Azure Disk Encryption för virtuella Linux-datorer
Varning
Den här artikeln refererar till CentOS, en Linux-distribution som närmar sig EOL-status (End Of Life). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.
Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Linux-datorer ✔️
Azure Disk Encryption hjälper till att skydda dina data så att din verksamhet uppfyller både interna och externa krav och åtaganden. Den använder DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna på virtuella Azure-datorer (VM) och är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter.
Azure Disk Encryption är zonmotståndskraftigt, på samma sätt som virtuella datorer. Mer information finns i Azure Services som stöder Tillgänglighetszoner.
Om du använder Microsoft Defender för molnet aviseras du om du har virtuella datorer som inte är krypterade. Aviseringarna visas som hög allvarlighetsgrad och rekommendationen är att kryptera dessa virtuella datorer.
Varning
- Om du tidigare har använt Azure Disk Encryption med Microsoft Entra-ID för att kryptera en virtuell dator måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn. Mer information finns i Azure Disk Encryption med Microsoft Entra ID (tidigare version).
- Vissa rekommendationer kan öka användningen av data, nätverk eller beräkningsresurser, vilket resulterar i ytterligare licens- eller prenumerationskostnader. Du måste ha en giltig aktiv Azure-prenumeration för att kunna skapa resurser i Azure i de regioner som stöds.
Du kan lära dig grunderna i Azure Disk Encryption för Linux på bara några minuter med snabbstarten Skapa och kryptera en virtuell Linux-dator med Azure CLI eller snabbstarten Skapa och kryptera en virtuell Linux-dator med Azure PowerShell.
Virtuella datorer och operativsystem som stöds
Virtuella datorer som stöds
Virtuella Linux-datorer är tillgängliga i olika storlekar. Azure Disk Encryption stöds på virtuella datorer av generation 1 och generation 2. Azure Disk Encryption är också tillgängligt för virtuella datorer med premiumlagring.
Se Storlekar på virtuella Azure-datorer utan lokal tillfällig disk.
Azure Disk Encryption är inte heller tillgängligt på grundläggande virtuella datorer i A-serien eller på virtuella datorer som inte uppfyller dessa minimikrav för minne:
Minneskrav
| Virtuell maskin | Minimikrav för minne |
|---|---|
| Virtuella Linux-datorer vid endast kryptering av datavolymer | 2 GB |
| Virtuella Linux-datorer vid kryptering av både data- och OS-volymer och där rotens (/) filsystemanvändning är 4 GB eller mindre | 8 GB |
| Virtuella Linux-datorer vid kryptering av både data- och OS-volymer och där rotens (/) filsystemanvändning är större än 4 GB | Rotfilsystemets användning * 2. Till exempel kräver en 16 GB rotfilsystemanvändning minst 32 GB RAM-minne |
När operativsystemets diskkrypteringsprocess är klar på virtuella Linux-datorer kan den virtuella datorn konfigureras att köras med mindre minne.
Fler undantag finns i Azure Disk Encryption: Restrictions (Azure Disk Encryption: Restrictions).
Operativsystem som stöds
Azure Disk Encryption stöds på en delmängd av De Azure-godkända Linux-distributionerna, som i sig är en delmängd av alla möjliga Distributioner av Linux-servrar.
Linux-serverdistributioner som inte stöds av Azure stöder inte Azure Disk Encryption. av de som har godkänts stöder endast följande distributioner och versioner Azure Disk Encryption:
| Publisher | Erbjudande | SKU | URN | Volymtyp som stöds för kryptering |
|---|---|---|---|---|
| Canonical | Ubuntu | 22.04-LTS | Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest | OPERATIVSYSTEM och datadisk |
| Canonical | Ubuntu | 22.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest | OPERATIVSYSTEM och datadisk |
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | OPERATIVSYSTEM och datadisk |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | OPERATIVSYSTEM och datadisk |
| Canonical | Ubuntu | 20.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | OPERATIVSYSTEM och datadisk |
| Canonical | Ubuntu | 20.04-DAILY-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | OPERATIVSYSTEM och datadisk |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | OPERATIVSYSTEM och datadisk |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | OPERATIVSYSTEM och datadisk |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* | OPERATIVSYSTEM och datadisk |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2-gen2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 8,4 | 8_4 | OpenLogic:CentOS:8_4:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 8,3 | 8_3 | OpenLogic:CentOS:8_3:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 8,2 | 8_2 | OpenLogic:CentOS:8_2:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 7,9 | 7_9 | OpenLogic:CentOS:7_9:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 7,8 | 7_8 | OpenLogic:CentOS:7_8:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 7,7 | 7.7 | OpenLogic:CentOS:7.7:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 7,6 | 7.6 | OpenLogic:CentOS:7.6:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 7.4 | 7,4 | OpenLogic:CentOS:7.4:latest | OPERATIVSYSTEM och datadisk |
| OpenLogic | CentOS 6,8 | 6.8 | OpenLogic:CentOS:6.8:latest | Endast datadisk |
| Oracle | Oracle Linux 8.6 | 8,6 | Oracle:Oracle-Linux:ol86-lvm:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| Oracle | Oracle Linux 8.6 Gen 2 | 8,6 | Oracle:Oracle-Linux:ol86-lvm-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| Oracle | Oracle Linux 8.5 | 8.5 | Oracle:Oracle-Linux:ol85-lvm:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| Oracle | Oracle Linux 8.5 Gen 2 | 8.5 | Oracle:Oracle-Linux:ol85-lvm-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 9.2 | 9,2 | RedHat:RHEL:9_2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 9.2 Gen 2 | 9,2 | RedHat:RHEL:92-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 9.0 | 9.0 | RedHat:RHEL:9_0:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 9.0 Gen 2 | 9.0 | RedHat:RHEL:90-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 9-lvm | 9-lvm | RedHat:RHEL:9-lvm:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 9-lvm Gen 2 | 9-lvm-gen2 | RedHat:RHEL:9-lvm-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.9 | 8,9 | RedHat:RHEL:8_9:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.9 Gen 2 | 8,9 | RedHat:RHEL:89-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.8 | 8.8 | RedHat:RHEL:8_8:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.8 Gen 2 | 8.8 | RedHat:RHEL:88-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.7 | 8.7 | RedHat:RHEL:8_7:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.7 Gen 2 | 8.7 | RedHat:RHEL:87-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.6 | 8,6 | RedHat:RHEL:8_6:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.6 Gen 2 | 8,6 | RedHat:RHEL:86-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.5 | 8.5 | RedHat:RHEL:8_5:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.5 Gen 2 | 8.5 | RedHat:RHEL:85-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.4 | 8,4 | RedHat:RHEL:8.4:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8-LVM Gen 2 | 8-lvm-gen2 | RedHat:RHEL:8-lvm-gen2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 7.8 | 7,8 | RedHat:RHEL:7.8:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 7.4 | 7,4 | RedHat:RHEL:7.4:latest | OPERATIVSYSTEM och datadisk (se anmärkning nedan) |
| RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | Datadisk (se anmärkning nedan) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Datadisk (se anmärkning nedan) |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Endast datadisk |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Endast datadisk |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Endast datadisk |
* För avbildningsversioner som är större än eller lika med maj 2023.
Kommentar
RHEL:
- Den nya Implementeringen av Azure Disk Encryption stöds för RHEL OS och datadisk för RHEL7 Betala per användning-avbildningar.
- ADE stöds också för RHEL Bring-Your-Own-Subscription Gold Images, men först efter att prenumerationen har registrerats . Mer information finns i Red Hat Enterprise Linux Bring-Your-Own-Subscription Gold Images i Azure
Alla distributioner:
- ADE-stöd för en viss erbjudandetyp sträcker sig inte längre än det slutdatum som utgivaren anger.
- Den äldre ADE-lösningen (med Microsoft Entra-autentiseringsuppgifter) rekommenderas inte för nya virtuella datorer och är inte kompatibel med RHEL-versioner senare än RHEL 7.8 eller med Python 3 som standard.
Ytterligare vm-krav
Azure Disk Encryption kräver att modulerna dm-crypt och vfat finns i systemet. Om du tar bort eller inaktiverar vfat från standardavbildningen hindras systemet från att läsa nyckelvolymen och hämta den nyckel som behövs för att låsa upp diskarna vid efterföljande omstarter. Systemhärdningssteg som tar bort vfat-modulen från systemet eller framtvingar att expandera os-monteringspunkter/-mappar på dataenheter är inte kompatibla med Azure Disk Encryption.
Innan kryptering aktiveras måste de datadiskar som ska krypteras anges korrekt i /etc/fstab. Använd alternativet "nofail" när du skapar poster och välj ett beständiga blockenhetsnamn (eftersom enhetsnamn i formatet "/dev/sdX" kanske inte är associerade med samma disk över omstarter, särskilt efter kryptering. Mer information om det här beteendet finns i: Felsöka ändringar av enhetsnamn för virtuella Linux-datorer).
Kontrollera att inställningarna för /etc/fstab är korrekt konfigurerade för montering. Om du vill konfigurera de här inställningarna kör du kommandot mount -a eller starta om den virtuella datorn och utlöser återmonteringen på det sättet. När det är klart kontrollerar du utdata från lsblk-kommandot för att kontrollera att enheten fortfarande är monterad.
- Om /etc/fstab-filen inte monterar enheten korrekt innan kryptering aktiveras kommer Azure Disk Encryption inte att kunna montera den korrekt.
- Azure Disk Encryption-processen flyttar monteringsinformationen från /etc/fstab och till en egen konfigurationsfil som en del av krypteringsprocessen. Oroa dig inte för att se att posten saknas i /etc/fstab när dataenhetskryptering har slutförts.
- Innan du påbörjar krypteringen måste du stoppa alla tjänster och processer som kan skrivas till monterade datadiskar och inaktivera dem, så att de inte startas om automatiskt efter en omstart. Dessa kan hålla filerna öppna på dessa partitioner, vilket förhindrar krypteringsproceduren att återmontera dem, vilket orsakar fel i krypteringen.
- Efter omstarten tar det tid för Azure Disk Encryption-processen att montera de nyligen krypterade diskarna. De blir inte omedelbart tillgängliga efter en omstart. Processen behöver tid för att starta, låsa upp och sedan montera de krypterade enheterna innan de är tillgängliga för andra processer att komma åt. Den här processen kan ta mer än en minut efter omstarten beroende på systemets egenskaper.
Här är ett exempel på de kommandon som används för att montera datadiskarna och skapa nödvändiga /etc/fstab-poster:
sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a
Nätverkskrav
För att aktivera azure diskkrypteringsfunktionen måste de virtuella Linux-datorerna uppfylla följande konfigurationskrav för nätverksslutpunkten:
- För att få en token för att ansluta till ditt nyckelvalv måste den virtuella Linux-datorn kunna ansluta till en Microsoft Entra-slutpunkt, [login.microsoftonline.com].
- Om du vill skriva krypteringsnycklarna till ditt nyckelvalv måste den virtuella Linux-datorn kunna ansluta till nyckelvalvsslutpunkten.
- Den virtuella Linux-datorn måste kunna ansluta till en Azure Storage-slutpunkt som är värd för Lagringsplatsen för Azure-tillägget och ett Azure-lagringskonto som är värd för VHD-filerna.
- Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresserna. Mer information finns i Azure Key Vault bakom en brandvägg.
Lagringskrav för krypteringsnycklar
Azure Disk Encryption kräver ett Azure Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter. Dina nyckelvalv och virtuella datorer måste finnas i samma Azure-region och prenumeration.
Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Terminologi
I följande tabell definieras några vanliga termer som används i dokumentationen för Azure-diskkryptering:
| Terminologi | Definition |
|---|---|
| Azure Key Vault | Key Vault är en kryptografisk nyckelhanteringstjänst som baseras på FIPS-verifierade maskinvarusäkerhetsmoduler (Federal Information Processing Standards). Dessa standarder hjälper till att skydda dina kryptografiska nycklar och känsliga hemligheter. Mer information finns i Dokumentation om Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| Azure CLI | Azure CLI är optimerat för att hantera och administrera Azure-resurser från kommandoraden. |
| DM-Crypt | DM-Crypt är det Linux-baserade, transparenta diskkrypteringsundersystemet som används för att aktivera diskkryptering på virtuella Linux-datorer. |
| Nyckelkrypteringsnyckel (KEK) | Den asymmetriska nyckeln (RSA 2048) som du kan använda för att skydda eller omsluta hemligheten. Du kan ange en maskinvarusäkerhetsmodul (HSM)-skyddad nyckel eller programvaruskyddad nyckel. Mer information finns i Dokumentation om Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| PowerShell-cmdletar | Mer information finns i Azure PowerShell-cmdletar. |
Nästa steg
- Snabbstart – Skapa och kryptera en virtuell Linux-dator med Azure CLI
- Snabbstart – Skapa och kryptera en virtuell Linux-dator med Azure PowerShell
- Azure Disk Encryption-scenarier på virtuella Linux-datorer
- Cli-skript för förhandskrav för Azure Disk Encryption
- PowerShell-skript för förhandskrav för Azure Disk Encryption
- Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption