重要
Azure Disk Encryption定于 2028 年 15 月 15 日停用。 在该日期之前,可以继续使用Azure Disk Encryption而不中断。 2028 年 9 月 15 日,已启用 ADE 的工作负荷将继续运行,但 VM 重启后加密磁盘将无法解锁,从而导致服务中断。
使用 主机端加密 用于新 VM。 所有已启用 ADE 的 VM(包括备份)必须在停用日期之前迁移到主机上的加密,以避免服务中断。 有关详细信息,请参阅 将 Azure 磁盘加密迁移到主机加密。
适用于: ✔️ Windows 虚拟机
可以通过Azure门户创建Azure虚拟机(VM)。 Azure门户是基于浏览器的用户界面,用于创建 VM 及其关联的资源。 在本快速入门中,你将使用 Azure 门户部署Windows虚拟机,创建用于存储加密密钥的密钥保管库,并加密 VM。
如果没有 Azure 订阅,请在开始前创建 试用订阅。
登录到 Azure
登录到 Azure 门户。
创建虚拟机
选择在Azure门户左上角创建资源。
在“新建”页的“常用”下,选择“Windows Server 2016 Datacenter。
在“基本信息”选项卡中,在“项目详细信息”下,确保选择了正确的订阅。
对于“资源组”,请选择“新建”。 输入 myResourceGroup 作为名称,然后选择“确定”。
对于“虚拟机名称”,请输入“MyVM”。
对于 区域,请选择 “亚太”中国东部。
验证“大小”是否为“标准 D2s v3”。
在“管理员帐户”下,选择“密码”。 输入用户名和密码。
警告
“磁盘”选项卡在“磁盘选项”下提供了一个“加密类型”字段。 此字段用于指定托管磁盘 + CMK 的加密选项,而不是用于Azure Disk Encryption。
为了避免混淆,建议在完成本教程时完全跳过“磁盘”选项卡。
选择“管理”选项卡,验证自己是否有一个诊断存储帐户。 如果没有存储帐户,请选择“新建”,为新帐户指定一个名称,然后选择“确定”
选择“查看 + 创建”。
在“创建虚拟机”页上,可以查看要创建的 VM 的详细信息。 准备就绪后,选择“创建”。
部署 VM 需要几分钟。 部署完成后,请转到下一部分。
加密虚拟机
VM 部署完成后,选择“转到资源”。
在左侧边栏上,选择“磁盘”。
在顶部栏上,选择“其他设置”。
在“加密设置”“要加密的磁盘”下,选择“OS 和数据磁盘” 。
在“加密设置”下,选择“选择密钥保管库和用于加密的密钥” 。
在 Select key from Azure Key Vault 屏幕上,选择创建新的。
在“密钥保管库和密钥”的左侧,选择“单击以选择密钥” 。
在 Azure Key Vault 中选择密钥,在 Key Vault 字段中,选择 创建新项。
在“创建密钥保管库”屏幕上,确保资源组为 myResourceGroup,并为密钥保管库命名。 Azure中的每个密钥保管库都必须具有唯一的名称。
在 Access Policies 选项卡上,勾选用于卷加密的 Azure Disk Encryption 框。
选择“查看 + 创建”。
在密钥保管库通过验证后,选择“创建”。 从“选择密钥自 Azure Key Vault”屏幕返回。
将“密钥”字段留空,然后选择“选择” 。
在加密屏幕顶部,选择“保存”。 弹出窗口会警告 VM 将重新启动。 选择 “是”。
清理资源
当不再需要时,可以删除资源组、虚拟机和所有相关资源。 为此,请选择虚拟机的资源组,选择“删除”,然后确认要删除的资源组的名称。
后续步骤
在本快速入门中,你创建了为加密密钥启用的Key Vault,创建了虚拟机,并启用了虚拟机进行加密。