Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Шифрование дисков Azure для виртуальных машин и масштабируемых наборов виртуальных машин будет прекращено 15 сентября 2028 г. Новые клиенты должны использовать шифрование на узле для всех новых виртуальных машин. Существующие клиенты должны планировать перенос текущих виртуальных машин с поддержкой ADE в шифрование на узле до даты выхода на пенсию, чтобы избежать нарушения работы службы. См. статью "Миграция из шифрования дисков Azure в шифрование на узле".
Caution
Уведомление о конце жизни CentOS: в этой статье ссылается CentOS, который достиг состояния окончания жизни. Если вы используете CentOS, просмотрите планы развертывания и рассмотрите возможность миграции в поддерживаемое дистрибутив Linux. Инструкции по миграции и временные шкалы см. в руководстве centOS End Of Life.
Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы
Шифрование дисков Azure помогает защитить и защитить данные в соответствии с вашими обязательствами по безопасности и соответствию требованиям организации. Она использует функцию DM-Crypt Linux для обеспечения шифрования томов для дисков ОС и данных виртуальных машин Azure и интегрирована с Azure Key Vault , чтобы управлять ключами и секретами шифрования дисков.
Шифрование дисков Azure является устойчивым к зонам, так же, как и виртуальные машины. Дополнительные сведения см. в службах Azure, поддерживающих зоны доступности.
Если вы используете Microsoft Defender для Облака, вы получите оповещение, если у вас есть виртуальные машины, которые не шифруются. Оповещения отображаются как высокий уровень серьезности, и рекомендация заключается в шифровании этих виртуальных машин.
Warning
- Если вы ранее использовали шифрование дисков Azure с идентификатором Microsoft Entra для шифрования виртуальной машины, необходимо продолжить использовать этот параметр для шифрования виртуальной машины. См. детали в разделе Шифрование дисков Azure с использованием приложения Microsoft Entra ID (предыдущий выпуск).
- Некоторые рекомендации могут увеличить использование данных, сети или вычислительных ресурсов, что приведет к дополнительным затратам на лицензию или подписку. Для создания ресурсов в Azure в поддерживаемых регионах должна быть действительная активная подписка Azure.
Основные сведения о шифровании дисков Azure для Linux см. в кратком руководстве по созданию и шифрованию виртуальной машины Linux с помощью Azure CLI или кратком руководстве по созданию и шифрованию виртуальной машины Linux с помощью Azure PowerShell.
Поддерживаемые виртуальные машины и операционные системы
Поддерживаемые виртуальные машины
Виртуальные машины Linux доступны в диапазоне размеров. Шифрование дисков Azure поддерживается на виртуальных машинах поколения 1 и поколения 2. Шифрование дисков Azure также доступно для виртуальных машин с хранилищем класса Premium.
См. сведения о размерах виртуальных машин Azure без локального временного диска.
Шифрование дисков Azure недоступно на виртуальных машинах серии "Базовый", ВМ серии A, виртуальных машинах серии v6 или на виртуальных машинах, которые не соответствуют этим минимальным требованиям к памяти:
Требования к памяти
| Виртуальная машина | Минимальное требование к памяти |
|---|---|
| Виртуальные машины Linux при шифровании только томов данных | 2 ГБ |
| Виртуальные машины Linux при шифровании томов и томов ОС и корневой (/) файловой системы составляет 4 ГБ или меньше. | 8 ГБ |
| Виртуальные машины Linux при шифровании томов данных и ОС, а также в том, где использование корневой файловой системы превышает 4 ГБ. | Использование корневой файловой системы * 2. Например, для 16 ГБ использования корневой файловой системы требуется не менее 32 ГБ ОЗУ. |
После завершения процесса шифрования дисков ОС на виртуальных машинах Linux виртуальная машина может быть настроена для запуска с меньшим объемом памяти.
Дополнительные исключения см. в разделе "Шифрование дисков Azure: ограничения".
Поддерживаемые операционные системы
Шифрование дисков Azure поддерживается в подмножестве поддерживаемых Azure дистрибутивов Linux, что является подмножеством всех возможных дистрибутивов сервера Linux.
Дистрибутивы серверов Linux, которые не поддерживаются Azure, не поддерживают шифрование дисков Azure; Из тех, которые поддерживаются, только следующие дистрибутивы и версии поддерживают шифрование дисков Azure:
| Publisher | Offer | SKU | URN | Тип тома, поддерживаемый для шифрования |
|---|---|---|---|---|
| Canonical | Ubuntu | 24.04-LTS | Canonical:ubuntu-24_04-lts-daily:server-gen1:latest | Ос и диск данных |
| Canonical | Ubuntu | 24.04-LTS 2-го поколения | Canonical:ubuntu-24_04-lts:server:latest | Ос и диск данных |
| Canonical | Ubuntu | 22.04-LTS | Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest | Ос и диск данных |
| Canonical | Ubuntu | 22.04-LTS 2-го поколения | Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest | Ос и диск данных |
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | Ос и диск данных |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | Ос и диск данных |
| Canonical | Ubuntu | 20.04-LTS 2-го поколения | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | Ос и диск данных |
| Canonical | Ubuntu | 20.04-DAILY-LTS 2-го поколения | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | Ос и диск данных |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | Ос и диск данных |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | Ос и диск данных |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* | Ос и диск данных |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2-gen2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* | Ос и диск данных |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | Ос и диск данных |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | Ос и диск данных |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | Ос и диск данных |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | Ос и диск данных |
| OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | Ос и диск данных |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | Ос и диск данных |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | Ос и диск данных |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | Ос и диск данных |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | Ос и диск данных |
| OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | Ос и диск данных |
| OpenLogic | CentOS 7.4 | 7.4 | OpenLogic:CentOS:7.4:latest | Ос и диск данных |
| OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:latest | Только диск данных |
| Oracle | Oracle Linux 8.6 | 8.6 | Oracle:Oracle-Linux:ol86-lvm:latest | Ос и диск данных (см. примечание) |
| Oracle | Oracle Linux 8.6-го поколения 2-го поколения | 8.6 | Oracle:Oracle-Linux:ol86-lvm-gen2:latest | Ос и диск данных (см. примечание) |
| Oracle | Oracle Linux 8.5 | 8.5 | Oracle:Oracle-Linux:ol85-lvm:latest | Ос и диск данных (см. примечание) |
| Oracle | Oracle Linux 8.5-го поколения 2-го поколения | 8.5 | Oracle:Oracle-Linux:ol85-lvm-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.4 | 9.4 | RedHat:RHEL:9_4:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.4-го поколения 2-го поколения | 9.4 | RedHat:RHEL:94_gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.3 | 9.3 | RedHat:RHEL:9_3:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.3-го поколения 2-го поколения | 9.3 | RedHat:RHEL:93-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.2 | 9.2 | RedHat:RHEL:9_2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.2-го поколения 2-го поколения | 9.2 | RedHat:RHEL:92-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.0 | 9.0 | RedHat:RHEL:9_0:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9.0 2-го поколения | 9.0 | RedHat:RHEL:90-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9-lvm | 9-lvm | RedHat:RHEL:9-lvm:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 9-lvm 2-го поколения | 9-lvm-gen2 | RedHat:RHEL:9-lvm-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.9 | 8.9 | RedHat:RHEL:8_9:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.9-го поколения 2-го поколения | 8.9 | RedHat:RHEL:89-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.8 | 8.8 | RedHat:RHEL:8_8:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.8-го поколения 2-го поколения | 8.8 | RedHat:RHEL:88-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.7 | 8.7 | RedHat:RHEL:8_7:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.7-го поколения 2-го поколения | 8.7 | RedHat:RHEL:87-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.6 | 8.6 | RedHat:RHEL:8_6:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.6-го поколения 2-го поколения | 8.6 | RedHat:RHEL:86-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.5 | 8.5 | RedHat:RHEL:8_5:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.5-го поколения 2-го поколения | 8.5 | RedHat:RHEL:85-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8-LVM 2-го поколения | 8-lvm-gen2 | RedHat:RHEL:8-lvm-gen2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | Ос и диск данных (см. примечание) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 7.8 | 7.8 | RedHat:RHEL:7.8:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 7.4 | 7.4 | RedHat:RHEL:7.4:latest | Ос и диск данных (см. примечание) |
| RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | Диск данных (см. примечание) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Диск данных (см. примечание) |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Только диск данных |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Только диск данных |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Только диск данных |
* Для версий образа больше или равно май 2023 г.
Note
RHEL:
- Новая реализация шифрования дисков Azure поддерживается для RHEL OS и диска данных для образов RHEL7 с оплатой по мере использования.
- ADE также поддерживается для RHEL Bring-Your-Own-Subscription Gold Images, но только после регистрации подписки. Дополнительные сведения см. в статье Red Hat Enterprise Linux с помощьюOwn-Subscription золотых образов в Azure.
Все дистрибутивы:
- Поддержка ADE для определенного типа предложения не распространяется на дату окончания срока действия, предоставляемую издателем.
- Устаревшее решение ADE (с использованием учетных данных Microsoft Entra) не рекомендуется для новых виртуальных машин и не совместимо с версиями RHEL более поздней версии, чем RHEL 7.8 или Python 3 по умолчанию.
Дополнительные требования к виртуальной машине
Для шифрования дисков Azure требуется, чтобы модули dm-crypt и vfat присутствовали в системе. Удаление или отключение vfat из образа по умолчанию не позволит системе считывать том ключа и получать ключ, необходимый для разблокировки дисков при последующих перезагрузках. Действия по обеспечению защиты системы, которые удаляют модуль vfat из системы или принудительно расширяют точки подключения или папки ОС на дисках данных несовместимы с шифрованием дисков Azure.
Перед включением шифрования диски данных, которые необходимо зашифровать, должны быть правильно перечислены в файле /etc/fstab. Используйте параметр nofail при создании записей и выберите имя устройства постоянного блока (как имена устройств в формате "/dev/sdX" могут не быть связаны с тем же диском во время перезагрузки, особенно после шифрования; дополнительные сведения об этом поведении см. в статье "Устранение неполадок с именем устройства виртуальной машины Linux").
Убедитесь, что параметры /etc/fstab настроены правильно для подключения. Чтобы настроить эти параметры, выполните команду подключения -a или перезагрузите виртуальную машину и активируйте его повторно. После завершения проверьте выходные данные команды lsblk, чтобы убедиться, что диск все еще подключен.
- Если файл /etc/fstab не подключает диск должным образом перед включением шифрования, шифрование дисков Azure не сможет подключить его должным образом.
- Процесс шифрования дисков Azure перемещает данные подключения из /etc/fstab и в собственный файл конфигурации в рамках процесса шифрования. Не следует беспокоиться, чтобы увидеть запись, отсутствуюющую из /etc/fstab после завершения шифрования диска данных.
- Перед началом шифрования обязательно остановите все службы и процессы, которые могут записываться на подключенные диски данных и отключать их, чтобы они не перезапускали автоматически после перезагрузки. Эти файлы могут оставаться открытыми в этих разделах, предотвращая повторное их подключение к процедуре шифрования, что приводит к сбою шифрования.
- После перезагрузки процесс шифрования дисков Azure займет некоторое время, чтобы подключить только что зашифрованные диски. Они не будут доступны сразу после перезагрузки. Для доступа к другим процессам необходимо время запуска, разблокировки и последующего подключения зашифрованных дисков. Этот процесс может занять более минуты после перезагрузки в зависимости от системных характеристик.
Ниже приведен пример команд, используемых для подключения дисков данных и создания необходимых записей /etc/fstab:
sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a
Требования к сети
Чтобы включить функцию шифрования дисков Azure, виртуальные машины Linux должны соответствовать следующим требованиям к конфигурации конечной точки сети:
- Виртуальная машина Linux должна быть в состоянии подключиться к конечной точке службы хранилища Azure, в которую размещается репозиторий расширений Azure, и учетную запись хранения Azure, в которую размещаются VHD-файлы.
- Если политика безопасности ограничивает доступ с виртуальных машин Azure к Интернету, можно разрешить предыдущий URI и настроить определенное правило, чтобы разрешить исходящее подключение к IP-адресам. Дополнительные сведения см. в разделе Azure Key Vault за брандмауэром.
Требования к хранилищу ключей шифрования
Для шифрования дисков Azure требуется Azure Key Vault для управления ключами и секретами шифрования дисков и управления ими. Хранилище ключей и виртуальные машины должны находиться в одном регионе и подписке Azure.
Дополнительные сведения см. в статье "Создание и настройка хранилища ключей для шифрования дисков Azure".
Terminology
В следующей таблице определены некоторые распространенные термины, используемые в документации по шифрованию дисков Azure:
| Terminology | Definition |
|---|---|
| Azure Key Vault | Key Vault — это криптографическая служба управления ключами, которая основана на проверенных аппаратных модулях безопасности на основе федеральных стандартов обработки информации (FIPS). Эти стандарты помогают защитить криптографические ключи и конфиденциальные секреты. Дополнительные сведения см. в документации по Azure Key Vault и создании и настройке хранилища ключей для шифрования дисков Azure. |
| Azure CLI | Azure CLI оптимизирован для управления ресурсами Azure и администрирования из командной строки. |
| DM-Crypt | DM-Crypt — это подсистема прозрачного шифрования дисков под управлением Linux, которая используется для включения шифрования дисков на виртуальных машинах Linux. |
| Ключ шифрования ключей (KEK) | Асимметричный ключ (RSA 2048), который можно использовать для защиты или упаковки секрета. Вы можете предоставить аппаратный модуль безопасности (HSM), защищенный ключом или защищенным программным обеспечением. Дополнительные сведения см. в документации по Azure Key Vault и создании и настройке хранилища ключей для шифрования дисков Azure. |
| Командлеты PowerShell | Дополнительные сведения см. в разделе командлетов Azure PowerShell. |
Дальнейшие шаги
- Краткое руководство. Создание и шифрование виртуальной машины Linux с помощью Azure CLI
- Краткое руководство. Создание и шифрование виртуальной машины Linux с помощью Azure PowerShell
- Сценарии шифрования дисков Azure на виртуальных машинах Linux
- Миграция из шифрования дисков Azure в шифрование на стороне сервера
- Скрипт CLI для шифрования дисков Azure
- Предварительные требования для шифрования дисков Azure
- Создание и настройка хранилища ключей для шифрования дисков Azure