Azure Disk Encryption-probleemoplossingsgids voor Linux-VM's
Van toepassing op: ✔️ Flexibele schaalsets voor Linux-VM's ✔️
Deze handleiding is bedoeld voor IT-professionals, informatiebeveiligingsanalisten en cloudbeheerders van wie organisaties Gebruikmaken van Azure Disk Encryption. Dit artikel is bedoeld voor hulp bij het oplossen van problemen met betrekking tot schijfversleuteling.
Voordat u een van de onderstaande stappen uitvoert, moet u eerst controleren of de VM's die u probeert te versleutelen, tot de ondersteunde VM-grootten en besturingssystemen behoren en of u aan alle vereisten voldoet:
Problemen met linux-besturingssysteemschijfversleuteling oplossen
Schijfversleuteling van linux-besturingssysteem (OS) moet het besturingssysteemstation ontkoppelen voordat het door het volledige schijfversleutelingsproces wordt uitgevoerd. Als het station niet kan worden ontkoppeld, wordt het foutbericht 'kan niet worden ontkoppeld na ...' waarschijnlijk optreedt.
Deze fout kan optreden wanneer schijfversleuteling van het besturingssysteem wordt geprobeerd op een VM met een omgeving die is gewijzigd vanuit de ondersteunde installatiekopie van de voorraadgalerie. Afwijkingen van de ondersteunde installatiekopieën kunnen de mogelijkheid van de extensie om het besturingssysteemstation los te koppelen, verstoren. Voorbeelden van afwijkingen kunnen de volgende items zijn:
- Aangepaste installatiekopieën komen niet meer overeen met een ondersteund bestandssysteem of partitieschema.
- Grote toepassingen zoals SAP, MongoDB, Apache Cassandra en Docker worden niet ondersteund wanneer ze vóór versleuteling worden geïnstalleerd en uitgevoerd in het besturingssysteem. Azure Disk Encryption kan deze processen niet veilig afsluiten, zoals vereist ter voorbereiding van het besturingssysteemstation voor schijfversleuteling. Als er nog steeds actieve processen zijn die open bestandsingangen op het besturingssysteemstation houden, kan het besturingssysteemstation niet worden ontkoppeld, wat resulteert in een fout bij het versleutelen van het besturingssysteemstation.
- Aangepaste scripts die worden uitgevoerd in de buurt van de versleuteling die wordt ingeschakeld, of als er tijdens het versleutelingsproces andere wijzigingen worden aangebracht op de VM. Dit conflict kan optreden wanneer een Azure Resource Manager-sjabloon meerdere extensies definieert die tegelijkertijd moeten worden uitgevoerd, of wanneer een aangepaste scriptextensie of andere actie tegelijkertijd wordt uitgevoerd op schijfversleuteling. Het probleem kan worden opgelost door dergelijke stappen te serialiseren en te isoleren.
- Security Enhanced Linux (SELinux) is niet uitgeschakeld voordat versleuteling is ingeschakeld, dus de stap voor ontkoppelen mislukt. SELinux kan opnieuw worden ingeschakeld nadat de versleuteling is voltooid.
- De besturingssysteemschijf maakt gebruik van een LVM-schema (Logical Volume Manager). Hoewel er beperkte ondersteuning voor LVM-gegevensschijven beschikbaar is, is een LVM-besturingssysteemschijf dat niet.
- Er wordt niet voldaan aan de minimale geheugenvereisten (7 GB wordt aanbevolen voor besturingssysteemschijfversleuteling).
- Gegevensstations worden recursief gekoppeld onder de map /mnt/ of elkaar (bijvoorbeeld /mnt/data1, /mnt/data2, /data3 + /data3/data4).
De standaardkernel voor Ubuntu 14.04 LTS bijwerken
De Ubuntu 14.04 LTS-installatiekopie wordt geleverd met een standaard kernelversie van 4.4. Deze kernelversie heeft een bekend probleem waarbij Out of Memory Killer de dd-opdracht onjuist beëindigt tijdens het versleutelingsproces van het besturingssysteem. Deze fout is opgelost in de meest recente, op Azure afgestemde Linux-kernel. Om deze fout te voorkomen, moet u, voordat u versleuteling voor de installatiekopie inschakelt, bijwerken naar de azure-kernel 4.15 of hoger met behulp van de volgende opdrachten:
sudo apt-get update
sudo apt-get install linux-azure
sudo reboot
Nadat de VM opnieuw is opgestart in de nieuwe kernel, kan de nieuwe kernelversie worden bevestigd met behulp van:
uname -a
De Azure Virtual Machine Agent en extensieversies bijwerken
Azure Disk Encryption-bewerkingen kunnen mislukken op installatiekopieën van virtuele machines met behulp van niet-ondersteunde versies van de Azure Virtual Machine Agent. Linux-installatiekopieën met agentversies ouder dan 2.2.38 moeten worden bijgewerkt voordat versleuteling wordt ingeschakeld. Zie How to update the Azure Linux Agent on a VM (De Azure Linux-agent op een VM bijwerken ) en Minimale versieondersteuning voor virtuele-machineagents in Azure voor meer informatie.
De juiste versie van de gastagentextensie Microsoft.Azure.Security.AzureDiskEncryption of Microsoft.AzureDiskEncryptionForLinux is ook vereist. Extensieversies worden automatisch onderhouden en bijgewerkt door het platform wanneer aan de vereisten van de Azure Virtual Machine-agent is voldaan en er een ondersteunde versie van de virtuele-machineagent wordt gebruikt.
De extensie Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux is afgeschaft en wordt niet meer ondersteund.
Kan Linux-schijven niet versleutelen
In sommige gevallen lijkt de Linux-schijfversleuteling vast te zitten bij 'Besturingssysteemschijfversleuteling gestart' en is SSH uitgeschakeld. Het kan 3-16 uur duren voordat het versleutelingsproces is voltooid op een installatiekopie van een voorraadgalerie. Als gegevensschijven met meerdere terabytegrootten worden toegevoegd, kan het proces dagen duren.
De schijfversleutelingsreeks van het Linux-besturingssysteem ontkoppelt het besturingssysteemstation tijdelijk. Vervolgens wordt blok voor blok versleuteling van de hele besturingssysteemschijf uitgevoerd voordat deze opnieuw wordt gekoppeld in de versleutelde status. Linux Disk Encryption staat geen gelijktijdig gebruik van de VM toe terwijl de versleuteling wordt uitgevoerd. De prestatiekenmerken van de VM kunnen een aanzienlijk verschil maken in de tijd die nodig is om de versleuteling te voltooien. Deze kenmerken omvatten de grootte van de schijf en of het opslagaccount Standard- of Premium-opslag (SSD) is.
Terwijl het besturingssysteemstation wordt versleuteld, krijgt de VM een onderhoudsstatus en wordt SSH uitgeschakeld om onderbrekingen van het lopende proces te voorkomen. Als u de versleutelingsstatus wilt controleren, gebruikt u de Azure PowerShell opdracht Get-AzVmDiskEncryptionStatus en controleert u het veld ProgressMessage. ProgressMessage rapporteert een reeks statussen als de gegevens en besturingssysteemschijven zijn versleuteld:
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage : Transitioning
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for data volumes
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Provisioning succeeded
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : OS disk encryption started
ProgressMessage blijft in de besturingssysteemschijfversleuteling die is gestart voor het grootste deel van het versleutelingsproces. Wanneer de versleuteling is voltooid en geslaagd, retourneert ProgressMessage het volgende:
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : Encrypted
DataVolumesEncrypted : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for all volumes
Nadat dit bericht beschikbaar is, is het versleutelde besturingssysteemstation naar verwachting gereed voor gebruik en is de VM klaar om opnieuw te worden gebruikt.
Als de opstartgegevens, het voortgangsbericht of een fout meldt dat versleuteling van het besturingssysteem is mislukt in het midden van dit proces, herstelt u de VM naar de momentopname of back-up die onmiddellijk vóór de versleuteling is gemaakt. Een voorbeeld van een bericht is de fout 'Kan niet ontkoppelen' die in deze handleiding wordt beschreven.
Voordat u de versleuteling opnieuw uitvoert, evalueert u de kenmerken van de VM opnieuw en zorgt u ervoor dat aan alle vereisten wordt voldaan.
Problemen met Azure Disk Encryption achter een firewall oplossen
Zie Schijfversleuteling op een geïsoleerd netwerk
Problemen met versleutelingsstatus oplossen
In de portal kan een schijf worden weergegeven als versleuteld, zelfs nadat deze niet is versleuteld binnen de VIRTUELE machine. Dit kan gebeuren wanneer opdrachten op laag niveau worden gebruikt om de schijf rechtstreeks vanuit de VM te ontsleutelen, in plaats van de Azure Disk Encryption-beheeropdrachten op een hoger niveau te gebruiken. Met opdrachten op een hoger niveau wordt de schijf niet alleen vanuit de VIRTUELE machine ontsleuteld, maar ook buiten de VM worden belangrijke versleutelingsinstellingen op platformniveau en extensie-instellingen bijgewerkt die zijn gekoppeld aan de VM. Als deze niet worden uitgelijnd, kan het platform de versleutelingsstatus niet rapporteren of de VM niet correct inrichten.
Als u Azure Disk Encryption wilt uitschakelen met PowerShell, gebruikt u Disable-AzVMDiskEncryption gevolgd door Remove-AzVMDiskEncryptionExtension. Het uitvoeren van Remove-AzVMDiskEncryptionExtension voordat de versleuteling is uitgeschakeld, mislukt.
Als u Azure Disk Encryption met CLI wilt uitschakelen, gebruikt u az vm encryption disable.
Volgende stappen
In dit document hebt u meer geleerd over enkele veelvoorkomende problemen in Azure Disk Encryption en hoe u deze problemen kunt oplossen. Zie de volgende artikelen voor meer informatie over deze service en de mogelijkheden ervan: