaan.

Problemen met Azure Disk Encryption een firewall oplossen

Zie Schijfversleuteling in een geïsoleerd netwerk

Problemen met versleutelingsstatus oplossen

In de portal kan een schijf worden weergegeven als versleuteld, zelfs nadat deze niet is versleuteld in de VM. Dit kan gebeuren wanneer opdrachten op laag niveau worden gebruikt om de schijf rechtstreeks te ontsleutelen vanuit de VM, in plaats van de opdrachten op een hoger Azure Disk Encryption gebruiken. De opdrachten op een hoger niveau ontsleutelen niet alleen de schijf vanuit de VM, maar werken ook belangrijke versleutelingsinstellingen en extensie-instellingen op platformniveau bij die aan de VM zijn gekoppeld. Als deze niet in overeenstemming worden gehouden, kan het platform de versleutelingsstatus niet rapporteren of de VM niet goed inrichten.

Als u Azure Disk Encryption powershell wilt uitschakelen, gebruikt u Disable-AzVMDiskEncryption gevolgd door Remove-AzVMDiskEncryptionExtension. Het uitvoeren Remove-AzVMDiskEncryptionExtension voordat de versleuteling is uitgeschakeld, mislukt.

Als u Azure Disk Encryption cli wilt uitschakelen, gebruikt u az vm encryption disable.

Volgende stappen

In dit document hebt u meer geleerd over enkele veelvoorkomende problemen in Azure Disk Encryption en hoe u deze problemen kunt oplossen. Zie de volgende artikelen voor meer informatie over deze service en de mogelijkheden ervan: