Azure Disk Encryption för Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Översikt

Azure Disk Encryption använder dm-crypt-undersystemet i Linux för att tillhandahålla fullständig diskkryptering på utvalda Azure Linux-distributioner. Den här lösningen är integrerad med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter.

Förutsättningar

En fullständig lista över krav finns i Azure Disk Encryption virtuella Linux-datorer,särskilt följande avsnitt:

Tilläggsschema

Det finns två versioner av tilläggsschemat för Azure Disk Encryption (ADE):

  • v1.1 – Ett nyare rekommenderat schema som inte använder Azure Active Directory (AAD) egenskaper.
  • v0.1 – Ett äldre schema som Azure Active Directory (AAD) egenskaper.

Om du vill välja ett målschema typeHandlerVersion måste egenskapen vara inställd på samma version av schemat som du vill använda.

V1.1-schemat rekommenderas och kräver inte Azure Active Directory (AAD) egenskaper.

Anteckning

Parametern DiskFormatQuery är inaktuell. Dess funktion har ersatts av alternativet EncryptFormatAll i stället, vilket är det rekommenderade sättet att formatera datadiskar vid tidpunkten för kryptering.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v0.1: med AAD

0.1-schemat kräver AADClientID och antingen AADClientSecret eller AADClientCertificate .

Med hjälp av AADClientSecret :

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Med hjälp av AADClientCertificate :

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Egenskapsvärden

Obs! Alla egenskapsvärden är fallkänsliga.

Namn Värde/exempel Datatyp
apiVersion 2019-07-01 date
utgivare Microsoft.Azure.Security sträng
typ AzureDiskEncryptionForLinux sträng
typeHandlerVersion 1.1, 0.1 int
(0.1-schema) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guid
(0.1-schema) AADClientSecret password sträng
(0.1-schema) AADClientCertificate Stämpel sträng
(valfritt) (0.1-schema) Lösenfras password sträng
DiskFormatQuery {"dev_path":","name":"","file_system":""} JSON-ordlista
EncryptionOperation EnableEncryption, EnableEncryptionFormatAll sträng
(valfritt – RSA-OAEP som standard) KeyEncryptionAlgorithm RSA-OAEP, RSA-OAEP-256, RSA1_5 sträng
KeyVaultURL url sträng
KeyVaultResourceId url sträng
(valfritt) KeyEncryptionKeyURL url sträng
(valfritt) KekVaultResourceId url sträng
(valfritt) SequenceVersion uniqueidentifier sträng
VolumeType OS, Data, Alla sträng

Malldistribution

Ett exempel på malldistribution baserat på schema v1.1 finns i Azure-snabbstartsmallen encrypt-running-linux-vm-without-aad.

Ett exempel på malldistribution baserat på schema v0.1 finns i Azure-snabbstartsmallen encrypt-running-linux-vm.

Varning

  • Om du tidigare har använt Azure Disk Encryption Azure AD för att kryptera en virtuell dator måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn.
  • När du krypterar Linux OS-volymer bör den virtuella datorn anses vara otillgänglig. Vi rekommenderar starkt att du undviker SSH-inloggningar medan krypteringen pågår för att undvika problem som blockerar öppna filer som behöver nås under krypteringsprocessen. Om du vill kontrollera förloppet använder du PowerShell-cmdleten Get-AzVMDiskEncryptionStatus eller kommandot vm encryption show CLI. Den här processen kan förväntas ta några timmar för en os-volym på 30 GB, plus ytterligare tid för kryptering av datavolymer. Datavolymkrypteringstiden är proportionell mot storleken och kvantiteten för datavolymerna, såvida inte krypteringsformatet används för alla alternativ.
  • Inaktivering av kryptering på virtuella Linux-datorer stöds endast för datavolymer. Det stöds inte på data- eller OS-volymer om OS-volymen har krypterats.

Anteckning

Även om VolumeType parametern är inställd på Alla krypteras datadiskar endast om de är korrekt monterade.

Felsökning och support

Felsöka

Information om felsökning finns i felsökningsguiden för Azure Disk Encryption.

Support

Om du behöver mer hjälp när som helst i den här artikeln kan du kontakta Azure-experter på MSDN Azure och Stack Overflow forum.

Du kan också skapa en Azure-supportincident. Gå till Azure-support och välj Få support. Information om hur du använder Azure Support finns i vanliga frågor och svar Microsoft Azure supporten.

Nästa steg