Поделиться через

Миграция из шифрования дисков Azure в шифрование на узле

Это важно

Шифрование дисков Azure для виртуальных машин и масштабируемых наборов виртуальных машин будет прекращено 15 сентября 2028 г. Новые клиенты должны использовать шифрование на узле для всех новых виртуальных машин. Существующие клиенты должны планировать перенос текущих виртуальных машин с поддержкой ADE в шифрование на узле до даты выхода на пенсию, чтобы избежать нарушения работы службы. См. статью "Миграция из шифрования дисков Azure в шифрование на узле".

В этой статье приводятся пошаговые инструкции по переносу виртуальных машин из шифрования дисков Azure (ADE) в шифрование на узле. Процесс миграции требует создания новых дисков и виртуальных машин, так как преобразование на месте не поддерживается.

Обзор миграции

Шифрование дисков Azure (ADE) шифрует данные на виртуальной машине с помощью BitLocker (Windows) или dm-crypt (Linux), а шифрование на узле шифрует данные на уровне узла виртуальной машины без использования ресурсов ЦП виртуальной машины. Шифрование на узле улучшает шифрование на стороне сервера Azure (SSE), предоставляя сквозное шифрование для всех данных виртуальной машины, включая временные диски, кэши и потоки данных между вычислительными ресурсами и хранилищем.

Дополнительные сведения см. в разделе "Общие сведения о параметрах шифрования управляемых дисков " и "Включение сквозного шифрования с помощью шифрования на узле".

Ограничения и рекомендации по миграции

Прежде чем начать процесс миграции, помните об этих важных ограничениях и рекомендациях, влияющих на стратегию миграции:

  • Нет миграции на месте: вы не можете напрямую преобразовать зашифрованные ADE-диски в шифрование на узле. Для миграции требуется создание новых дисков и виртуальных машин.

  • Ограничение диска ОС Linux: отключение ADE на дисках ОС Linux не поддерживается. Для виртуальных машин Linux с дисками ОС с шифрованием ADE необходимо создать виртуальную машину с новым диском ОС.

  • Шаблоны шифрования Windows ADE: на виртуальных машинах Windows шифрование дисков Azure может шифровать только диск ОС только или все диски (ОС + диски данных). Невозможно шифровать только диски данных на виртуальных машинах Windows.

  • Сохраняемость флага UDE: диски, зашифрованные с помощью шифрования дисков Azure, имеют флаг унифицированного шифрования данных (UDE), который сохраняется даже после расшифровки. Оба моментальных снимка и диски копируются с помощью параметра копирования, сохраняя этот флаг UDE. Миграция требует создания новых управляемых дисков с помощью метода Upload и копирования данных большого двоичного объекта VHD, который создает новый объект диска без каких-либо метаданных из исходного диска.

  • Требуется время простоя. Процесс миграции требует простоя виртуальной машины для операций с дисками и восстановления виртуальных машин.

  • Присоединенные к домену виртуальные машины. Если виртуальные машины являются частью домена Active Directory, необходимо выполнить дополнительные действия.

    • Перед удалением исходной виртуальной машины необходимо удалить из домена
    • После создания новой виртуальной машины необходимо повторно присоединиться к домену.
    • Для виртуальных машин Linux присоединение к домену можно выполнить с помощью расширений Azure AD.

    Дополнительные сведения см. в разделе "Что такое доменные службы Microsoft Entra"

Предпосылки

Перед началом миграции:

  1. Резервное копирование данных: создайте резервные копии всех критически важных данных перед началом процесса миграции.

  2. Сначала протестируйте процесс. Если это возможно, протестируйте процесс миграции на непроизводной виртуальной машине.

  3. Подготовка ресурсов шифрования. Убедитесь, что размер виртуальной машины поддерживает шифрование на узле. Большинство текущих размеров виртуальных машин поддерживают эту функцию. Дополнительные сведения о требованиях к размеру виртуальной машины см. в разделе "Включение сквозного шифрования с помощью шифрования на узле".

  4. Конфигурация документа. Запишите текущую конфигурацию виртуальной машины, включая параметры сети, расширения и подключенные ресурсы.

Шаги миграции

Следующие шаги миграции работают для большинства сценариев с определенными различиями, отмеченными для каждой операционной системы.

Это важно

Виртуальные машины Linux с зашифрованными дисками ОС нельзя расшифровать на месте. Для этих виртуальных машин необходимо создать виртуальную машину с новым диском ОС и перенести данные. См. раздел "Миграция виртуальных машин Linux с зашифрованными дисками ОС " после просмотра общего процесса ниже.

Отключение шифрования дисков Azure

Сначала необходимо отключить существующее шифрование дисков Azure, если это возможно:

После выполнения команды отключения ADE состояние шифрования виртуальной машины на портале Azure немедленно изменится на "SSE+ PMK". Однако фактический процесс расшифровки на уровне ОС занимает время и зависит от объема зашифрованных данных. Перед переходом к следующему шагу необходимо убедиться, что расшифровка на уровне ОС завершена.

Для виртуальных машин Windows:

  • Откройте командную строку от имени администратора и выполните следующую команду: manage-bde -status
  • Убедитесь, что все тома отображают состояние "Полностью расшифрованы"
  • Процент расшифровки должен отображать 100% для всех зашифрованных томов

Для виртуальных машин Linux (только для дисков данных):

  • Выполните sudo cryptsetup status /dev/mapper/<device-name>.
  • Убедитесь, что зашифрованные устройства больше не активны
  • Проверьте: lsblk чтобы подтвердить отсутствие зашифрованных сопоставлений

Дождитесь завершения расшифровки, прежде чем продолжить миграцию дисков, чтобы обеспечить целостность данных.

Создание новых управляемых дисков

Создайте новые диски, которые не переносят метаданные шифрования ADE. Этот процесс работает как для виртуальных машин Windows, так и для Linux с некоторыми конкретными рекомендациями по дискам ОС Linux.

# Get the source disk ID
SOURCE_DISK_ID=$(az disk show --resource-group "MyResourceGroup" --name "MySourceDisk" --query "id" -o tsv)

# Create a new disk from the source disk
az disk create --resource-group "MyResourceGroup" --name "MyTargetDisk" 
  --source "$SOURCE_DISK_ID" --upload-type "Copy"

# For OS disks, specify --os-type "Linux" or --os-type "Windows"

Замечание

Этот метод создает новые диски без метаданных шифрования дисков Azure (флаг UDE), что является важным для чистой миграции.

Важно. При копировании управляемого диска из Azure добавьте 512 байтов к размеру диска в учетную запись нижнего колонтитула, который Azure пропускает при создании отчетов о размере диска.

Создание виртуальной машины с шифрованием

Создайте виртуальную машину с помощью только что созданных дисков с выбранным методом шифрования.

Вы можете выбрать один из нескольких вариантов шифрования в зависимости от требований к безопасности. В этой статье приведены инструкции по созданию виртуальной машины с шифрованием на узле, который является наиболее распространенным путем миграции. Другие параметры шифрования рассматриваются в разделе "Общие сведения о параметрах шифрования управляемых дисков".

Создание виртуальной машины с шифрованием на узле

Шифрование на узле обеспечивает ближайший эквивалент охвата шифрования дисков Azure и рассматривается в этом разделе.

Для дисков ОС:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

Для дисков данных:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

Проверка и настройка новых дисков

После создания виртуальной машины с шифрованием на узле необходимо проверить и правильно настроить диски для операционной системы.

Для виртуальных машин Windows:

  • Убедитесь, что буквы диска назначены правильно
  • Проверка правильности доступа к дискам приложений
  • Обновление любых приложений или сценариев, ссылающихся на идентификаторы определенных дисков

Для виртуальных машин Linux:

  • Обновление /etc/fstab с помощью новых идентификаторов UUID диска
  • Подключение дисков данных к правильным точкам подключения
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

Для Windows и Linux могут потребоваться дополнительные действия по настройке, относящиеся к приложениям или рабочим нагрузкам.

Проверка шифрования и очистки

Убедитесь, что шифрование на узле правильно настроено на виртуальных машинах Windows и Linux.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

После подтверждения правильности работы шифрования на узле:

  1. Проверка функциональности виртуальной машины для обеспечения правильной работы приложений
  2. Убедитесь, что данные доступны и нетронуты
  3. Удалите исходные ресурсы при удовлетворении миграции:
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Перенос виртуальных машин Linux с зашифрованными дисками ОС

Так как вы не можете отключить шифрование на дисках ОС Linux, процесс отличается от Windows.

  1. Создание виртуальной машины с включенным шифрованием на узле

    az vm create \
  --resource-group "MyResourceGroup" \
  --name "MyVM-New" \
  --image "Ubuntu2204" \
  --encryption-at-host true \
  --admin-username "azureuser" \
  --generate-ssh-keys

  2. Для параметров миграции данных:

    • Для данных приложения: используйте SCP, rsync или другие методы передачи файлов для копирования данных
    • Для конфигурации: репликация важных файлов конфигурации и параметров
    • Для сложных приложений: использование процедур резервного копирования и восстановления, подходящих для приложений
    # Example of using SCP to copy files from source to new VM
az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
  --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"

После создания новой виртуальной машины:

  1. Настройка новой виртуальной машины для сопоставления исходной среды

    • Настройка одной и той же конфигурации сети
    • Установка одинаковых приложений и служб
    • Применение одинаковых параметров безопасности

  2. Тщательно протестируйте перед выводом исходной виртуальной машины

Этот подход подходит для виртуальных машин Windows и Linux, но особенно важен для виртуальных машин Linux с зашифрованными дисками ОС, которые нельзя расшифровать на месте.

Инструкции по миграции данных см. в статье "Отправка VHD-диска в Azure " и копирование файлов на виртуальную машину Linux с помощью SCP.

Рекомендации по присоединенной к домену виртуальной машины

Если виртуальные машины являются членами домена Active Directory, в процессе миграции требуются дополнительные действия.

Шаги домена предварительной подготовки

  1. Членство в домене документа: записывайте текущий домен, подразделение (подразделение) и любые специальные членства в группах
  2. Учетная запись компьютера Примечание. Учетная запись компьютера в Active Directory должна управляться
  3. Конфигурации, относящиеся к домену резервного копирования: сохранение всех параметров, групповых политик или сертификатов для конкретного домена

Процесс удаления домена

  1. Удаление из домена. Перед удалением исходной виртуальной машины удалите ее из домена с помощью одного из следующих методов:

    • Использование Remove-Computer командлета PowerShell в Windows
    • Диалоговое окно "Свойства системы" для изменения в рабочую группу
    • Удаление учетной записи компьютера вручную с пользователей и компьютеров Active Directory

  2. Очистка Active Directory: удаление всех потерянных учетных записей компьютера или записей DNS

Повторное присоединение домена после миграции

  1. Присоединение новой виртуальной машины к домену: после создания новой виртуальной машины с шифрованием на узле:

    • Для Windows: использование Add-Computer командлета PowerShell или системных свойств
    • Для Linux: использование расширения присоединения к домену Azure AD или ручной настройки

  2. Восстановление параметров домена. Повторное применение любых конфигураций для конкретного домена, групповых политик или сертификатов

  3. Проверка функциональности домена: проверка подлинности домена, приложения групповой политики и доступа к сетевым ресурсам

Присоединение домена Linux

Для виртуальных машин Linux можно использовать расширение виртуальной машины доменных служб Azure AD:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Дополнительные сведения см. в разделе "Что такое доменные службы Microsoft Entra"

Важные рекомендации по домену

  • Новая виртуальная машина имеет другой идентификатор безопасности компьютера, который может повлиять на некоторые приложения.
  • Необходимо обновить билеты Kerberos и кэшированные учетные данные
  • Для некоторых приложений, интегрированных с доменом, может потребоваться перенастройка
  • Планирование возможной временной потери доменных служб во время миграции

Проверка после миграции

После завершения миграции убедитесь, что шифрование на узле работает правильно:

  1. Проверьте шифрование в состоянии узла: убедитесь, что шифрование на узле включено:

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

  2. Проверка функциональности виртуальной машины. Убедитесь, что приложения и службы работают правильно.

  3. Проверка шифрования дисков: убедитесь, что диски правильно зашифрованы:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState

  4. Мониторинг производительности. Сравните производительность до и после миграции, чтобы подтвердить ожидаемые улучшения.

Дополнительные сведения о проверке шифрования см. в разделе "Включение сквозного шифрования" с помощью шифрования на узле.

Cleanup

После успешной миграции и проверки:

  1. Удаление старой виртуальной машины: удаление исходной виртуальной машины с шифрованием ADE

  2. Удаление старых дисков: удаление исходных зашифрованных дисков

  3. Обновление политик доступа Key Vault: другие решения для шифрования дисков используют стандартные механизмы авторизации Key Vault. Если хранилище ключей для шифрования дисков Azure больше не требуется, обновите его политики доступа, чтобы отключить специальный параметр шифрования дисков:

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
  1. Очистка ресурсов: удаление временных ресурсов, созданных во время миграции
  2. Документация по обновлению: обновите документацию по инфраструктуре, чтобы отразить миграцию на шифрование на узле

Распространенные проблемы и решения

Размер виртуальной машины не поддерживает шифрование на узле

Решение. Проверьте список поддерживаемых размеров виртуальных машин и при необходимости измените размер виртуальной машины.

Не удается запустить виртуальную машину после миграции

Решение. Убедитесь, что все диски подключены должным образом и что диск ОС установлен в качестве загрузочного диска.

Шифрование на узле не включено

Решение. Убедитесь, что виртуальная машина создана с параметром --encryption-at-host true и поддерживает ли подписка эту функцию.

Проблемы с производительностью сохраняются

Решение. Убедитесь, что шифрование на узле включено правильно и что размер виртуальной машины поддерживает ожидаемую производительность.

Дальнейшие шаги

  • Last updated on