Linux VM'leri için Azure Disk Şifrelemesi
Uygulama: ✔️ Linux VM'leri ✔️ Esnek ölçek kümeleri
Azure Disk Şifrelemesi verilerinizi koruyarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Linux'un DM-Crypt özelliğini kullanarak Azure sanal makinelerinin (VM) işletim sistemi ve veri diskleri için birim şifrelemesi sağlar ve disk şifreleme anahtarlarını ve gizli dizilerini denetlemeye ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleştirilmiştir.
Azure Disk Şifrelemesi, Bölgeye karşı, Sanal Makineler ile aynı şekildedir. Ayrıntılar için bkz. Kullanılabilirlik Alanları.
Bulut için Microsoft Defender kullanıyorsanız,şifrelenmez vm'ler varsa uyarabilirsiniz. Uyarılar Yüksek Önem Derecesi olarak gösterir ve öneri bu VM'leri şifrelemektir.
Uyarı
- Bir VM'yi şifrelemek Azure Disk Şifrelemesi Azure AD ile daha önce sanal makinenizi kullandıysanız, VM'nizi şifrelemek için bu seçeneği kullanmaya devam edin. Ayrıntılar Azure Disk Şifrelemesi Azure AD (önceki sürüm) ile ilgili genel bilgiler için bkz.
- Bazı öneriler veri, ağ veya işlem kaynağı kullanımını artırarak ek lisans veya abonelik maliyetlerine neden olabilir. Desteklenen bölgelerde Azure'da kaynak oluşturmak için geçerli bir etkin Azure aboneliğinizin olması gerekir.
Azure CLI ile Linux VM oluşturma ve şifreleme hızlı başlangıç veya Linux VM oluşturma ve şifreleme hızlı başlangıç adımlarını kullanarak Linux için Azure Disk Şifrelemesi temellerini birkaç dakika Azure PowerShell içinde öğrenabilirsiniz.
Desteklenen VM'ler ve işletim sistemleri
Desteklenen VM'ler
Linux VM'leri çeşitli boyutlarda kullanılabilir. Azure Disk Şifrelemesi, 1. Nesil ve 2. Nesil VM'lerde de desteklenebildi. Azure Disk Şifrelemesi premium depolamaya sahip VM'ler için de kullanılabilir.
Bkz. Yerel geçici diske sahip Azure VM boyutları.
Azure Disk Şifrelemesi, Temel, A SerisiVM'lerde veya bu en düşük bellek gereksinimlerini karşılamamış sanal makinelerde de kullanılamaz:
| Sanal makine | En düşük bellek gereksinimi |
|---|---|
| Yalnızca veri birimlerini şifrelerken Linux VM'leri | 2 GB |
| Hem veri hem de işletim sistemi birimlerini şifrelerken ve kök (/) dosya sistemi kullanımının 4 GB veya daha az olduğu Linux VM'leri | 8 GB |
| Hem veri hem de işletim sistemi birimlerini şifrelerken ve kök (/) dosya sistemi kullanımının 4 GB'ın üzerinde olduğu Linux VM'leri | Kök dosya sistemi kullanımı * 2. Örneğin, 16 GB kök dosya sistemi kullanımı için en az 32 GB RAM gerekir |
Linux sanal makinelerde işletim sistemi disk şifreleme işlemi tamamlandıktan sonra, VM daha az bellekle çalıştıracak şekilde yalıtabilirsiniz.
Diğer özel durumlar için bkz. Azure Disk Şifrelemesi: Desteklenmeyen senaryolar.
Desteklenen işletim sistemleri
Azure Disk Şifrelemesi, kendisi tüm Linux sunucusu olası dağıtımlarının bir alt kümesi olan Azure tarafından desteklenen Linuxdağıtımlarının bir alt kümesinde de kullanılabilir.
Azure tarafından onaylanmayacak Linux sunucu dağıtımları, azure tarafından Azure Disk Şifrelemesi; yalnızca aşağıdaki dağıtımlar ve sürümler desteklenen dağıtımları Azure Disk Şifrelemesi:
| Publisher | Sunduğu | SKU | URN | Şifreleme için desteklenen birim türü |
|---|---|---|---|---|
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-odak:20_04-lts:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu | 20,04-DAILY-LTS | Canonical:0001-com-ubuntu-server-odak-daily:20_04-daily-lts:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu | 20.04-LTS 2. Nesil | Canonical:0001-com-ubuntu-server-odak:20_04-lts-gen2:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu | 20.04-DAILY-LTS 2. Nesil | Canonical:0001-com-ubuntu-server-odak-daily:20_04-daily-lts-gen2:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu 16.04 | 16.04-DAILY-LTS | Canonical:UbuntuServer:16.04-DAILY-LTS:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu 14.04.5Azure ayarlanmış çekirdeği 4.15 veya sonraki bir 4.15'e güncelleştirildi | 14.04.5-LTS | Canonical:UbuntuServer:14.04.5-LTS:latest | Işletim sistemi ve veri diski |
| Canonical | Ubuntu 14.04.5Azure ayarlanmış çekirdeği 4.15 veya sonraki bir 4.15'e güncelleştirildi | 14.04.5-DAILY-LTS | Canonical:UbuntuServer:14.04.5-DAILY-LTS:latest | Işletim sistemi ve veri diski |
| RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:8.2.20200905 | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.8 | 7.8 | RedHat:RHEL:7.8:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.5 | 7,5 | RedHat:RHEL:7.5:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.4 | 7.4 | RedHat:RHEL:7.4:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.3 | 7.3 | RedHat:RHEL:7.3:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 7.2 | 7.2 | RedHat:RHEL:7.2:latest | Işletim sistemi ve veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | Veri diski (aşağıdaki nota bakın) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Veri diski (aşağıdaki nota bakın) |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | Işletim sistemi ve veri diski |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | Işletim sistemi ve veri diski |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | Işletim sistemi ve veri diski |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | Işletim sistemi ve veri diski |
| OpenLogic | CentOS 8.1 | 8_1 | OpenLogic:CentOS:8_1:latest | Işletim sistemi ve veri diski |
| OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | Işletim sistemi ve veri diski |
| OpenLogic | CentOS 7,9 | 7_9 | OpenLogic: CentOS: 7_9: en son | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7,8 | 7_8 | OpenLogic: CentOS: 7_8: en son | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7,7 | 7.7 | OpenLogic: CentOS: 7.7: latest | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7,6 | 7.6 | OpenLogic: CentOS: 7.6: latest | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7.5 | 7,5 | OpenLogic: CentOS: 7.5: en son | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7.4 | 7.4 | OpenLogic: CentOS: 7.4: latest | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7,3 | 7.3 | OpenLogic: CentOS: 7.3: en son | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7.2 n | 7.2 n | OpenLogic: CentOS: 7.2 n: en son | İşletim sistemi ve veri diski |
| OpenLogic | CentOS 7,1 | 7.1 | OpenLogic: CentOS: 7.1: en son | Yalnızca veri diski |
| OpenLogic | CentOS 7,0 | 7.0 | OpenLogic: CentOS: 7.0: en son | Yalnızca veri diski |
| OpenLogic | CentOS 6,8 | 6.8 | OpenLogic: CentOS: 6.8: latest | Yalnızca veri diski |
| SUSE | openSUSE 42,3 | 42,3 | SUSE: openSUSE-artık: 42.3: latest | Yalnızca veri diski |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE: SLES: 12-SP4: en son | Yalnızca veri diski |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE: SLES-HPC: 12-SP3: en son | Yalnızca veri diski |
Not
Yeni Azure disk şifrelemesi uygulama, RHEL7 Kullandıkça Öde görüntüleri için RHEL OS ve veri diski için desteklenir.
Ayrıca, yalnızca abonelik kaydedildikten sonra da RHEL-kendi aboneliği getir Gold GÖRÜNTÜLERI için Ade desteklenir. daha fazla bilgi için bkz. Azure 'da kendi aboneliğinizi getir Gold görüntülerini Red Hat Enterprise Linux
Belirli bir teklif türü için ADE desteği, yayımcı tarafından belirtilen yaşam bitiş tarihinin ötesinde genişlemez.
eski ADE çözümü (AAD kimlik bilgileri kullanılarak) yeni VM 'ler için önerilmez ve rhel 7,8 ' den sonraki rhel sürümleriyle uyumlu değildir.
Ek VM gereksinimleri
Azure disk şifrelemesi, sistemde dm-crypt ve VFAT modüllerinin bulunmasını gerektirir. VFAT 'i varsayılan görüntüden kaldırmak veya devre dışı bırakmak, sistemin anahtar birimini okumasını ve sonraki yeniden başlatmalarda disklerin kilidini açmak için gereken anahtarı almasını engeller. VFAT modülünü sistemden kaldırmak veya veri sürücülerindeki işletim sistemi bağlama noktalarını/klasörlerini genişletmeyi zorlamak için sistem sağlamlaştırma adımları Azure disk şifrelemesi ile uyumlu değildir.
Şifrelemeyi etkinleştirmeden önce, şifrelenecek veri disklerinin/etc/fstabnda doğru şekilde listelenmesi gerekir. Giriş oluştururken "NOFAIL" seçeneğini kullanın ve kalıcı bir cihaz adı seçin ("/dev/sdX" biçimindeki cihaz adları yeniden başlatmalar genelinde aynı disk ile ilişkilendirilemeyebilir, özellikle şifrelemeden sonra, bu davranış hakkında daha fazla bilgi için bkz.: LINUX VM cihaz adı değişiklikleri sorunlarını giderme).
/Etc/fstab ayarlarının bağlama için doğru yapılandırıldığından emin olun. Bu ayarları yapılandırmak için, Mount-a komutunu çalıştırın veya VM 'yi yeniden başlatın ve bu şekilde uzak yeniden bağlama 'yı tetikleyin. Bu tamamlandıktan sonra, sürücünün hala bağlı olduğunu doğrulamak için lsblk komutunun çıkışını kontrol edin.
- /Etc/fstab dosyası Şifrelemeyi etkinleştirmeden önce sürücüyü doğru bağmazsa, Azure disk şifrelemesi onu düzgün bir şekilde bağlanamaz.
- Azure Disk Şifrelemesi işlemi, bağlama bilgilerini şifreleme sürecinin bir parçası olarak/etc/fstab ' dan ve kendi yapılandırma dosyasına taşıyacaktır. Veri sürücüsü şifrelemesi tamamlandıktan sonra/etc/fstab içinde eksik girişi görmek için uyarıda yok.
- Şifrelemeyi başlatmadan önce, bağlı veri disklerine yazmak ve devre dışı bırakmak için yeniden başlatmadan sonra otomatik olarak yeniden başlatabilmeleri için tüm hizmetleri ve süreçlerini durdurmayı unutmayın. Bunlar, dosyaları bu bölümlerde açık tutabilir, böylece şifreleme yordamının yeniden bağlanmasını önler ve bu da şifrelemenin başarısız olmasına neden olur.
- Yeniden başlatmadan sonra, Azure disk şifrelemesi işleminin yeni şifrelenmiş diskleri bağlaması zaman alır. Yeniden başlatmadan sonra hemen kullanılamayacak. İşlem, diğer işlemlerin erişebilmesi için önce şifrelenmiş sürücüleri açmak, kilitlerini açmak ve ardından bağlamak için zaman gerektirir. Bu işlem, sistem özelliklerine bağlı olarak yeniden başlatma sonrasında bir dakikadan uzun sürebilir.
Veri disklerini bağlamak ve gerekli/etc/fstab girdilerini oluşturmak için kullanılan komutlara bir örnek aşağıda verilmiştir:
UUID0="$(blkid -s UUID -o value /dev/sda1)"
UUID1="$(blkid -s UUID -o value /dev/sda2)"
mkdir /data0
mkdir /data1
echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
mount -a
Ağ gereksinimleri
Azure Disk Şifrelemesi özelliğini etkinleştirmek için Linux VM 'lerinin aşağıdaki ağ uç noktası yapılandırma gereksinimlerini karşılaması gerekir:
- anahtar kasanıza bağlanma belirteci almak için, Linux VM 'nin bir Azure Active Directory uç noktasına bağlanabilmesi gerekir, [ login.microsoftonline.com ] .
- Şifreleme anahtarlarını anahtar kasanıza yazmak için, Linux VM 'nin Anahtar Kasası uç noktasına bağlanabiliyor olması gerekir.
- Linux VM, Azure uzantı deposunu barındıran bir Azure depolama uç noktasına ve VHD dosyalarını barındıran bir Azure depolama hesabına bağlanabilmelidir.
- Güvenlik ilkeniz, Azure VM 'lerinden Internet 'e erişimi sınırlayıp, önceki URI 'yi çözümleyebilir ve IP 'lere giden bağlantılara izin vermek için belirli bir kuralı yapılandırabilirsin. Daha fazla bilgi için bkz. Azure Key Vault bir güvenlik duvarı arkasında.
Şifreleme anahtarı depolama gereksinimleri
Azure disk şifrelemesi, disk şifreleme anahtarlarını ve gizli dizileri denetlemek ve yönetmek için bir Azure Key Vault gerektirir. Anahtar kasanızın ve sanal makinelerinizin aynı Azure bölgesinde ve abonelikte bulunması gerekir.
Ayrıntılar için bkz. Azure disk şifrelemesi için bir Anahtar Kasası oluşturma ve yapılandırma.
Terminoloji
Aşağıdaki tabloda, Azure disk şifrelemesi belgelerinde kullanılan bazı yaygın terimler tanımlanmaktadır:
| Terminoloji | Tanım |
|---|---|
| Azure Key Vault | Key Vault, Federal bilgi Işleme standartları (FIPS) tarafından doğrulanan donanım güvenlik modüllerini temel alan bir şifreleme, anahtar yönetim hizmetidir. Bu standartlar, şifreleme anahtarlarınızı ve hassas gizli dizileri korumaya yardımcı olur. Daha fazla bilgi için bkz. Azure Key Vault belgeleri ve Azure disk şifrelemesi için bir Anahtar Kasası oluşturma ve yapılandırma. |
| Azure CLI | Azure CLI, Azure kaynaklarını komut satırından yönetmek ve yönetmek için iyileştirilmiştir. |
| DM-Crypt | Dm-crypt , Linux sanal makinelerinde disk şifrelemeyi etkinleştirmek Için kullanılan Linux tabanlı, saydam disk şifreleme alt sistemidir. |
| Anahtar şifreleme anahtarı (KEK) | Gizli anahtarı korumak veya kaydırmak için kullanabileceğiniz asimetrik anahtar (RSA 2048). Donanım güvenlik modülü (HSM) korumalı bir anahtar veya yazılımla korunan anahtar sağlayabilirsiniz. Daha fazla bilgi için bkz. Azure Key Vault belgeleri ve Azure disk şifrelemesi için bir Anahtar Kasası oluşturma ve yapılandırma. |
| PowerShell cmdlet'leri | daha fazla bilgi için bkz. Azure PowerShell cmdlet 'leri. |
Sonraki adımlar
- Hızlı başlangıç-Azure CLı ile Linux VM oluşturma ve şifreleme
- Hızlı başlangıç-Azure PowerShell bir Linux sanal makinesi oluşturma ve şifreleme
- Linux VM’lerde Azure Disk Şifrelemesi senaryoları
- Azure disk şifrelemesi önkoşulları CLı betiği
- Azure disk şifrelemesi önkoşulları PowerShell betiği
- Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma