Migrera från Azure Disk Encryption till kryptering på värden

Den här artikeln innehåller stegvisa anvisningar för att migrera dina virtuella datorer från Azure Disk Encryption (ADE) till kryptering på värden. Migreringsprocessen kräver att nya diskar och virtuella datorer skapas, eftersom konvertering på plats inte stöds.

Översikt över migration

Azure Disk Encryption (ADE) krypterar data i den virtuella datorn med BitLocker (Windows) eller dm-crypt (Linux), medan kryptering på värden krypterar data på värdnivån för den virtuella datorn utan att förbruka PROCESSORresurser för virtuella datorer. Kryptering på värden förbättrar Azures standardkryptering på serversidan (SSE) genom att tillhandahålla kryptering från slutpunkt till slutpunkt för alla vm-data, inklusive temporära diskar, cacheminnen och dataflöden mellan beräkning och lagring.

Mer information finns i Översikt över krypteringsalternativ för hanterade diskar och Aktivera kryptering från slutpunkt till slutpunkt med kryptering på värden.

Begränsningar och överväganden för migrering

Innan du påbörjar migreringsprocessen bör du vara medveten om dessa viktiga begränsningar och överväganden som påverkar migreringsstrategin:

• Ingen migrering på plats: Du kan inte direkt konvertera ADE-krypterade diskar till kryptering på värden. Migrering kräver att nya diskar och virtuella datorer skapas.

• Begränsning av Linux OS-disk: Det går inte att inaktivera ADE på Linux OS-diskar. För virtuella Linux-datorer med ADE-krypterade OS-diskar måste du skapa en ny virtuell dator med en ny OS-disk.

• Windows ADE-krypteringsmönster: På virtuella Windows-datorer kan Azure Disk Encryption endast kryptera os-disken ensam eller alla diskar (OS + datadiskar). Det går inte att endast kryptera datadiskar på virtuella Windows-datorer.

• UDE-flaggans beständighet: Diskar som krypterats med Azure Disk Encryption har en UDE-flagga (Unified Data Encryption) som bevaras även efter dekryptering. Både ögonblicksbilder och diskkopior med alternativet Kopiera behåller den här UDE-flaggan. Migreringen kräver att nya hanterade diskar skapas med metoden Ladda upp och kopierar VHD-blobdata, vilket skapar ett nytt diskobjekt utan metadata från källdisken.

• Stilleståndstid krävs: Migreringsprocessen kräver vm-stilleståndstid för diskåtgärder och vm-rekreation.

• Domänanslutna virtuella datorer: Om dina virtuella datorer ingår i en Active Directory-domän krävs fler steg:

  • Den ursprungliga virtuella datorn måste tas bort från domänen innan den tas bort
  • När du har skapat den nya virtuella datorn måste den återanslutas till domänen
  • För virtuella Linux-datorer kan domänanslutning utföras med hjälp av Azure AD-tillägg

  Mer information finns i Vad är Microsoft Entra Domain Services?

Förutsättningar

Innan du påbörjar migreringen:

1. Säkerhetskopiera dina data: Skapa säkerhetskopior av alla kritiska data innan du påbörjar migreringsprocessen.

2. Testa processen: Testa om möjligt migreringsprocessen på en virtuell dator som inte är produktion först.

3. Förbereda krypteringsresurser: Se till att storleken på den virtuella datorn stöder kryptering på värden. De flesta aktuella VM-storlekar stöder den här funktionen. Mer information om storlekskrav för virtuella datorer finns i Aktivera kryptering från slutpunkt till slutpunkt med kryptering på värden.

4. Dokumentkonfiguration: Registrera din aktuella VM-konfiguration, inklusive nätverksinställningar, tillägg och anslutna resurser.

Migreringssteg

Följande migreringssteg fungerar för de flesta scenarier, med specifika skillnader som anges för varje operativsystem.

Inaktivera Azure Disk Encryption

Det första steget är att inaktivera den befintliga Azure Disk Encryption när det är möjligt:

• Windows: Följ anvisningarna i Inaktivera kryptering och ta bort krypteringstillägget i Windows
• Linux: Om endast datadiskar är krypterade följer du Inaktivera kryptering och tar bort krypteringstillägget i Linux. Om OS-disken är krypterad läser du Migrera virtuella Linux-datorer med krypterade OS-diskar.

När du har kört ADE-inaktivera-kommandot ändras vm-krypteringsstatusen i Azure-portalen till "SSE + PMK" omedelbart. Den faktiska dekrypteringsprocessen på OS-nivå tar dock tid och beror på mängden data som krypteras. Du måste kontrollera att dekrypteringen på OS-nivå har slutförts innan du fortsätter till nästa steg.

För virtuella Windows-datorer:

• Öppna kommandotolken som administratör och kör: manage-bde -status
• Kontrollera att alla volymer visar statusen "Fullständigt dekrypterad"
• Dekrypteringsprocenten ska visa 100% för alla krypterade volymer

För virtuella Linux-datorer (endast datadiskar):

• Kör: sudo cryptsetup status /dev/mapper/<device-name>
• Kontrollera att krypterade enheter inte längre är aktiva
• Kontrollera med: lsblk för att bekräfta att inga krypterade mappningar finns kvar

Vänta på fullständig dekryptering innan du fortsätter med diskmigreringen för att säkerställa dataintegriteten.

Skapa nya hanterade diskar

Skapa nya diskar som inte överför ADE-krypteringsmetadata. Den här processen fungerar för både virtuella Windows- och Linux-datorer, med vissa specifika överväganden för Linux OS-diskar.

# Get the source disk ID
SOURCE_DISK_ID=$(az disk show --resource-group "MyResourceGroup" --name "MySourceDisk" --query "id" -o tsv)

# Create a new disk from the source disk
az disk create --resource-group "MyResourceGroup" --name "MyTargetDisk" 
  --source "$SOURCE_DISK_ID" --upload-type "Copy"

# For OS disks, specify --os-type "Linux" or --os-type "Windows"

# Get source disk information
$sourceDisk = Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MySourceDisk"

# Create a new empty target disk
# For Windows OS disks
$diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload `
  -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512) -OsType Windows `
  -HyperVGeneration "V2"

# For Linux OS disks (if not ADE-encrypted)
# $diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload `
#   -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512) -OsType Linux `
#   -HyperVGeneration "V2"

# For data disks (no OS type needed)
# $diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload `
#   -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512)

$targetDisk = New-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyTargetDisk" -Disk $diskConfig

# Generate SAS URIs and copy the data
# Get SAS URIs for both disks
$sourceSAS = Grant-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $sourceDisk.Name `
  -Access Read -DurationInSecond 7200
$targetSAS = Grant-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $targetDisk.Name `
  -Access Write -DurationInSecond 7200

# Copy the disk data using AzCopy
azcopy copy $sourceSAS.AccessSAS $targetSAS.AccessSAS --blob-type PageBlob

# Revoke SAS access when complete
Revoke-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $sourceDisk.Name
Revoke-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $targetDisk.Name

Skapa en ny virtuell dator med kryptering

Skapa en ny virtuell dator med hjälp av de nyligen skapade diskarna med den valda krypteringsmetoden.

Du kan välja mellan flera krypteringsalternativ, beroende på dina säkerhetskrav. Den här artikeln innehåller steg för att skapa en ny virtuell dator med kryptering på värden, vilket är den vanligaste migreringsvägen. Andra krypteringsalternativ beskrivs i Översikt över krypteringsalternativ för hanterade diskar.

Skapa en ny virtuell dator med kryptering på värden

Kryptering på värden ger den närmaste motsvarigheten till Azure Disk Encryptions täckning och beskrivs i det här avsnittet.

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

# Define VM configuration
$vmConfig = New-AzVMConfig -VMName "MyVM-New" -VMSize "Standard_D2s_v3"

# Add the OS disk (Windows example)
$vmConfig = Set-AzVMOSDisk -VM $vmConfig -ManagedDiskId $targetDisk.Id -CreateOption Attach -Windows

# For Linux OS disk, use -Linux instead of -Windows

# Enable encryption at host
$vmConfig = Set-AzVMSecurityProfile -VM $vmConfig -EncryptionAtHost $true

# Create the VM with network settings (you'll need to specify your own)
New-AzVM -ResourceGroupName "MyResourceGroup" -Location $targetDisk.Location -VM $vmConfig

# Get the VM
$vm = Get-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-New"

# Attach the data disk
$vm = Add-AzVMDataDisk -VM $vm -ManagedDiskId $targetDisk.Id -Lun 0 -CreateOption Attach

# Update the VM
Update-AzVM -ResourceGroupName "MyResourceGroup" -VM $vm

Verifiera och konfigurera de nya diskarna

När du har skapat den nya virtuella datorn med kryptering på värden måste du verifiera och konfigurera diskarna korrekt för operativsystemet.

# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

# List all disks and their partitions
Get-Disk | Get-Partition | Format-Table -AutoSize

# Check drive letters
Get-PSDrive -PSProvider FileSystem

# Verify VM is running
Get-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-New" -Status

Både Windows och Linux kan kräva ytterligare konfigurationssteg som är specifika för dina program eller arbetsbelastningar.

Verifiera kryptering och rensning

Kontrollera att krypteringen på värden är korrekt konfigurerad på både virtuella Windows- och Linux-datorer.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

# Check encryption at host status
Get-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-New" | `
Select-Object -ExpandProperty SecurityProfile | Select-Object EncryptionAtHost

# Verify disk encryption status
Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyTargetDisk" | Select-Object Name, Encryption

# Delete the original VM
Remove-AzVM -ResourceGroupName "MyResourceGroup" -Name "MyVM-Original" -Force

# Delete the original disk
Remove-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MySourceDisk" -Force

Migrera virtuella Linux-datorer med krypterade OS-diskar

Eftersom du inte kan inaktivera kryptering på Linux OS-diskar skiljer sig processen från Windows.

När du har skapat den nya virtuella datorn:

1. Konfigurera den nya virtuella datorn så att den matchar den ursprungliga miljön

   • Konfigurera samma nätverkskonfigurationer
   • Installera samma program och tjänster
   • Tillämpa samma säkerhetsinställningar

2. Testa noggrant innan du inaktiverar den ursprungliga virtuella datorn

Den här metoden fungerar för både virtuella Windows- och Linux-datorer, men är särskilt viktig för virtuella Linux-datorer med krypterade OS-diskar som inte kan dekrypteras på plats.

Vägledning om datamigrering finns i Ladda upp en virtuell hårddisk till Azure och Kopiera filer till en virtuell Linux-dator med SCP.

Överväganden för domänansluten virtuell dator

Om dina virtuella datorer är medlemmar i en Active Directory-domän krävs ytterligare steg under migreringsprocessen:

Steg för förflyttningsdomän

1. Medlemskap i dokumentdomän: Registrera den aktuella domänen, organisationsenheten (OU) och eventuella särskilda gruppmedlemskap
2. Obs! Datorkonto: Datorkontot i Active Directory måste hanteras
3. Säkerhetskopiera domänspecifika konfigurationer: Spara domänspecifika inställningar, grupprinciper eller certifikat

Borttagningsprocess för domän

1. Ta bort från domänen: Innan du tar bort den ursprungliga virtuella datorn tar du bort den från domänen med någon av följande metoder:

   • Använda Remove-Computer PowerShell-cmdlet i Windows
   • Använd dialogrutan Systemegenskaper för att ändra till arbetsgrupp
   • Ta bort datorkontot manuellt från Active Directory-användare och -datorer

2. Rensa Active Directory: Ta bort alla överblivna datorkonton eller DNS-poster

Domänen efter migreringen återansluts

1. Anslut ny virtuell dator till domän: När du har skapat den nya virtuella datorn med kryptering på värden:

   • För Windows: Använda Add-Computer PowerShell-cmdlet eller systemegenskaper
   • För Linux: Använda Azure AD-domänanslutningstillägg eller manuell konfiguration

2. Återställa domäninställningar: Tillämpa alla domänspecifika konfigurationer, grupprinciper eller certifikat igen

3. Verifiera domänfunktioner: Testa domänautentisering, grupprincipprogram och åtkomst till nätverksresurser

Linux-domänanslutning

För virtuella Linux-datorer kan du använda azure AD Domain Services VM-tillägget:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Mer information finns i Vad är Microsoft Entra Domain Services?

Viktiga domänöverväganden

• Den nya virtuella datorn har ett annat sid för datorn, vilket kan påverka vissa program
• Kerberos-biljetter och cachelagrade autentiseringsuppgifter måste uppdateras
• Vissa domänintegrerade program kan kräva omkonfiguration
• Planera för potentiell tillfällig förlust av domäntjänster under migreringen

Verifiering efter migrering

När du har slutfört migreringen kontrollerar du att krypteringen på värden fungerar korrekt:

1. Kontrollera kryptering med värdstatus: Kontrollera att kryptering på värden är aktiverat:

   az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"
   

2. Testa funktionen för virtuella datorer: Kontrollera att dina program och tjänster fungerar korrekt.

3. Verifiera diskkryptering: Bekräfta att diskarna är korrekt krypterade:

   Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState
   

4. Övervaka prestanda: Jämför prestanda före och efter migreringen för att bekräfta de förväntade förbättringarna.

Mer information om krypteringsverifiering finns i Aktivera kryptering från slutpunkt till slutpunkt med kryptering på värden.

Cleanup

Efter lyckad migrering och verifiering:

1. Ta bort gammal virtuell dator: Ta bort den ursprungliga ADE-krypterade virtuella datorn

2. Ta bort gamla diskar: Ta bort de ursprungliga krypterade diskarna

3. Uppdatera Key Vault-åtkomstprinciper: Andra diskkrypteringslösningar använder standardmekanismer för Key Vault-auktorisering. Om du inte längre behöver Key Vault för Azure Disk Encryption uppdaterar du dess åtkomstprinciper för att inaktivera den särskilda diskkrypteringsinställningen:

   • CLI
   • Azure PowerShell

   az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
   

4. Rensa resurser: Ta bort alla tillfälliga resurser som skapats under migreringen
5. Uppdateringsdokumentation: Uppdatera infrastrukturdokumentationen så att den återspeglar migreringen till kryptering på värden

Vanliga problem och lösningar

Vm-storleken stöder inte kryptering på värden

Lösning: Kontrollera listan över vm-storlekar som stöds och ändra storlek på den virtuella datorn om det behövs

Den virtuella datorn startar inte efter migreringen

Lösning: Kontrollera att alla diskar är korrekt anslutna och att OS-disken har angetts som startdisk

Kryptering på värden är inte aktiverat

Lösning: Kontrollera att den virtuella datorn har skapats med parametern --encryption-at-host true och att din prenumeration stöder den här funktionen

Prestandaproblem kvarstår

Lösning: Kontrollera att krypteringen på värden är korrekt aktiverad och att vm-storleken stöder den förväntade prestandan.

Nästa steg

• Översikt över krypteringsalternativ för hanterade diskar
• Aktivera kryptering från slutpunkt till slutpunkt med hjälp av kryptering på värden – Azure-portalen
• Aktivera kryptering från slutpunkt till slutpunkt med kryptering på värden – Azure PowerShell
• Aktivera kryptering från slutpunkt till slutpunkt med hjälp av kryptering på värden – Azure CLI
• Kryptering på serversidan av Azure Disk Storage
• Azure Disk Encryption för virtuella Windows-datorer
• Azure Disk Encryption för virtuella Linux-datorer
• Vanliga frågor och svar om Azure Disk Encryption
• Ladda upp en virtuell hårddisk till Azure eller kopiera en hanterad disk till en annan region
• Azure Disk Encryption för virtuella Linux-datorer
• Vanliga frågor och svar om Azure Disk Encryption
• Ladda upp en virtuell hårddisk till Azure eller kopiera en hanterad disk till en annan region
• Vanliga frågor och svar om Azure Disk Encryption
• Ladda upp en virtuell hårddisk till Azure eller kopiera en hanterad disk till en annan region
• Azure Disk Encryption för virtuella Linux-datorer
• Vanliga frågor och svar om Azure Disk Encryption
• Ladda upp en virtuell hårddisk till Azure eller kopiera en hanterad disk till en annan region