Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Azure Disk Encryption för virtuella datorer och VM-skalningsuppsättningar dras tillbaka den 15 september 2028. Nya kunder bör använda kryptering på värdnivå för alla nya virtuella datorer. Befintliga kunder bör planera att migrera nuvarande ADE-aktiverade virtuella datorer till kryptering på värdserver före slutdatumet för att undvika avbrott i tjänsten – se Migrera från Azure Disk Encryption till kryptering på värdserver.
Tillägg som Azure-diskkryptering kan läggas till i en skalningsuppsättning för virtuella Azure-datorer i en angiven ordning. Använd tilläggssekvensering för att göra det.
I allmänhet ska kryptering tillämpas på en disk:
- Efter tillägg eller anpassade skript som förbereder diskarna eller volymerna.
- Före tillägg eller anpassade skript som kommer åt eller använder data på krypterade diskar eller volymer.
I båda fallen anger egenskapen provisionAfterExtensions vilket tillägg som ska läggas till senare i sekvensen.
Exempel på Azure-mallar
Om du vill att Azure Disk Encryption ska tillämpas efter ett annat tillägg placerar provisionAfterExtensions du egenskapen i AzureDiskEncryption-tilläggsblocket.
Här är ett exempel med "CustomScriptExtension", ett PowerShell-skript som initierar och formaterar en Windows-disk följt av "AzureDiskEncryption":
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "CustomScriptExtension",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Compute",
"type": "CustomScriptExtension",
"typeHandlerVersion": "1.9",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"fileUris": [
"https://raw.githubusercontent.com/Azure-Samples/compute-automation-configurations/master/ade-vmss/FormatMBRDisk.ps1"
]
},
"protectedSettings": {
"commandToExecute": "powershell -ExecutionPolicy Unrestricted -File FormatMBRDisk.ps1"
}
}
},
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "AzureDiskEncryption",
"location": "[resourceGroup().location]",
"properties": {
"provisionAfterExtensions": [
"CustomScriptExtension"
],
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
]
}
}
Om du vill att Azure Disk Encryption ska tillämpas före ett annat tillägg placerar provisionAfterExtensions du egenskapen i blocket för tillägget som ska följas.
Här är ett exempel med "AzureDiskEncryption" följt av "VMDiagnosticsSettings", ett tillägg som tillhandahåller övervaknings- och diagnostikfunktioner på en Windows-baserad virtuell Azure-dator:
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"name": "AzureDiskEncryption",
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
{
"name": "Microsoft.Insights.VMDiagnosticsSettings",
"type": "extensions",
"location": "[resourceGroup().location]",
"apiVersion": "2016-03-30",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/myVM', copyindex())]"
],
"properties": {
"provisionAfterExtensions": [
"AzureDiskEncryption"
],
"publisher": "Microsoft.Azure.Diagnostics",
"type": "IaaSDiagnostics",
"typeHandlerVersion": "1.5",
"autoUpgradeMinorVersion": true,
"settings": {
"xmlCfg": "[base64(concat(variables('wadcfgxstart'),
variables('wadmetricsresourceid'),
concat('myVM', copyindex()),
variables('wadcfgxend')))]",
"storageAccount": "[variables('storageName')]"
},
"protectedSettings": {
"storageAccountName": "[variables('storageName')]",
"storageAccountKey": "[listkeys(variables('accountid'),
'2015-06-15').key1]",
"storageAccountEndPoint": "https://core.windows.net"
}
}
},
]
}
}
En mer djupgående mall finns i:
- Använd Azure Disk Encryption-tillägget efter ett anpassat gränssnittsskript som formaterar disken (Linux): deploy-extseq-linux-ADE-after-customscript.json
Nästa steg
- Läs mer om sekvensering av tillägg: Planering av sekvensering för tillägg i virtuella maskin skalningsuppsättningar.
- Läs mer om
provisionAfterExtensions-egenskapen: Microsoft.Compute virtualMachineScaleSets/extensions mallreferens. - Azure Disk Encryption för virtuella maskinskaluppsättningar
- Kryptera skalningsuppsättningar för virtuella maskiner med hjälp av Azure CLI
- Kryptera skalningsuppsättningar för virtuella maskiner med hjälp av Azure PowerShell
- Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption