你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要说明
虚拟机和虚拟机规模集的 Azure 磁盘加密将于 2028 年 9 月 15 日停用。 新客户应在主机上对所有新 VM 使用 加密 。 现有客户应计划在停用日期之前将当前已启用 ADE 的 VM 迁移到主机加密,以避免服务中断 -- 请参阅 从 Azure 磁盘加密迁移到主机加密。
适用于:✔️ Windows VM ✔️ 灵活规模集
Azure CLI 用于从命令行或脚本创建和管理 Azure 资源。 本快速入门演示如何使用 Azure CLI 创建和加密 Windows Server 2016 虚拟机 (VM)。
如果没有 Azure 帐户,请在开始前创建一个免费帐户。
先决条件
在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息,请参阅 Azure Cloud Shell 入门。
如果要在本地运行 CLI 引用命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅 使用 Azure CLI 向 Azure 进行身份验证。
按照提示,请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息,请参阅 使用和管理 Azure CLI 中的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
- 本文需要 Azure CLI 版本 2.0.30 或更高版本。 如果使用 Azure Cloud Shell,则最新版本已安装。
创建资源组
使用 az group create 命令创建资源组。 Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。 以下示例在 eastus 位置创建名为 myResourceGroup 的资源组:
az group create --name myResourceGroup --location eastus
创建虚拟机
使用 az vm create 创建 VM。 以下示例创建一个名为 myVM 的 VM。 此示例使用 azureuser 作为管理用户名,使用 myPassword12 作为密码。
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image win2016datacenter \
--admin-username azureuser \
--admin-password myPassword12
创建 VM 和支持资源需要几分钟时间。 以下示例输出表明 VM 创建操作已成功。
{
"fqdns": "",
"id": "/subscriptions/<guid>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
"location": "eastus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.0.4",
"publicIpAddress": "52.174.34.95",
"resourceGroup": "myResourceGroup"
}
创建为加密密钥配置的密钥保管库
Azure 磁盘加密将其加密密钥存储在 Azure 密钥保管库中。 使用 az keyvault create 创建密钥保管库。 若要使 Key Vault 能够存储加密密钥,请使用 --enabled-for-disk-encryption 参数。
重要说明
每个密钥保管库必须具有唯一的名称。 此示例创建名为“myKV”的密钥保管库,但你必须将其命名为不同的名称。
az keyvault create --name "myKV" --resource-group "myResourceGroup" --location eastus --enabled-for-disk-encryption
加密虚拟机
使用 az vm encryption 加密 VM,为 --disk-encryption-keyvault 参数提供唯一的密钥保管库名称。
az vm encryption enable -g MyResourceGroup --name MyVM --disk-encryption-keyvault myKV
可以使用 az vm show 验证 VM 是否已启用加密
az vm encryption show --name MyVM -g MyResourceGroup
将在返回的输出中看到以下内容:
"EncryptionOperation": "EnableEncryption"
清理资源
如果不再需要资源组、VM 和密钥保管库,可以使用 az group delete 命令将其删除。
az group delete --name myResourceGroup
后续步骤
在本快速入门中,你创建了一个虚拟机,创建了一个启用加密密钥的密钥保管库,并对 VM 进行了加密。 请继续学习下一篇文章,详细了解 IaaS VM 的 Azure 磁盘加密先决条件。