Migrieren von Azure Disk Encryption zur Verschlüsselung auf dem Host

Von Bedeutung

Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.

Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer, oder ziehen Sie vertrauliche VM-Größen mit Betriebssystemdatenträgerverschlüsselung für vertrauliche Computerarbeitslasten in Betracht. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .

Dieser Artikel enthält eine schrittweise Anleitung zum Migrieren Ihrer VMs von Azure Disk Encryption (ADE) zur Verschlüsselung auf dem Host. Der Migrationsprozess erfordert das Erstellen neuer Datenträger und VMs, da die direkte Konvertierung nicht unterstützt wird.

Übersicht zur Migration

Azure Disk Encryption (ADE) verschlüsselt Daten innerhalb des virtuellen Computers mithilfe von BitLocker (Windows) oder dm-crypt (Linux), während die Verschlüsselung auf Hostebene Daten auf VM-Hostebene verschlüsselt, ohne VM-CPU-Ressourcen zu verbrauchen. Die Verschlüsselung auf dem Host verbessert die standardmäßige serverseitige Verschlüsselung (Server-Side Encryption, SSE) von Azure, indem eine End-to-End-Verschlüsselung für alle VM-Daten bereitgestellt wird, einschließlich temporärer Datenträger, Caches und Datenflüsse zwischen Compute und Speicher.

Weitere Informationen finden Sie unter Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger und Aktivieren der End-to-End-Verschlüsselung mit Verschlüsselung auf dem Host.

Einschränkungen und Überlegungen bei der Migration

Bevor Sie den Migrationsprozess starten, überprüfen Sie diese wichtigen Einschränkungen und Überlegungen, die sich auf Ihre Migrationsstrategie auswirken:

  • Keine direkte Migration: Sie können keine ADE-verschlüsselten Datenträger direkt in die Verschlüsselung auf dem Host konvertieren. Für die Migration müssen neue Datenträger und VMs erstellt werden.

  • Einschränkung der Linux-Betriebssystemdatenträger: Azure unterstützt das Deaktivieren von ADE auf Linux-Betriebssystemdatenträgern nicht. Erstellen Sie für Linux-VMs mit ADE-verschlüsselten Betriebssystemdatenträgern einen neuen virtuellen Computer mit einem neuen Betriebssystemdatenträger.

  • Windows ADE-Verschlüsselungsmuster: Auf Windows VMs können Azure Disk Encryption nur den Betriebssystemdatenträger allein oder alle Datenträger (Betriebssystem + Datenträger) verschlüsseln. Sie können nicht nur Datenträger auf Windows virtuellen Computern verschlüsseln.

  • Persistenz des UDE-Flags: Datenträger, die mit Azure Disk Encryption verschlüsselt sind, weisen ein UDE-Flag (Unified Data Encryption) auf, das auch nach der Entschlüsselung beibehalten wird. Sowohl Momentaufnahmen als auch Datenträgerkopien, die die Option "Kopieren" verwenden, behalten dieses UDE-Flag bei. Für die Migration müssen neue verwaltete Datenträger mithilfe der Upload-Methode erstellt und die VHD-BLOB-Daten kopiert werden, wodurch ein neues Datenträgerobjekt ohne Metadaten vom Quelldatenträger erstellt wird.

  • Erforderliche Downtime: Der Migrationsprozess erfordert eine VM-Downtime für Datenträgervorgänge und die VM-Wiederherstellung.

  • In Domäne eingebundene VMs: Wenn Ihre VMs Teil einer Active Directory-Domäne sind, sind weitere Schritte erforderlich:

    • Entfernen Sie den ursprünglichen virtuellen Computer vor dem Löschen aus der Domäne.
    • Nachdem Sie den neuen virtuellen Computer erstellt haben, melden Sie ihn erneut an der Domäne an.
    • Für Linux-VMs müssen Sie der VM manuell einer verwalteten Domäne beitreten.

    Weitere Informationen finden Sie unter Was ist Microsoft Entra Domain Services?.

Voraussetzungen

Vor Beginn der Migration:

  1. Sichern Sie Ihre Daten: Erstellen Sie Sicherungen aller kritischen Daten, bevor Sie mit dem Migrationsprozess beginnen.

  2. Testen Sie den Prozess: Wenn möglich, testen Sie den Migrationsprozess zuerst auf einer Nicht-Produktions-VM.

  3. Vorbereiten von Verschlüsselungsressourcen: Stellen Sie sicher, dass ihre VM-Größe die Verschlüsselung auf dem Host unterstützt. Die meisten aktuellen VM-Größen unterstützen dieses Feature. Weitere Informationen zu den Anforderungen an die VM-Größe finden Sie unter Aktivieren der End-to-End-Verschlüsselung mit Verschlüsselung auf dem Host.

  4. Dokumentieren der Konfiguration: Zeichnen Sie Ihre aktuelle VM-Konfiguration auf, einschließlich Netzwerkeinstellungen, Erweiterungen und angefügter Ressourcen.

Migrationsschritte

Die folgenden Migrationsschritte funktionieren für die meisten Szenarien. Spezifische Unterschiede sind für jedes Betriebssystem angegeben.

Von Bedeutung

Linux-VMs mit verschlüsselten Betriebssystemdatenträgern können nicht direkt entschlüsselt werden. Erstellen Sie für diese virtuellen Computer einen neuen virtuellen Computer mit einem neuen Betriebssystemdatenträger, und migrieren Sie Ihre Daten. Lesen Sie den Abschnitt Migrieren von Linux-VMs mit verschlüsselten Betriebssystemdatenträgern, nachdem Sie sich den unten beschriebenen allgemeinen Prozess angesehen haben.

Deaktivieren von Azure Disk Encryption

Deaktivieren Sie zunächst nach Möglichkeit die vorhandene Azure Disk Encryption:

Nach dem Ausführen des ADE-Deaktivierungsbefehls ändert sich der VM-Verschlüsselungsstatus im Azure-Portal sofort in "SSE + PMK". Der tatsächliche Entschlüsselungsprozess auf Betriebssystemebene benötigt jedoch Zeit und hängt von der Menge der verschlüsselten Daten ab. Sie müssen überprüfen, ob die Entschlüsselung auf Betriebssystemebene abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren.

Für Windows-VMs:

  • Öffnen Sie die Eingabeaufforderung als Administrator, und führen Sie Folgendes aus: manage-bde -status
  • Stellen Sie sicher, dass alle Volumes den Status "Vollständig entschlüsselt" anzeigen.
  • Vergewissern Sie sich, dass der Entschlüsselungsprozentsatz 100% für alle verschlüsselten Volumes anzeigt.

Für Linux-VMs (nur Datenträger):

  • Führen Sie Folgendes aus: sudo cryptsetup status /dev/mapper/<device-name>.
  • Stellen Sie sicher, dass verschlüsselte Geräte nicht mehr aktiv sind.
  • Führen Sie lsblk aus, um zu bestätigen, dass keine verschlüsselten Zuordnungen vorhanden sind.

Warten Sie auf die vollständige Entschlüsselung, bevor Sie mit der Datenträgermigration fortfahren, um die Datenintegrität sicherzustellen.

Erstellen neuer verwalteter Datenträger

Erstellen Sie neue Datenträger, die die ADE-Verschlüsselungsmetadaten nicht übernehmen. Dieser Vorgang funktioniert sowohl für Windows als auch für Linux-VMs mit spezifischen Überlegungen für Linux-Betriebssystemdatenträger.

Von Bedeutung

Fügen Sie einen Offset von 512 Byte hinzu, wenn Sie einen verwalteten Datenträger aus Azure kopieren. Azure lässt die Fußzeile bei der Angabe der Datenträgergröße weg. Die Kopie schlägt fehl, wenn Sie diesen Offset nicht hinzufügen. Das folgende Skript fügt diesen Offset für Sie hinzu.

Wenn Sie einen Betriebssystemdatenträger erstellen, fügen Sie --hyper-v-generation <yourGeneration> zu az disk create hinzu.

# Set variables
sourceDiskName="MySourceDisk"
sourceRG="MyResourceGroup"
targetDiskName="MyTargetDisk"
targetRG="MyResourceGroup"
targetLocation="eastus"
# For OS disks, specify either "Windows" or "Linux"
# For data disks, omit the targetOS variable and --os-type parameter
targetOS="Windows"

# Get source disk size in bytes
sourceDiskSizeBytes=$(az disk show -g $sourceRG -n $sourceDiskName --query '[diskSizeBytes]' -o tsv)

# Create a new empty target disk with upload capability
az disk create -g $targetRG -n $targetDiskName -l $targetLocation --os-type $targetOS --for-upload --upload-size-bytes $(($sourceDiskSizeBytes+512)) --sku standard_lrs

# Generate SAS URIs for both disks
targetSASURI=$(az disk grant-access -n $targetDiskName -g $targetRG --access-level Write --duration-in-seconds 86400 --query [accessSas] -o tsv)

sourceSASURI=$(az disk grant-access -n $sourceDiskName -g $sourceRG --access-level Read --duration-in-seconds 86400 --query [accessSas] -o tsv)

# Copy the disk data by using AzCopy
azcopy copy $sourceSASURI $targetSASURI --blob-type PageBlob

# Revoke SAS access when complete
az disk revoke-access -n $sourceDiskName -g $sourceRG

az disk revoke-access -n $targetDiskName -g $targetRG

Diese Methode erstellt neue Datenträger ohne die Azure Disk Encryption-Metadaten (UDE-Flag), was für eine saubere Migration unerlässlich ist.

Erstellen einer neuen VM mit Verschlüsselung

Erstellen Sie einen neuen virtuellen Computer mithilfe der neu erstellten Datenträger mit der ausgewählten Verschlüsselungsmethode.

Je nach Ihren Sicherheitsanforderungen können Sie aus mehreren Verschlüsselungsoptionen wählen. Dieser Artikel enthält Schritte zum Erstellen einer neuen VM mit Verschlüsselung auf dem Host, was der gängigste Migrationspfad ist. Weitere Verschlüsselungsoptionen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.

Erstellen einer neuen VM mit Verschlüsselung auf dem Host

Die Verschlüsselung auf dem Host stellt die nächstliegende Entsprechung zur Abdeckung von Azure Disk Encryption bereit. In diesem Abschnitt wird die Verschlüsselung auf dem Host behandelt.

Für Betriebssystemdatenträger:

# For Windows OS disks
az vm create
  --resource-group "MyResourceGroup"
  --name "MyVM-New"
  --os-type "Windows"
  --attach-os-disk "MyTargetDisk"
  --encryption-at-host true

# For Linux OS disks
# az vm create
#   --resource-group "MyResourceGroup"
#   --name "MyVM-New"
#   --os-type "Linux"
#   --attach-os-disk "MyTargetDisk"
#   --encryption-at-host true

Für Datenträger:

# Enable encryption at host on the VM
az vm update
  --resource-group "MyResourceGroup"
  --name "MyVM-New"
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach
  --resource-group "MyResourceGroup"
  --vm-name "MyVM-New"
  --name "MyTargetDisk"

Überprüfen und Konfigurieren der neuen Datenträger

Nachdem Sie den neuen virtuellen Computer mit Verschlüsselung auf dem Host erstellt haben, überprüfen und konfigurieren Sie die Datenträger für Ihr Betriebssystem ordnungsgemäß.

Für Windows-VMs:

  • Stellen Sie sicher, dass Datenträgerbuchstaben richtig zugewiesen sind.
  • Überprüfen Sie, ob Anwendungen ordnungsgemäß auf die Datenträger zugreifen können.
  • Aktualisieren Sie alle Anwendungen oder Skripts, die auf bestimmte Datenträger-IDs verweisen.

Für Linux-VMs:

  • Aktualisieren Sie /etc/fstab mit den neuen Datenträger-UUIDs.
  • Binden Sie die Datenlaufwerke in die richtigen Einhängepunkte ein.
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

Sowohl Windows als auch Linux erfordern möglicherweise weitere Konfigurationsschritte, die für Ihre Anwendungen oder Workloads spezifisch sind.

Überprüfen der Verschlüsselung und Bereinigung

Stellen Sie sicher, dass die Verschlüsselung auf dem Host sowohl auf Windows- als auch Linux-VMs ordnungsgemäß konfiguriert ist.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

Nachdem Sie sich vergewissert haben, dass die Verschlüsselung auf dem Host korrekt funktioniert:

  1. Testen Sie die VM-Funktionalität, um sicherzustellen, dass Anwendungen ordnungsgemäß funktionieren.
  2. Stellen Sie sicher, dass die Daten zugänglich und intakt sind.
  3. Löschen Sie die ursprünglichen Ressourcen, wenn Sie mit der Migration zufrieden sind:
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Migrieren von Linux-VMs mit verschlüsselten Betriebssystemdatenträgern

Da Sie die Verschlüsselung auf Linux-Betriebssystemdatenträgern nicht deaktivieren können, unterscheidet sich der Prozess von Windows.

  1. Erstellen Sie einen neuen virtuellen Computer mit aktivierter Verschlüsselung auf dem Host.

    az vm create \
      --resource-group "MyResourceGroup" \
      --name "MyVM-New" \
      --image "Ubuntu2204" \
      --encryption-at-host true \
      --admin-username "azureuser" \
      --generate-ssh-keys
    
  2. Für Datenmigrationsoptionen:

    • Anwendungsdaten: Verwenden Sie SCP-, rsync- oder andere Dateiübertragungsmethoden, um Daten zu kopieren.
    • Konfiguration: Replizieren sie wichtige Konfigurationsdateien und -einstellungen.
    • Komplexe Anwendungen: Verwenden Sie Sicherungs- und Wiederherstellungsverfahren, die für Ihre Anwendungen geeignet sind.
    # Example of using SCP to copy files from source to new VM
    az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
      --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"
    

Nach dem Erstellen der neuen VM:

  1. Konfigurieren Sie den neuen virtuellen Computer so, dass er der ursprünglichen Umgebung entspricht.

    • Richten Sie die gleichen Netzwerkkonfigurationen ein.
    • Installieren Sie dieselben Anwendungen und Dienste.
    • Wenden Sie dieselben Sicherheitseinstellungen an.
  2. Testen Sie sorgfältig, bevor Sie die ursprüngliche VM außer Betrieb setzen.

Dieser Ansatz funktioniert sowohl für Windows als auch für Linux-VMs, ist aber besonders wichtig für Linux-VMs mit verschlüsselten Betriebssystemdatenträgern, die Sie nicht direkt entschlüsseln können.

Anleitungen zur Datenmigration finden Sie unter Hochladen einer VHD in Azure und Kopieren von Dateien auf eine Linux-VM mithilfe von SCP.

Für Azure Virtual Desktop (AVD)-Umgebungen ist der empfohlene Ansatz, Sitzungshosts neu bereitzustellen, anstatt eine Migration auf Datenträgerebene zu versuchen.

Für poolierte und persönliche Hostpools besteht der unterstützte Ansatz darin, Azure Disk Encryption (ADE)-fähigen Sitzungshosts durch neue virtuelle Computer zu ersetzen, auf denen die Verschlüsselung auf dem Host aktiviert ist.

Steps

  1. Erstellen Sie ein neues goldenes Bild.

    • Stellen Sie sicher, dass Azure Disk Encryption nicht aktiviert ist.
    • Überprüfen sie Anwendungen und Konfigurationen.
  2. Stellen Sie neue Sitzungshosts bereit.

  3. Fügen Sie dem Hostpool neue Sitzungshosts hinzu.

    • Stellen Sie sicher, dass Sitzungshosts funktionsfähig sind und Verbindungen akzeptieren.
  4. Überprüfen Sie Arbeitslasten.

    • Bestätigen Sie den Benutzerprofilzugriff, z. B. FSLogix.
    • Überprüfen sie Anwendungen und Richtlinien.
  5. Vorhandene ADE-fähige Sitzungshosts in den Drainmodus versetzen.

    • Aktivieren Sie den Entwässerungsmodus, um neue Sitzungen zu blockieren.
    • Warten Sie, bis vorhandene Sitzungen beendet sind, oder melden Sie Benutzer manuell ab.
  6. Alte Sitzungshosts entfernen und außer Betrieb nehmen.

    • Entfernen Sie Sitzungshosts aus dem Hostpool.
    • Löschen Sie zugeordnete virtuelle Computer und Datenträger.

Überlegungen zu VMs, die in eine Domäne eingebunden sind

Wenn Ihre virtuellen Computer Mitglieder einer Active Directory Domäne sind, sind während des Migrationsprozesses weitere Schritte erforderlich:

Schritte vor der Migration für die Domäne

  1. Dokumentdomänenmitgliedschaft: Notieren Sie die aktuelle Domäne, Organisationseinheit (OU) und alle speziellen Gruppenmitgliedschaften.
  2. Notieren Sie sich das Computerkonto: Verwalten Sie das Computerkonto in Active Directory.
  3. Sichern Sie domänenspezifische Konfigurationen: Speichern Sie alle domänenspezifischen Einstellungen, Gruppenrichtlinien oder Zertifikate.

Prozess zum Entfernen aus der Domäne

  1. Aus Domäne entfernen: Bevor Sie den ursprünglichen virtuellen Computer löschen, entfernen Sie ihn mithilfe einer dieser Methoden aus der Domäne.

    • Verwenden Sie das Remove-Computer PowerShell-Cmdlet für Windows.
    • Verwenden Sie das Dialogfeld "Systemeigenschaften", um zu einer Arbeitsgruppe zu wechseln.
    • Löschen Sie das Computerkonto manuell aus Active Directory-Benutzer und -Computer.
  2. Bereinigen Sie Active Directory: Entfernen Sie alle verwaisten Computerkonten oder DNS-Einträge.

Erneuter Domänenbeitritt nach der Migration

  1. Neue VM mit Domäne verbinden: Nachdem Sie den neuen virtuellen Computer mit Verschlüsselung auf dem Host erstellt haben, nehmen Sie ihn der Domäne bei.

    • Windows: Verwenden Sie das Add-Computer PowerShell-Cmdlet oder die Systemeigenschaften.
    • Linux: Verwenden Sie die manuelle Konfiguration für den Domänendienst, der Ihre Domäne hostt.
  2. Wiederherstellen von Domäneneinstellungen: Erneutes Anwenden von domänenspezifischen Konfigurationen, Gruppenrichtlinien oder Zertifikaten.

  3. Überprüfen der Domänenfunktionalität: Testen der Domänenauthentifizierung, Gruppenrichtlinienanwendung und Netzwerkressourcenzugriff.

Domänenbeitritt für Linux-VMs

Für Linux-VMs, die Microsoft Entra Domain Services verwenden, binden Sie die VM mithilfe der manuellen Linux-Schritte zum Domänenbeitritt in die verwaltete Domäne ein. Weitere Informationen finden Sie unter Einbinden eines virtuellen Ubuntu Linux-Computers in eine von Microsoft Entra Domain Services verwaltete Domäne.

Wichtige Überlegungen zur Domäne

  • Die neue VM verfügt über eine andere Computer-SID, die sich auf einige Anwendungen auswirken kann.
  • Aktualisieren Sie Kerberos-Tickets und zwischengespeicherte Anmeldeinformationen.
  • Einige domänenintegrierte Anwendungen erfordern möglicherweise eine Neukonfiguration.
  • Planen Sie potenziellen temporären Verlust von Domänendiensten während der Migration.

Überprüfung nach der Migration

Überprüfen Sie nach Abschluss der Migration, ob die Verschlüsselung auf dem Host ordnungsgemäß funktioniert:

  1. Überprüfen Sie die Verschlüsselung beim Hoststatus: Überprüfen Sie, ob die Verschlüsselung auf dem Host aktiviert ist.

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"
    
  2. Testen der VM-Funktionalität: Stellen Sie sicher, dass Ihre Anwendungen und Dienste ordnungsgemäß funktionieren.

  3. Überprüfen der Datenträgerverschlüsselung: Vergewissern Sie sich, dass Datenträger korrekt verschlüsselt sind:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState
    
  4. Überwachen der Leistung: Vergleichen Sie die Leistung vor und nach der Migration, um die erwarteten Verbesserungen zu bestätigen.

Weitere Informationen zur Verschlüsselungsüberprüfung finden Sie unter Aktivieren der End-to-End-Verschlüsselung mit Verschlüsselung auf dem Host.

Cleanup

Nach erfolgreicher Migration und Überprüfung:

  1. Alte VM löschen: Entfernen Sie den ursprünglichen ADE-verschlüsselten virtuellen Computer.

  2. Löschen Sie alte Datenträger: Entfernen Sie die ursprünglichen verschlüsselten Datenträger.

  3. Aktualisieren von Zugriffsrichtlinien für Key Vault: Andere Datenträgerverschlüsselungslösungen verwenden standardmäßige Key Vault-Autorisierungsmechanismen. Wenn Sie den Key Vault für azure Disk Encryption nicht mehr benötigen, aktualisieren Sie die Zugriffsrichtlinien, um die spezielle Einstellung für die Datenträgerverschlüsselung zu deaktivieren:

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
    

  1. Bereinigen von Ressourcen: Entfernen Sie alle temporären Ressourcen, die während der Migration erstellt wurden.
  2. Updatedokumentation: Aktualisieren Sie Ihre Infrastrukturdokumentation, um die Migration zur Verschlüsselung auf dem Host widerzuspiegeln.

Häufige Probleme und Lösungen

Die VM-Größe unterstützt die Verschlüsselung auf dem Host nicht.

Lösung: Überprüfen Sie bei Bedarf die Liste der unterstützten VM-Größen , und ändern Sie die Größe Ihrer VM.

Die VM kann nach der Migration nicht gestartet werden.

Lösung: Überprüfen Sie, ob alle Datenträger ordnungsgemäß angefügt sind und dass der Betriebssystemdatenträger als Startdatenträger festgelegt ist.

Die Verschlüsselung auf dem Host ist nicht aktiviert.

Lösung: Überprüfen Sie, ob der virtuelle Computer mit dem --encryption-at-host true Parameter erstellt wurde und dass Ihr Abonnement dieses Feature unterstützt.

Leistungsprobleme bleiben erhalten

Lösung: Überprüfen Sie, ob die Verschlüsselung auf dem Host ordnungsgemäß aktiviert ist und die VM-Größe die erwartete Leistung unterstützt.

Nächste Schritte