如何判断连接到Azure虚拟机的磁盘是否已加密?

时间:2018-10-23 10:49:30

标签: linux azure ubuntu encryption

我在this instructions之后对Azure上Ubuntu 16.04计算机的磁盘进行了加密。显然,该过程成功完成,但是使用以下命令时:

az vm encryption show --resource-group "<res-group>" --name "<vm-name>"

我得到一些令人困惑的结果:

{
  "disks": [
    {
      "encryptionSettings": null,
      "name": "...",
      "statuses": [
        {
          "code": "EncryptionState/notEncrypted",
          "displayStatus": "Disk is not encrypted",
          ...
        }
      ]
    }
  ],
  "status": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "message": "Encryption succeeded for all volumes",
      ...
    }
  ],
  "substatus": [
    {
      "code": "ComponentStatus/Microsoft.Azure.Security.AzureDiskEncryptionForLinux/succeeded",
      "displayStatus": "Provisioning succeeded",
      "message": "{\"os\": \"Encrypted\", \"data\": \"NotMounted\"}",
      ....
    }
  ]
}

如您所见,我收到消息所有卷加密成功,但同时磁盘未加密

我怎么能100%确定地确定磁盘是否已加密?

2 个答案:

答案 0 :(得分:1)

对于linux vms,您需要在安装扩展程序后等待1到20小时之间的任何时间才能对磁盘进行实际加密。而且我相信您需要重启后才能对其进行加密。

您应该注意扩展状态,它会在某个时间点要求重启。
忘记添加。重新启动后,它将报告磁盘已加密。

对于Windows VM,它们是“即时”加密的(可能是启用了bitlocker在后台进行加密之后)。

答案 1 :(得分:0)

我只是通过几个虚拟机进行了此操作。请检查您的Azure KeyVault是否已启用磁盘加密。如果您查看文档,将会发现它指定您启用了密钥库进行磁盘加密。缺少该参数会导致您描述的行为。

在Azure门户中打开Key Vault,从左侧菜单中选择“访问策略”,然后单击“单击以显示高级访问策略”。确保选中“启用对Azure磁盘加密的访问”策略。

如果在此处正确设置了所有设置,则应该在“ az vm encryption show”命令的输出的“磁盘”部分中或在Azure中VM的磁盘刀片中看到“在磁盘上启用了加密”门户,“ az vm加密启用”返回的那一刻。加密过程本身可能仍需要几个小时,但是Azure现在将虚拟机视为已加密。

相关问题
最新问题