Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.
Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer, oder ziehen Sie vertrauliche VM-Größen mit Betriebssystemdatenträgerverschlüsselung für vertrauliche Computerarbeitslasten in Betracht. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .
Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen
Dieser Leitfaden ist für IT-Experten, Informationssicherheitsanalysten und Cloudadministratoren bestimmt, in deren Organisationen Azure Disk Encryption verwendet wird. Verwenden Sie diesen Artikel, um Probleme mit datenträgerverschlüsselungsbezogenen Problemen zu beheben.
Bevor Sie eine dieser Schritte ausführen, stellen Sie zunächst sicher, dass die virtuellen Computer, die Sie verschlüsseln möchten, zu den unterstützten VM-Größen und Betriebssystemen gehören und dass Sie alle Voraussetzungen erfüllen:
- Weitere Anforderungen für VMs
- Netzwerkanforderungen
- Speicheranforderungen für Verschlüsselungsschlüssel
Problembehandlung für die Verschlüsselung von Datenträgern mit Linux-Betriebssystem
Bei der Verschlüsselung von Datenträgern mit Linux-Betriebssystem muss die Bereitstellung des Betriebssystemlaufwerks aufgehoben werden, bevor die vollständige Datenträgerverschlüsselung erfolgt. Wenn das Aufheben der Bereitstellung nicht möglich ist, wird voraussichtlich eine Fehlermeldung der Art „Fehler beim Aufheben der Bereitstellung…“ angezeigt.
Dieser Fehler kann auftreten, wenn Sie versuchen, den Betriebssystemdatenträger auf einem virtuellen Computer in einer Umgebung zu verschlüsseln, die gegenüber dem unterstützten Standard-Image aus der Galerie geändert wurde. Abweichungen vom unterstützten Image können die Fähigkeit der Erweiterung zum Aufheben der Bereitstellung des Betriebssystemlaufwerks beeinträchtigen. Beispiele für Abweichungen sind die folgenden Elemente:
- Angepasste Images, die nicht mehr mit einem unterstützten Dateisystem oder Partitionierungsschema übereinstimmen.
- Große Anwendungen, z.B. SAP, MongoDB, Apache Cassandra oder Docker, werden nicht unterstützt, wenn sie vor der Verschlüsselung im Betriebssystem installiert und ausgeführt werden. Azure Disk Encryption kann diese Prozesse zur Vorbereitung des Betriebssystemlaufwerks für die Datenträgerverschlüsselung nicht wie erforderlich sicher herunterfahren. Wenn noch aktive Prozesse mit geöffneten Dateihandles auf dem Betriebssystemlaufwerk vorhanden sind, kann Azure Disk Encryption die Bereitstellung des Betriebssystemlaufwerks nicht aufheben, was zu einem Fehler beim Verschlüsseln des Betriebssystemlaufwerks führt.
- Wenn benutzerdefinierte Skripts in einem engen zeitlichen Abstand zur Aktivierung der Verschlüsselung ausgeführt werden oder während des Verschlüsselungsprozesses andere Änderungen an der VM vorgenommen werden. Dieser Konflikt kann auftreten, wenn eine Azure Resource Manager-Vorlage mehrere Erweiterungen für die gleichzeitige Ausführung definiert oder wenn eine benutzerdefinierte Skripterweiterung oder andere Aktion parallel zur Datenträgerverschlüsselung erfolgt. Durch die Serialisierung und Isolierung dieser Schritte kann das Problem behoben werden.
- Security Enhanced Linux (SELinux) ist nicht deaktiviert, bevor Sie die Verschlüsselung aktivieren, sodass der Bereitstellungsschritt fehlschlägt. SELinux können Sie nach Abschluss der Verschlüsselung wiederverwenden.
- Der Betriebssystemdatenträger verwendet ein LVM-Schema (Logical Volume Manager). Wenngleich eingeschränkte Unterstützung für LVM-Datenträger geboten wird, gilt dies nicht für LVM-Betriebssystemdatenträger.
- Die Mindestanforderungen für den Arbeitsspeicher sind nicht erfüllt (für die Verschlüsselung des Betriebssystemdatenträgers werden 7 GB empfohlen).
- Datenlaufwerke sind rekursiv im Verzeichnis „/mnt/“ oder gegenseitig bereitgestellt worden (z.B. „/mnt/data1“, „/mnt/data2“, „/data3 + /data3/data4“).
Aktualisieren des Standardkernels für Ubuntu 14.04 LTS
Das Ubuntu 14.04 LTS-Image wird mit einer Standard kernel-Version 4.4 ausgeliefert. Diese Kernelversion hat ein bekanntes Problem, bei dem der OOM-Killer den dd Befehl während des Betriebssystemverschlüsselungsprozesses nicht ordnungsgemäß beendet. Dieser Fehler wurde im neuesten Azure abgestimmten Linux-Kernel behoben. Um diesen Fehler zu vermeiden, aktualisieren Sie vor dem Aktivieren der Verschlüsselung für das Image mithilfe der folgenden Befehle auf den für Azure optimierten Kernel in Version 4.15 oder höher:
sudo apt-get update
sudo apt-get install linux-azure
sudo reboot
Überprüfen Sie nach dem Neustart des virtuellen Computers im neuen Kernel die neue Kernelversion, indem Sie Folgendes ausführen:
uname -a
Aktualisieren des Azure VM-Agenten und der Erweiterungsversionen
Azure Disk Encryption Vorgänge können bei Images virtueller Computer fehlschlagen, die nicht unterstützte Versionen des Azure Virtual Machine Agent verwenden. Aktualisieren Sie Linux-Images mit Agent-Versionen vor 2.2.38, bevor Sie die Verschlüsselung aktivieren. Weitere Informationen finden Sie unter Aktualisieren des Azure Linux-Agent auf einer VM und Unterstützte Mindestversion für VM-Agents in Azure aktualisieren können.
Die richtige Version der Gast-Agent-Erweiterung „Microsoft.Azure.Security.AzureDiskEncryption“ oder „Microsoft.Azure.Security.AzureDiskEncryptionForLinux“ ist auch erforderlich. Erweiterungsversionen werden von der Plattform automatisch verwaltet und aktualisiert, wenn die Voraussetzungen für den Azure VM-Agent erfüllt sind und eine unterstützte Version des VM-Agents verwendet wird.
Die Microsoft. OSTCExtensions.AzureDiskEncryptionForLinux-Erweiterung ist veraltet und wird nicht mehr unterstützt.
Verschlüsselung von Linux-Datenträgern nicht möglich
In einigen Fällen scheint die Datenträgerverschlüsselung unter Linux bei Betriebssystem-Datenträgerverschlüsselung gestartet hängen zu bleiben, und SSH ist deaktiviert. Der Verschlüsselungsprozess kann bis zu 3 bis 16 Stunden dauern, bis es auf einem Stock Gallery-Bild fertig ist. Wenn Sie Multiterabyte-Datenträger hinzufügen, kann der Vorgang Tage dauern.
Durch die Verschlüsselungssequenz für Linux-Betriebssystemdatenträger wird die Bereitstellung des Betriebssystemlaufwerks vorübergehend aufgehoben. Es erfolgt anschließend eine blockweise Verschlüsselung des gesamten Betriebssystemdatenträgers, ehe er im verschlüsselten Zustand wieder bereitgestellt wird. Mit Linux Disk Encryption ist die gleichzeitige Nutzung der VM während des Verschlüsselungsvorgangs nicht möglich. Die Leistungsmerkmale der VM können sich signifikant auf den Zeitaufwand auswirken, der bis zur Verschlüsselung anfällt. Zu diesen Merkmalen zählen die Größe des Datenträgers und das Speicherkonto (Standard oder Storage Premium).
Während das Betriebssystemlaufwerk verschlüsselt wird, befindet sich die VM in einem Wartungszustand, und SSH wird deaktiviert, um eine Störung des laufenden Prozesses zu verhindern. Verwenden Sie den Azure PowerShell-Befehl Get-AzVmDiskEncryptionStatus, und überprüfen Sie das Feld ProgressMessage, um den Verschlüsselungsstatus zu überprüfen. ProgressMessage meldet eine Reihe von Status, während die Daten- und Betriebssystemdatenträger verschlüsselt werden:
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings :
ProgressMessage : Transitioning
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for data volumes
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Provisioning succeeded
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : EncryptionInProgress
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : OS disk encryption started
ProgressMessage verbleibt während des Großteils des Verschlüsselungsvorgangs im Status Verschlüsselung des Betriebssystem-Datenträgers gestartet. Wenn die Verschlüsselung erfolgreich abgeschlossen wurde, gibt ProgressMessage- Folgendes zurück:
PS > Get-AzVMDiskEncryptionStatus -ResourceGroupName "MyResourceGroup" -VMName "myVM"
OsVolumeEncrypted : Encrypted
DataVolumesEncrypted : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Encryption succeeded for all volumes
Nachdem diese Nachricht verfügbar ist, ist das verschlüsselte Betriebssystemlaufwerk einsatzbereit, und Sie können die VM erneut verwenden.
Wenn die Startinformationen, die Statusmeldung oder eine Fehlermeldung darauf hinweisen, dass die Betriebssystemverschlüsselung während dieses Prozesses fehlschlägt, stellen Sie die VM aus der unmittelbar vor der Verschlüsselung erstellten Momentaufnahme oder Sicherung wieder her. Ein Beispiel für eine Nachricht ist der Fehler "Fehler beim Aufheben der Bereitstellung", der in dieser Anleitung beschrieben wird.
Prüfen Sie vor einem neuerlichen Verschlüsselungsversuch die Merkmale der VM, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind.
Azure Disk Encryption-Problembehandlung hinter einer Firewall
Weitere Informationen finden Sie unter Datenträgerverschlüsselung in einem isolierten Netzwerk.
Behandeln von Problemen mit dem Verschlüsselungsstatus
Das Portal zeigt möglicherweise einen Datenträger als verschlüsselt an, auch nachdem Sie ihn innerhalb der VM entschlüsselt haben. Dieses Problem kann auftreten, wenn Sie Befehle auf niedriger Ebene verwenden, um den Datenträger direkt innerhalb der VM zu entschlüsseln, anstatt die Verwaltungsbefehle auf höherer Ebene Azure Disk Encryption zu verwenden. Die Befehle auf höherer Ebene heben die Verschlüsselung des Datenträgers innerhalb der VM auf. Außerhalb des virtuellen Computers aktualisieren sie auch wichtige Verschlüsselungseinstellungen auf Plattformebene und Erweiterungseinstellungen, die der VM zugeordnet sind. Wenn diese Einstellungen nicht in Übereinstimmung gehalten werden, kann die Plattform den Verschlüsselungsstatus nicht melden oder den virtuellen Computer ordnungsgemäß bereitstellen.
Verwenden Sie zum Deaktivieren von Azure Disk Encryption mit PowerShell Disable-AzVMDiskEncryption, gefolgt von Remove-AzVMDiskEncryptionExtension. Wenn Sie „Remove-AzVMDiskEncryptionExtension“ ausführen, bevor die Verschlüsselung deaktiviert wurde, tritt ein Fehler auf.
Verwenden Sie zum Deaktivieren von Azure Disk Encryption mit der CLI az vm encryption disable.
Nächste Schritte
In diesem Dokument haben Sie weitere Informationen zu einigen häufigen Problemen in Azure Disk Encryption und deren Behandlung erhalten. Weitere Informationen zu diesem Dienst und seinen Funktionen finden Sie in den folgenden Artikeln: