警告
本文引用了 CentOS,这是一个处于生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
本教程介绍如何打开包装、连接和解锁 Azure Data Box 磁盘。
在本教程中,你将了解如何执行以下操作:
- 打开 Data Box 磁盘的包装
- 连接到磁盘并获取支持密钥
- 在 Windows 客户端上解锁磁盘
- 在 Linux 客户端上解锁磁盘
打开包装、连接和解锁 Azure Data Box Disk
先决条件
在开始之前,请确保:
- 已完成教程:订购 Azure Data Box Disk。
- 已收到磁盘,并且门户中的作业状态已更新为“已交付”。
- 有一台可以安装 Data Box Disk 解锁工具的客户端计算机。 客户端计算机必须:
拆开磁盘包装
执行以下步骤打开磁盘的包装。
Data Box 磁盘在一个小包装箱中寄送。 请打开包装箱,并取出其中的物件。 检查包装中是否包含 1 到 5 块固态硬盘 (SSD),每块磁盘配有一根 USB 连接线。 检查包装是否有任何改动的痕迹或任何明显的损坏。
如果包装箱被改动或有严重损坏,请不要打开包装箱。 联系 Azure 支持部门,让他们帮助评估磁盘是否正常,或者是否需要更换磁盘。
检查包装箱中是否有一个透明套管,其中包含退件用的发货标签(在当前标签的下面)。 如果此标签丢失或损坏,始终可以从 Azure 门户下载并打印新的发货标签。
保管好包装箱和泡沫材料,以便在退回磁盘时使用。
连接磁盘
使用随附的 USB 数据线将磁盘连接到运行受支持版本的 Windows 或 Linux 计算机。 有关支持的 OS 版本的详细信息,请转到 Azure Data Box 磁盘系统要求。
检索通行密钥
在 Azure 门户中,导航到你的 Data Box Disk 订单。 通过导航到“常规”>“所有资源”来搜索它,然后选择你的 Data Box Disk 订单。 使用复制图标复制支持密钥。 此支持密钥用于解锁磁盘。
Data Box Disk 解锁通行密钥
根据是要连接到 Windows 还是 Linux 客户端,解锁磁盘的步骤有所不同。
解锁磁盘
执行以下步骤,以连接并解锁磁盘。
执行以下步骤,以连接并解锁磁盘。
在 Azure 门户中,导航到你的 Data Box Disk 订单。 通过导航到“常规”>“所有资源”来搜索它,然后选择你的 Data Box Disk 订单。
下载对应于 Windows 客户端的 Data Box Disk 工具集。 此工具集包含 3 个工具:Data Box Disk 解锁工具、Data Box Disk 验证工具和 Data Box Disk 拆分复制工具。
注意
Data Box Disk Tools 不支持 Powershell ISE
此过程仅需要 Data Box Disk 解锁工具。 其余工具将在后续步骤中使用。
在将用于复制数据的同一台计算机上提取工具集。
打开命令提示符窗口,或者在同一台计算机上以管理员身份运行 Windows PowerShell。
验证客户端计算机是否满足 Data Box 解锁工具的操作系统要求。 在包含提取的 Data Box Disk 工具集的文件夹中运行系统检查,如以下示例所示。
.\DataBoxDiskUnlock.exe /SystemCheck
以下示例输出确认客户端计算机满足操作系统要求。
运行 DataBoxDiskUnlock.exe,提供在检索通行密钥部分获取的通行密钥。 通行密钥作为 Passkey 参数值提交,如以下示例所示。
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
成功的响应包含分配给磁盘的驱动器号,如以下示例输出所示。
将来每次重新插入磁盘,都需要重复解锁步骤。 如果需要有关 Data Box Disk 解锁工具的帮助,请使用 help 命令,如以下示例代码和示例输出所示。
.\DataBoxDiskUnlock.exe /help
解锁磁盘后,可以查看磁盘的内容。
如果解锁磁盘时遇到任何问题,请参阅如何排查解锁问题。
执行以下步骤,以在基于 Linux 的计算机上连接和解锁硬件加密的 Data Box Disk。
必须在 Linux 系统上为基于 SATA 的驱动器启用受信任平台模块 (TPM)。 若要启用 TPM,请通过编辑 GRUB 配置将 libata.allow_tpm 设置为 1,如以下特定于发行版的示例中所示。 更多详细信息可以在 https://github.com/Drive-Trust-Alliance/sedutil/wiki 中的驱动器信任联盟公共 Wiki 上找到。
警告
在设备上启用 TPM 后可能需要重新启动。
以下示例包含 reboot 命令。 在运行脚本之前,请确保不会丢失任何数据。
使用以下命令为 CentOS 启用 TPM。
sudo nano /etc/default/grub
接下来, 手动将“libata.allow_tpm =1”添加到 grub 命令行参数中。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
对于基于 BIOS 的系统:grub2-mkconfig -o /boot/grub2/grub.cfg
对于基于 UEFI 的系统:grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
reboot
最后,通过检查启动映像来验证 TPM 设置是否正确。
cat /proc/cmdline
使用以下命令为 Ubuntu/Debian 启用 TPM。
sudo nano /etc/default/grub
接下来,手动将“libata.allow_tpm =1”添加到 grub 命令行参数中。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
更新 GRUB 并重新启动。
sudo update-grub
reboot
最后,通过检查启动映像来验证 TPM 配置是否正确。
cat /proc/cmdline
---
下载 Data Box Disk 工具集。 将 Data Box Disk 解锁实用工具提取并复制到计算机上的本地路径。
下载 SEDUtil。 有关详细信息,请访问驱动器信任联盟公共 Wiki。
将 SEDUtil 提取到计算机上的本地路径,并使用以下示例创建实用工具路径的符号链接。 或者,可以将实用工具路径添加到 PATH 环境变量。
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
sedutil-cli -scan 命令列出连接到服务器的所有驱动器。 该命令与发行版无关。
sudo sedutil-cli --scan
以下示例输出确认验证已成功完成。
可以使用以下命令识别 Azure 磁盘。 可以使用以下命令验证卷的磁盘序列号。
sedutil-cli --query <volume>
从上一步中提取的 Linux 工具集运行 Data Box Disk 解锁实用工具。 提供在“连接到磁盘”部分从 Azure 门户获取的通行密钥。 (可选)可以指定要解锁的 BitLocker 加密卷列表。 应在单引号中指定通行密钥和卷列表,如以下示例所示。
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
以下示例输出指示卷已成功解锁。 还会显示可复制数据的卷的装入点。
重要
重复这些步骤来解锁磁盘,以便将来重新插入磁盘。
如需有关 Data Box Disk 解锁实用工具的其他帮助,可以使用 help 开关,如以下示例所示。
sudo ./DataBoxDiskUnlock /Help
下图显示了示例输出。
解锁磁盘后,可以转到装入点并查看磁盘的内容。 现在可以根据所需的目标数据类型将数据复制到文件夹中。
将数据复制到磁盘后,请确保使用以下命令安全卸载并删除磁盘。
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'>
/Unmount /SED
以下示例输出确认卷已成功卸载。
可以通过连接到运行受支持操作系统的基于 Windows 的计算机来验证磁盘上的数据。 在将磁盘连接到本地计算机之前,请务必查看基于 Windows 的操作系统的操作系统要求。
执行以下步骤以使用基于 Windows 的计算机来解锁自加密磁盘。
下载适用于 Windows 客户端的 Data Box Disk 工具集并将其提取到同一计算机。 尽管该工具集包含四个工具,但只有 Data Box SED 解锁工具可用于硬件加密的磁盘。
将 Data Box Disk 连接到基于 Windows 的计算机上的可用 SATA 3 连接。
使用命令提示符或 PowerShell 运行以下命令以解锁自加密磁盘。
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
以下示例输出确认磁盘已成功解锁。
确保在弹出驱动器之前安全地将其移除。
如果在解锁磁盘时遇到问题,请参阅排查解锁问题一文。
执行以下步骤,以在基于 Linux 的计算机上连接和解锁软件加密的 Data Box Disk。
在 Azure 门户中,转到“常规”>“设备详细信息”。
下载 Data Box Disk 工具集。 将 Data Box Disk 解锁实用工具提取并复制到计算机上的本地路径。
导航到包含 Data Box Disk 工具集的文件夹。 在 Linux 客户端上打开终端窗口并更改文件权限以允许执行,如以下示例所示:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
执行 chmod 命令后,通过运行 ls 命令验证文件权限是否已更改,如以下示例输出所示。
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
执行以下脚本,以安装 Data Box Disk 解锁二进制文件。 使用 sudo 以 root 身份运行该命令。 终端中会显示一条确认消息,通知安装成功。
sudo ./DataBoxDiskUnlock_Prep.sh
该脚本验证客户端计算机是否正在运行受支持的操作系统,如示例输出所示。
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
键入 y 继续安装。 该脚本安装以下包:
epel-release - 包含以下三个包的存储库。
dislocker 和 fusedislocker - 用于解密 BitLocker 加密磁盘的实用工具。
ntfs-3g - 帮助装载 NTFS 卷的包。
终端中会显示通知,告知已成功安装包。
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
运行 Data Box Disk 解锁工具,并提供从 Azure 门户检索到的通行密钥。 (可选)指定要解锁的 BitLocker 加密序列号的列表。 通行密钥和序列号应包含在单引号内,如图所示。
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
以下示例输出确认卷已成功解锁。 还会显示可复制数据的卷的装入点。
将来每次重新插入磁盘,都需要重复解锁步骤。 使用 help 命令获取有关 Data Box Disk 解锁工具的更多帮助。
sudo //DataBoxDiskUnlock /Help
下面显示了示例输出。
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://docs.azure.cn/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
解锁磁盘后,可以转到装入点并查看磁盘的内容。 现在,可将数据复制到 BlockBlob 或 PageBlob 文件夹。
将所需数据复制到磁盘后,请确保使用以下命令安全卸载并移除磁盘。
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2'
以下示例输出确认卷已成功卸载。
打开磁盘包装并使用附带的电缆将磁盘连接到客户端计算机。
下载 Data Box Disk 工具集并将其解压缩到将用于复制数据的同一台计算机上。
或
若要在 Windows 客户端上解锁磁盘,请打开命令提示符窗口,或者在同一台计算机上以管理员身份运行 Windows PowerShell:
若要在 Linux 客户端上解锁磁盘,请打开终端。 转到软件下载到的文件夹。 键入以下命令以更改文件权限,以便可以执行这些文件:
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
执行脚本以安装所有必需的二进制文件。
sudo ./DataBoxDiskUnlock_Prep.sh
运行 Data Box Disk 解锁工具。 从 Azure 门户中的“常规”>“设备详细信息”获取密钥,并在此处提供。 (可选)在单引号内指定要解锁的 BitLocker 加密卷列表。
sudo ./DataBoxDiskUnlock /PassKey:'<passkey>'
将来每次重新插入磁盘,都需要重复解锁步骤。 如需 Data Box 磁盘解锁工具的帮助,请使用 help 命令。
解锁磁盘后,可以查看磁盘的内容。
有关如何设置和解锁磁盘的详细信息,请参阅设置 Data Box Disk。
后续步骤
本教程介绍了有关 Azure Data Box 磁盘的主题,例如:
- 打开 Data Box 磁盘的包装
- 连接到磁盘并获取支持密钥
- 在 Windows 客户端上解锁磁盘
- 在 Linux 客户端上解锁磁盘
请继续学习下一篇教程,了解如何复制 Data Box 磁盘上的数据。
