Azure Disk Encryption-Szenarien auf virtuellen Linux-Computern

Wichtig

Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.

Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer, oder ziehen Sie vertrauliche VM-Größen mit Betriebssystemdatenträgerverschlüsselung für vertrauliche Computerarbeitslasten in Betracht. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .

Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen

Azure Disk Encryption für virtuelle Linux-Computer (VMs) bietet mithilfe des DM-Crypt-Features von Linux eine vollständige Datenträgerverschlüsselung des Betriebssystemdatenträgers und der Datenträger für Daten. Darüber hinaus verschlüsselt sie den temporären Datenträger bei Verwendung des Features "EncryptFormatAll".

Azure Disk Encryption ist mit Azure Key Vault integriert, um Ihnen die Steuerung und Verwaltung der Datenträger-Verschlüsselungsschlüssel und -geheimnisse zu erleichtern. Eine Übersicht über den Dienst finden Sie unter Azure Disk Encryption für Linux-VMs.

Voraussetzungen

Sie können die Datenträgerverschlüsselung nur auf virtuelle Computer mit unterstützten VM-Größen und Betriebssystemen anwenden. Außerdem müssen die folgenden Voraussetzungen erfüllt sein:

Erstellen Sie in allen Fällen eine Momentaufnahme, erstellen Sie eine Sicherung oder beides, bevor Datenträger verschlüsselt sind. Durch Sicherungen wird sichergestellt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Für VMs mit verwalteten Datenträgern ist eine Sicherung erforderlich, bevor die Verschlüsselung durchgeführt wird. Nach dem Erstellen einer Sicherung können Sie das Cmdlet Set-AzVMDiskEncryptionExtension verwenden, um verwaltete Datenträger durch das Angeben des Parameters „-skipVmBackup“ zu verschlüsseln. Weitere Informationen zum Sichern und Wiederherstellen von verschlüsselten VMs finden Sie im Artikel Azure Backup.

Beschränkungen

Wenn Sie zuvor Azure Disk Encryption mit Microsoft Entra ID zum Verschlüsseln eines virtuellen Computers verwendet haben, müssen Sie diese Option weiterhin verwenden, um Ihren virtuellen Computer zu verschlüsseln. Weitere Informationen finden Sie unter Azure Disk Encryption mit Microsoft Entra ID (vorheriges Release).

Beim Verschlüsseln von Linux-Betriebssystemvolumes ist der virtuelle Computer nicht verfügbar. Vermeiden Sie SSH-Anmeldungen, während die Verschlüsselung ausgeführt wird, um Probleme zu verhindern, die geöffnete Dateien blockieren, auf die während des Verschlüsselungsprozesses zugegriffen werden muss. Verwenden Sie zum Überprüfen des Fortschritts das PowerShell-Cmdlet Get-AzVMDiskEncryptionStatus oder den CLI-Befehl vm encryption show. Sie können davon ausgehen, dass dieser Vorgang ein paar Stunden für ein 30-GB-Betriebssystemvolume und zusätzliche Zeit für die Verschlüsselung von Datenvolumes benötigt. Die Datenvolumeverschlüsselungszeit ist proportional zur Größe und Menge der Datenvolumes, es sei denn, die encrypt format all Option wird verwendet.

Das Deaktivieren der Verschlüsselung auf virtuellen Linux-Computern wird nur für Datenvolumes unterstützt. Das Deaktivieren der Verschlüsselung wird für Daten- oder Betriebssystemvolumes nicht unterstützt, wenn das Betriebssystemvolume verschlüsselt ist.

Azure Disk Encryption funktioniert nicht für die folgenden Linux-Szenarien, Features und Technologien:

  • Verschlüsseln von virtuellen Computern der Ebene „Standard“ und von virtuellen Computern, die mithilfe der klassischen Erstellungsmethode für virtuelle Computer erstellt wurden
  • Verschlüsseln von V6-VMs mit temporären Datenträgern (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6, Epdsv6 oder Endsv6). Weitere Informationen finden Sie auf den einzelnen Seiten für jede dieser VM-Größen, die unter Größen für virtuelle Computer in Azure aufgeführt sind.
  • Verschlüsseln der V7-Serie und neuerer VM-Größen.
  • Deaktivieren der Verschlüsselung für ein Betriebssystemlaufwerk oder Datenlaufwerk auf einem virtuellen Linux-Computer, wenn das Betriebssystemlaufwerk verschlüsselt ist
  • Verschlüsseln des Betriebssystemlaufwerks für Linux-VM-Skalierungsgruppen
  • Verschlüsseln benutzerdefinierter Images auf virtuellen Linux-Computern
  • Integration mit einem lokalen Schlüsselverwaltungssystem
  • Azure Files (freigegebenes Dateisystem)
  • Network File System (NFS)
  • Dynamische Volumes
  • Kurzlebige Betriebssystemdatenträger
  • Verschlüsselung freigegebener/verteilter Dateisysteme, einschließlich u. a. DFS, GFS, DRDB, und CephFS
  • Verschieben eines verschlüsselten virtuellen Computers in ein anderes Abonnement oder in eine andere Region
  • Erstellen eines Images oder einer Momentaufnahme einer verschlüsselten VM und dessen bzw. deren Verwendung zum Bereitstellen weiterer VMs
  • Kernel-Absturzabbild (kdump).
  • Oracle-ACFS (ASM-Clusterdateisystem).
  • NVMe-Datenträger, so wie auf die auf High Performance Computing VM-Größen oder Speicheroptimierte VM-Größen.
  • Eine VM mit "geschachtelten Bereitstellungspunkten", bei denen es sich um mehrere Bereitstellungspunkte in einem einzelnen Pfad handelt (z. B. "/1stmountpoint/data/2ndmountpoint").
  • Eine VM mit einem Datenlaufwerk, das über einem Betriebssystemordner eingebunden ist
  • Eine VM, auf der ein logisches Stammvolume (Betriebssystemdatenträger) mithilfe eines Datenträgers für Daten erweitert wird.
  • Ändern der Größe des Betriebssystemdatenträgers.
  • Datenspeicheroptimierte VM-Größenreihe der L-Familie
  • VMs der M-Serie mit Datenträgern mit Schreibbeschleunigung
  • Anwenden von ADE auf eine VM, die mit Verschlüsselung auf dem Host oder serverseitiger Verschlüsselung mit kundenseitig verwalteten Schlüsseln (SSE und CMK) verschlüsselte Datenträger aufweist. Das Anwenden von SSE und CMK auf einen Datenträger oder das Hinzufügen eines Datenträgers mit SSE und CMK, der für eine mit ADE verschlüsselte VM konfiguriert ist, ist ebenfalls ein nicht unterstütztes Szenario.
  • Migrieren einer VM, die mit ADE verschlüsselt ist oder jemals mit ADE verschlüsselt war, zur Verschlüsselung auf dem Host oder serverseitigen Verschlüsselung mit kundenseitig verwalteten Schlüsseln
  • Verschlüsseln von VMs in Failoverclustern.
  • Verschlüsselung von Azure Ultra Disks.
  • Verschlüsselung von SSD Premium v2-Datenträgern
  • Verschlüsselung von VMs in Abonnements, bei denen die Richtlinie Geheimnisse sollten die angegebene maximale Gültigkeitsdauer haben mit dem VERWEIGERN-Effekt aktiviert ist.

Installieren von Tools und Herstellen einer Verbindung mit Azure

Sie können Azure Disk Encryption über die Azure CLI und Azure PowerShell aktivieren und verwalten. Zu diesem Zweck müssen Sie die Tools lokal installieren und eine Verbindung mit Ihrem Azure-Abonnement herstellen.

Die Azure CLI 2.0 ist ein Befehlszeilentool zum Verwalten von Azure-Ressourcen. Sie wurde entwickelt, um Daten flexible abzufragen, Vorgänge mit langer Ausführungsdauer als nicht blockierende Prozesse zu unterstützen und das Erstellen von Skripts zu vereinfachen. Sie können sie lokal installieren, indem Sie die Schritte unter Installieren der Azure CLI ausführen.

Um sich bei Ihrem Azure-Konto mit der Azure CLI anzumelden, verwenden Sie den Befehl az login.

az login

Wenn Sie einen Mandanten auswählen möchten, für den Sie sich anmelden möchten, verwenden Sie dazu:

az login --tenant <tenant>

Wenn Sie über mehrere Abonnements verfügen und ein bestimmtes Abonnement angeben möchten, können Sie Ihre Abonnementliste mit az account list abrufen und den Befehl az account set zum Angeben verwenden.

az account list
az account set --subscription "<subscription name or ID>"

Weitere Informationen finden Sie unter Erste Schritte mit Azure CLI 2.0.

Aktivieren der Verschlüsselung auf einem vorhandenen oder aktuell ausgeführten virtuellen Linux-Computer

In diesem Szenario können Sie die Verschlüsselung aktivieren, indem Sie die Resource Manager-Vorlage, PowerShell-Cmdlets oder CLI-Befehle verwenden. Wenn Sie Schemainformationen für die Erweiterung des virtuellen Computers benötigen, finden Sie diese im Artikel Azure Disk Encryption für Linux.

Wichtig

Erstellen Sie eine Momentaufnahme, oder sichern Sie eine vm-Instanz auf verwaltetem Datenträger außerhalb und bevor Sie Azure Disk Encryption aktivieren. Sie können eine Momentaufnahme des verwalteten Datenträgers aus dem Portal erstellen oder Azure Backup verwenden. Durch Sicherungen wird sichergestellt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Nachdem Sie eine Sicherung erstellt haben, verwenden Sie das cmdlet Set-AzVMDiskEncryptionExtension, um verwaltete Datenträger zu verschlüsseln, indem Sie den parameter -skipVmBackup angeben. Der Befehl Set-AzVMDiskEncryptionExtension schlägt bei verwalteten datenträgerbasierten VMs fehl, bis Sie eine Sicherung erstellen und diesen Parameter angeben.

Das Verschlüsseln bzw. Deaktivieren der Verschlüsselung kann dazu führen, dass die VM neu gestartet wird.

Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.

Sie können die Datenträgerverschlüsselung auf Ihrer verschlüsselten VHD aktivieren, indem Sie das Befehlszeilentool Azure CLI installieren und verwenden. Azure PowerShell kann mit Azure Cloud Shell im Browser verwendet oder auf dem lokalen Computer installiert und in einer beliebigen PowerShell-Sitzung verwendet werden. Verwenden Sie die folgenden CLI-Befehle, um die Verschlüsselung auf vorhandenen oder aktuell ausgeführten virtuellen Linux-Computern in Azure zu aktivieren:

Verwenden Sie den Befehl az vm encryption enable, um die Verschlüsselung auf einem aktuell ausgeführten virtuellen Computer in Azure zu aktivieren.

  • Verschlüsseln eines ausgeführten virtuellen Computers:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
    
  • Verschlüsseln einer ausgeführten VM mithilfe von KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
    

    Hinweis

    Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
    Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID]

  • Überprüfen der Datenträgerverschlüsselung: Verwenden Sie den Befehl az vm encryption show, um den Verschlüsselungsstatus einer VM zu überprüfen.

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
    

Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.

Verwenden des Features EncryptFormatAll für Datenträger auf virtuellen Linux-Computern

Mit dem Parameter EncryptFormatAll wird die Zeit reduziert, die zum Verschlüsseln von Linux-Datenträgern benötigt wird. Partitionen, die bestimmte Kriterien erfüllen, werden formatiert (zusammen mit ihrem aktuellen Dateisystem) und dann erneut an dem Speicherort eingebunden, an dem sie sich vor dem Ausführen des Befehls befunden haben. Wenn Sie einen Datenträger ausschließen möchten, der die Kriterien erfüllt, können Sie die Bereitstellung vor dem Ausführen des Befehls aufheben.

Wenn Sie diesen Befehl ausführen, formatiert Azure Disk Encryption alle Laufwerke, die zuvor bereitgestellt wurden, und startet die Verschlüsselungsschicht auf dem jetzt leeren Laufwerk. Wenn Sie diese Option auswählen, verschlüsselt Azure Disk Encryption auch den temporären Datenträger, der an die VM angefügt ist. Wenn der temporäre Datenträger zurückgesetzt wird, formatiert Azure Disk Encryption den temporären Datenträger der VM bei der nächsten Gelegenheit neu und verschlüsselt ihn erneut. Nachdem der Ressourcendatenträger verschlüsselt wurde, kann der Microsoft Azure Linux-Agent den Ressourcendatenträger nicht verwalten und die Auslagerungsdatei aktivieren, Aber Sie können die Auslagerungsdatei manuell konfigurieren.

Warnung

Verwenden Sie EncryptFormatAll nicht, wenn erforderliche Daten auf den Datenvolumes eines virtuellen Computers vorhanden sind. Sie können Datenträger von der Verschlüsselung ausschließen, indem Sie deren Bereitstellung aufheben. Testen Sie zuerst den Parameter EncryptFormatAll auf einem virtuellen Testcomputer, um den Featureparameter und seine Auswirkungen zu verstehen, bevor Sie ihn auf der Produktions-VM ausprobieren. Die Option "EncryptFormatAll" formatiert den Datenträger, und alle darin gespeicherten Daten sind verloren gegangen. Bevor Sie fortfahren, stellen Sie sicher, dass die Datenträger, die Sie ausschließen möchten, ordnungsgemäß ausgehängt sind.

Wenn Sie diesen Parameter festlegen, während Sie die Verschlüsselungseinstellungen aktualisieren, wird vor der eigentlichen Verschlüsselung ggf. ein Neustart durchgeführt. In diesem Fall sollten Sie den Datenträger, der formatiert werden soll, aus der FSTAB-Datei entfernen. Entsprechend sollten Sie die Partition, die formatiert und verschlüsselt werden soll, der FSTAB-Datei hinzufügen, bevor Sie den Verschlüsselungsvorgang initiieren.

EncryptFormatAll-Kriterien

Der Parameter durchläuft alle Partitionen und verschlüsselt sie, solange alle hier aufgeführten Kriterien erfüllt sind:

  • Ist keine Stamm-, Betriebssystem- oder Startpartition
  • Ist nicht bereits verschlüsselt
  • Ist kein BEK-Volume
  • Ist kein RAID-Volume
  • Ist kein LVM-Volume
  • Ist bereitgestellt

Verschlüsselt die Datenträger, aus denen sich das RAID- oder LVM-Volume zusammensetzt, nicht das RAID- oder LVM-Volume selbst.

Verwenden Sie den Befehl az vm encryption enable, um die Verschlüsselung auf einem aktuell ausgeführten virtuellen Computer in Azure zu aktivieren.

  • Verschlüsseln Einer ausgeführten VM mithilfe von EncryptFormatAll:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "data" --encrypt-format-all
    

Verwenden des Parameters EncryptFormatAll mit Logical Volume Manager (LVM)

Wir empfehlen Ihnen, ein LVM-on-crypt-Setup zu verwenden. Ausführliche Anweisungen zur Konfiguration von LVM-on-crypt finden Sie unter Konfigurieren von LVM und RAID auf ADE-verschlüsselten Geräten.

Neue virtuelle Computer, die aus einer vom Kunden verschlüsselten VHD und mit Verschlüsselungsschlüsseln erstellt wurden

In diesem Szenario können Sie die Verschlüsselung mithilfe von PowerShell-Cmdlets oder CLI-Befehlen aktivieren.

Verwenden Sie die Anweisungen in den Azure Disk Encryption Beispielskripts, um vorverschlüsselte Bilder für Azure vorzubereiten. Nach dem Erstellen des Images können Sie die Schritte im nächsten Abschnitt ausführen, um eine verschlüsselte Azure-VM zu erstellen.

Wichtig

Erstellen Sie eine Momentaufnahme, oder sichern Sie eine vm-Instanz auf verwaltetem Datenträger außerhalb und bevor Sie Azure Disk Encryption aktivieren. Sie können eine Momentaufnahme des verwalteten Datenträgers über das Portal erstellen, oder Sie können Azure Backup verwenden. Durch Sicherungen wird sichergestellt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Nachdem Sie eine Sicherung erstellt haben, verwenden Sie das Cmdlet Set-AzVMDiskEncryptionExtension, um verwaltete Datenträger zu verschlüsseln, indem Sie den -skipVmBackup Parameter angeben. Der Befehl Set-AzVMDiskEncryptionExtension schlägt bei verwalteten datenträgerbasierten VMs fehl, bis Sie eine Sicherung erstellen und diesen Parameter angeben.

Das Verschlüsseln bzw. Deaktivieren der Verschlüsselung kann dazu führen, dass die VM neu gestartet wird.

Verwenden von Azure PowerShell zum Verschlüsseln von virtuellen Computern mit vorverschlüsselten VHDs

Sie können die Datenträgerverschlüsselung auf einer verschlüsselten VHD aktivieren, indem Sie das PowerShell-Cmdlet Set-AzVMOSDisk verwenden. Dieses Beispiel zeigt Ihnen einige häufig verwendete Parameter.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Linux -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Aktivieren der Verschlüsselung auf einem neu hinzugefügten Datenträger

Sie können einen neuen Datenträger hinzufügen, indem Sie den Befehl az vm disk attach oder das Azure-Portal verwenden. Bevor Sie die Verschlüsselung durchführen können, müssen Sie den neu angefügten Datenträger bereitstellen. Sie müssen die Verschlüsselung des Datenlaufwerks anfordern, da das Laufwerk nicht verwendet werden kann, während die Verschlüsselung ausgeführt wird.

Wenn der virtuelle Computer zuvor mit "All" verschlüsselt wurde, sollte der --volume-type Parameter "All" bleiben. Bei „All“ sind sowohl Betriebssystem als auch Datenträger enthalten. Wenn die VM zuvor mit dem Volumetyp "OS" verschlüsselt wurde, ändern Sie den Parameter --volume-type in "All", sodass sowohl das Betriebssystem als auch die neue Datenfestplatte einbezogen werden. Wenn der virtuelle Computer nur mit dem Volumetyp "Daten" verschlüsselt wurde, kann er wie im folgenden Beispiel gezeigt "Daten" bleiben. Das Hinzufügen und Anfügen eines neuen Datenträgers an einen virtuellen Computer ist keine ausreichende Vorbereitung für die Verschlüsselung. Sie müssen auch den neu angefügten Datenträger auf dem virtuellen Computer formatieren und ordnungsgemäß bereitstellen, bevor Sie die Verschlüsselung aktivieren. Unter Linux müssen Sie den Datenträger in /etc/fstab mit einem persistenten Blockgerätenamen einbinden.

Im Gegensatz zur PowerShell-Syntax erfordert die CLI beim Aktivieren der Verschlüsselung keine eindeutige Sequenzversion. Die Befehlszeilenschnittstelle wird automatisch generiert und verwendet einen eigenen eindeutigen Sequenzversionswert.

  • Verschlüsseln von Datenvolumes eines ausgeführten virtuellen Computers:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
    
  • Verschlüsseln von Datenvolumes eines ausgeführten virtuellen Computers mithilfe von KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
    

Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung

Sie können Azure Disk Encryption deaktivieren und die Azure Disk Encryption Erweiterung entfernen. Das Deaktivieren und Entfernen sind zwei unterschiedliche Vorgänge.

Um ADE zu entfernen, deaktivieren Sie zuerst die Verschlüsselung, und entfernen Sie dann die Erweiterung. Wenn Sie die Verschlüsselungserweiterung entfernen, ohne ADE zu deaktivieren, bleiben die Datenträger verschlüsselt. Wenn Sie die Verschlüsselung nach dem Entfernen der Erweiterung deaktivieren, wird die Erweiterung neu installiert (um den Entschlüsselungsvorgang auszuführen) und muss ein zweites Mal entfernt werden.

Warnung

Sie können die Verschlüsselung nicht deaktivieren, wenn der Betriebssystemdatenträger verschlüsselt ist. (Betriebssystemdatenträger werden verschlüsselt, wenn der ursprüngliche Verschlüsselungsvorgang angibt volumeType=ALL oder volumeType=OS.)

Das Deaktivieren der Verschlüsselung funktioniert nur, wenn Datenträger verschlüsselt sind, der Betriebssystemdatenträger jedoch nicht.

Deaktivieren der Verschlüsselung

Sie können die Verschlüsselung mithilfe von Azure PowerShell, dem Azure CLI oder mit einer Resource Manager Vorlage deaktivieren. Durch deaktivieren der Verschlüsselung wird die Erweiterung nicht entfernt (siehe Entfernen der Verschlüsselungserweiterung).

  • Deaktivieren der Datenträgerverschlüsselung mit Azure PowerShell: Verwenden Sie das Cmdlet Disable-AzVMDiskEncryption, um die Verschlüsselung zu deaktivieren.

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "data"
    
  • Deaktivieren der Verschlüsselung mit der Azure CLI: Verwenden Sie den Befehl az vm encryption disable, um die Verschlüsselung zu deaktivieren.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "data"
    
  • Deaktivieren der Verschlüsselung mit einer Resource Manager-Vorlage:

    1. Wählen Sie In Azure bereitstellen in der Vorlage Datenträgerverschlüsselung auf ausgeführter Linux-VM deaktivieren aus.
    2. Wählen Sie das Abonnement, die Ressourcengruppe, den Standort, die VM, den Volumetyp, die rechtlichen Bedingungen und die Vereinbarung aus.
    3. Wählen Sie "Kaufen" aus, um die Datenträgerverschlüsselung auf einer ausgeführten Linux-VM zu deaktivieren.

Warnung

Nachdem die Entschlüsselung gestartet wurde, stören Sie den Prozess nicht.

Um den Fortschritt der Entschlüsselung zu überprüfen, verwenden Sie das PowerShell-Cmdlet "Get-AzVMDiskEncryptionStatus " oder den Befehl "az vm encryption show CLI". Nach Abschluss des Entschlüsselungsprozesses können Sie die Verschlüsselungserweiterung entfernen.

Entfernen der Verschlüsselungserweiterung

Wenn Sie Ihre Datenträger entschlüsseln und die Verschlüsselungserweiterung entfernen möchten, müssen Sie die Verschlüsselung deaktivieren, bevor Sie die Erweiterung entfernen; siehe Verschlüsselung deaktivieren.

Verwenden Sie Azure PowerShell oder die Azure CLI, um die Verschlüsselungserweiterung zu entfernen.

  • Entfernen Sie die Verschlüsselungserweiterung mit Azure PowerShell: Verwenden Sie das Cmdlet Remove-AzVMDiskEncryptionExtension.

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
    
  • Entfernen Sie die Verschlüsselungserweiterung mit dem Azure CLI: Verwenden Sie den Befehl "az vm extension delete".

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryptionForLinux"
    

Nächste Schritte