Linux 虚拟机 Azure Disk Encryption 常见问题解答

Azure Disk Encryption 为 Linux 虚拟机提供 OS 磁盘* 和数据磁盘的完整磁盘加密，利用 Linux 的 dm-crypt 功能。 此外，它还在使用 EncryptFormatAll 功能时提供临时磁盘加密。 内容使用客户管理的密钥以加密形式从 VM 流向存储后端。

请参阅支持的虚拟机和操作系统。

Azure Disk Encryption GA 支持Azure Resource Manager模板、Azure PowerShell和Azure CLI。 不同的用户体验提供了灵活性。 可以通过三个不同的选项为虚拟机启用磁盘加密。 有关Azure Disk Encryption中提供的用户体验和分步指南的详细信息，请参阅适用于 Linux 的 Azure Disk Encryption 方案。

使用 Azure Disk Encryption 加密 VM 磁盘不收费，但使用 Azure Key Vault 时会收取相关费用。 有关Azure Key Vault成本的详细信息，请参阅 Key Vault 定价页。

若要开始，请阅读 Azure Disk Encryption 概述。

Azure Disk Encryption概述一文列出了支持 Azure Disk Encryption 的 VM 大小和 VM 操作系统。

是的，可以同时加密引导卷和数据卷，也可以在不先加密 OS 卷的情况下加密数据卷。

加密 OS 卷之后，不支持在 OS 卷上禁用加密。 对于规模集中的 Linux 虚拟机，只能对数据卷进行加密。

否，Azure Disk Encryption 仅加密装载的卷。

存储服务器端加密在Azure Storage中加密Azure托管磁盘。 默认情况下，托管磁盘使用平台托管密钥通过服务器端加密进行加密（从 2017 年 6 月 10 日开始）。 指定一个由客户托管的密钥，即可实现对使用自己的密钥加密托管磁盘的管理。 有关详细信息，请参阅：Azure托管磁盘的服务器端加密。

请参阅托管磁盘加密选项概述。

若要轮换机密，只需调用最初用于启用磁盘加密的相同命令，指定不同的Key Vault。 若要轮换密钥加密密钥，只需调用你一开始在启用磁盘加密时使用的命令并指定新的密钥加密方法即可。

若要添加密钥加密密钥，请再次调用 enable 命令，传递密钥加密密钥参数。 若要删除密钥加密密钥，请在没有密钥加密密钥参数的情况下再次调用 enable 命令。

是的，您可以提供自己的密钥加密密钥。 这些密钥在Azure Key Vault中受到保护，这是用于Azure Disk Encryption的密钥存储。 有关密钥加密密钥支持方案的详细信息，请参阅 创建密钥保管库并配置 Azure Disk Encryption。

是的，您可以使用 Azure Key Vault 生成用于 Azure 磁盘加密的密钥加密密钥。 这些密钥在Azure Key Vault中受到保护，这是用于Azure Disk Encryption的密钥存储。 有关密钥加密密钥的详细信息，请参阅 创建和配置 Azure Disk Encryption。

不能使用本地密钥管理服务或 HSM 来通过 Azure Disk Encryption 保护加密密钥。 只能使用Azure Key Vault服务来保护加密密钥。 有关密钥加密密钥支持方案的详细信息，请参阅 创建密钥保管库并为 Azure Disk Encryption 配置密钥保管库。

Azure Disk Encryption有先决条件。 请参阅 创建密钥保管库并为 Azure Disk Encryption一文，或设置用于磁盘加密访问的现有密钥保管库以启用加密，并保护机密和密钥。 有关密钥加密密钥支持方案的详细信息，请参阅 创建密钥保管库并为 Azure Disk Encryption 配置密钥保管库。

Azure Disk Encryption有先决条件。 请参阅包含 Microsoft Entra ID 内容的 Azure Disk Encryption，以创建Microsoft Entra应用程序、创建新的密钥保管库或设置用于磁盘加密访问的现有密钥保管库以启用加密，并保护机密和密钥。 有关密钥加密密钥支持方案的详细信息，请参阅 创建密钥保管库，并使用 Microsoft Entra ID 为Azure Disk Encryption配置密钥保管库。

是的。 仍支持使用 Microsoft Entra 应用的磁盘加密。 但是，加密新虚拟机时，建议使用新方法，而不是使用 Microsoft Entra 应用进行加密。

目前，使用 Microsoft Entra 应用加密的计算机，没有直接迁移路径到不使用 Microsoft Entra 应用的加密方式。 此外，没有一个不通过 Microsoft Entra 应用进行加密的直接路径可转到通过 AD 应用进行加密。

使用最新版本的 Azure PowerShell SDK 配置Azure Disk Encryption。 下载最新版本的 Azure PowerShell。 Azure Disk Encryption不支持 Azure SDK 版本 1.1.0。

对于像 Azure Resource Manager（ARM）这样的部署场景，当您需要为 Linux 虚拟机部署 Azure 磁盘加密扩展，以便在 Linux IaaS 虚拟机上启用加密时，必须使用 Azure 磁盘加密生产支持的扩展 "Microsoft.Azure.Security.AzureDiskEncryptionForLinux"。

无法在自定义 Linux 映像上应用Azure Disk Encryption。 仅支持上述受支持分发版的 Linux 库映像。 目前不支持自定义 Linux 映像。

是的，可以在 Red Hat Linux VM 上执行 yum 更新。 有关详细信息，请参阅隔离网络上的 Azure Disk Encryption。

为在 Linux 上获得最佳结果，建议使用以下工作流：

• 从与所需的 OS 发行版和版本相对应的未修改的库存图库映像开始
• 备份你希望加密的任何已装载的驱动器。 使用此备份，在失败时能够进行恢复，例如当 VM 在加密完成前重启时。
• 加密（可能需要花费几小时甚至几天，具体取决于 VM 特征和所附加的任何数据磁盘的大小）
• 根据需要自定义并将软件添加到映像中。

如果此工作流不可用，可在平台存储帐户层使用存储服务加密 (SSE)，作为通过 dm-crypt 实现完整磁盘加密的一个替代方法。

“Bek 卷”是一个本地数据卷，可安全地存储加密Azure虚拟机的加密密钥。

Azure Disk Encryption 使用默认的解密方式 aes-xts-plain64 和 256 位卷主密钥。

否，不会从已使用 Azure Disk Encryption 加密的数据驱动器中擦除数据。 与 EncryptFormatAll 不重新加密 OS 驱动器类似，它也不会重新加密已加密的数据驱动器。 有关详细信息，请参阅 EncryptFormatAll 条件。

支持加密 XFS OS 磁盘。

仅当使用 EncryptFormatAll 参数时，才支持加密 XFS 数据磁盘。 此选项重新格式化卷，并清除卷中已有的任何数据。 有关详细信息，请参阅 EncryptFormatAll 条件。

不支持重设Azure Disk Encryption加密 OS 磁盘的大小。

Azure Backup提供一种机制，用于备份和还原同一订阅和区域中的加密 VM。 有关说明，请参阅 使用 Azure Backup0 备份和还原加密的虚拟机。 目前不支持将已加密的 VM 还原到另一区域。

你可以在 用于 Azure 磁盘加密的 Azure 问答页面上提出问题或提供反馈。

后续步骤

本文档详细介绍了与Azure Disk Encryption相关的最常见问题。 有关此服务的详细信息，请参阅以下文章：

• Azure Disk Encryption 概述
• 在 Azure 安全中心中应用磁盘加密
• Azure静态数据加密