Шифрование дисков Azure для Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Обзор
Шифрование дисков Azure использует подсистему dm-crypt в Linux для шифрования всего диска в выбранных дистрибутивах Azure Linux. Решение интегрируется с Azure Key Vault, обеспечивая управление секретами и ключами шифрования диска.
Необходимые компоненты
Полный список предварительных требований см. в статье Шифрование дисков Azure для виртуальных машин под управлением Linux, в частности следующие разделы:
- Поддерживаемые виртуальные машины и операционные системы
- Дополнительные требования к виртуальной машине
- Требования к сети
- Требования к хранилищу ключей шифрования
Схема расширения
Существует две версии схемы расширения для Шифрования дисков Azure (ADE):
- версия 1.1. Более новая рекомендуемая схема, которая не использует свойства Microsoft Entra.
- v0.1 — более старая схема, требующая свойств Microsoft Entra.
Чтобы выбрать целевую схему, свойство typeHandlerVersion должно иметь значение, равное версии схемы, которую вы хотите использовать.
Схема версии 1.1. Идентификатор Microsoft Entra (рекомендуется)
Рекомендуется использовать схему версии 1.1 и не требуется свойства Microsoft Entra.
Примечание.
Параметр DiskFormatQuery является нерекомендуемым. Его функцию выполняет параметр EncryptFormatAll, который рекомендуется использовать для форматирования дисков данных во время шифрования.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Схема версии 0.1: с идентификатором Microsoft Entra
Для схемы 0.1 необходимо свойство AADClientID, а также AADClientSecret или AADClientCertificate.
Использование среды AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Использование среды AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Значения свойств
Обратите внимание, что все значения свойства чувствительны к регистру.
| Имя. | Значение и пример | Тип данных |
|---|---|---|
| версия_API | 2019-07-01 | Дата |
| издатель | Microsoft.Azure.Security | строка |
| type | AzureDiskEncryptionForLinux | строка |
| typeHandlerVersion | 1.1, 0.1 | INT |
| (схема версии 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (схема версии 0.1) AADClientSecret | password | строка |
| (схема версии 0.1) AADClientCertificate | thumbprint | строка |
| (необязательно) (схема версии 0.1) Passphrase | password | строка |
| DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | Словарь JSON |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | строка |
| (необязательно — RSA-OAEP по умолчанию) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | строка |
| KeyVaultURL | URL-адрес | строка |
| KeyVaultResourceId | URL-адрес | строка |
| (необязательно) KeyEncryptionKeyURL | URL-адрес | строка |
| (необязательно) KekVaultResourceId | URL-адрес | строка |
| (необязательно) SequenceVersion | uniqueidentifier | строка |
| VolumeType | ОС, данные, все | строка |
Развертывание шаблона
Пример развертывания шаблона на основе схемы версии 1.1 см. в шаблоне быстрого запуска Azure encrypt-running-linux-vm-without-aad.
Пример развертывания шаблона на основе схемы версии 0.1 см. в шаблоне быстрого запуска Azure encrypt-running-linux-vm.
Предупреждение
- Если вы уже использовали шифрование дисков Azure c Microsoft Entra ID для шифрования виртуальной машины, продолжайте и далее пользоваться этим способом шифрования виртуальной машины.
- При шифровании томов Linux ОС виртуальная машина должна считаться недоступной. Настоятельно рекомендуется избегать входа по протоколу SSH во время шифрования, чтобы избежать проблем с блокированием открытых файлов, к которым необходимо получить доступ во время процесса шифрования. Чтобы проверить ход выполнения, используйте командлет PowerShell Get-AzVMDiskEncryptionStatus или команду CLI vm encryption show. Этот процесс может занять несколько часов для тома операционной системы 30 ГБ, а также дополнительное время для шифрования томов данных. Время шифрования томов данных будет пропорционально их размеру и количеству. Параметр
encrypt format allобеспечивает лучшее быстродействие, чем шифрование на месте, но его использование приведет к потере всех данных на дисках. - Отключение шифрования на виртуальных машинах Linux поддерживается только для томов данных. Если том операционной системы зашифрован, то отключение не поддерживается для томов данных и томов ОС.
Примечание.
Кроме того, если параметр VolumeType имеет значение All, диски данных будут шифроваться только в том случае, если они правильно подключены.
Устранение неполадок и поддержка
Устранение неполадок
Дополнительные сведения см. в руководстве по устранению неполадок с шифрованием дисков Azure.
Поддержка
Если в любой момент при изучении этой статьи вам потребуется дополнительная помощь, вы можете обратиться к экспертам по Azure на форумах MSDN Azure и Stack Overflow.
Кроме того, можно зарегистрировать обращение в службу поддержки Azure. Перейдите на сайт поддержки Azure и выберите "Получить поддержку". Дополнительные сведения об использовании службы поддержки Azure см. в статье Часто задаваемые вопросы о поддержке Microsoft Azure.
Следующие шаги
- Дополнительные сведения о расширениях виртуальных машин см. в обзоре расширений и компонентов виртуальной машины для Linux.
- Дополнительные сведения о Шифровании дисков Azure для Linux см. в статье Виртуальные машины Linux.