Condividi tramite

Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host

Importante

Crittografia dischi di Azure per le macchine virtuali e i set di scalabilità di macchine virtuali verrà ritirato il 15 settembre 2028. I nuovi clienti devono usare la crittografia nell'host per tutte le nuove macchine virtuali. I clienti esistenti devono pianificare la migrazione delle macchine virtuali abilitate per ADE correnti alla crittografia nell'host prima della data di ritiro per evitare interruzioni del servizio. Vedere Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host.

Questo articolo fornisce indicazioni dettagliate sulla migrazione delle macchine virtuali da Crittografia dischi di Azure alla crittografia nell'host. Il processo di migrazione richiede la creazione di nuovi dischi e macchine virtuali, perché la conversione sul posto non è supportata.

Panoramica della migrazione

Crittografia dischi di Azure crittografa i dati all'interno della macchina virtuale usando BitLocker (Windows) o dm-crypt (Linux), mentre la crittografia nell'host crittografa i dati a livello di host della macchina virtuale senza usare le risorse della CPU della macchina virtuale. La crittografia nell'host migliora la crittografia lato server predefinita di Azure fornendo la crittografia end-to-end per tutti i dati delle macchine virtuali, inclusi dischi temporanei, cache e flussi di dati tra calcolo e archiviazione.

Per altre informazioni, vedere Panoramica delle opzioni di crittografia dei dischi gestiti e Abilitare la crittografia end-to-end usando la crittografia a livello di host.

Limitazioni e considerazioni sulla migrazione

Prima di avviare il processo di migrazione, tenere presente queste importanti limitazioni e considerazioni che influiscono sulla strategia di migrazione:

  • Nessuna migrazione sul posto: non è possibile convertire direttamente i dischi crittografati da Crittografia dischi di Azure in crittografia nell'host. La migrazione richiede la creazione di nuovi dischi e macchine virtuali.

  • Limitazione dei dischi del sistema operativo Linux: la disabilitazione di Crittografia dischi di Azure nei dischi del sistema operativo Linux non è supportata. Per le macchine virtuali Linux con dischi del sistema operativo crittografati con Crittografia dischi di Azure, è necessario creare una nuova macchina virtuale con un nuovo disco del sistema operativo.

  • Criteri di crittografia dischi di Azure di Windows: nelle macchine virtuali Windows Crittografia dischi di Azure può crittografare solo il disco del sistema operativo O tutti i dischi (sistema operativo e dischi dati). Non è possibile crittografare solo i dischi dati nelle macchine virtuali Windows.

  • Persistenza del flag UDE: i dischi crittografati con Crittografia dischi di Azure hanno un flag UDE (Unified Data Encryption) che persiste anche dopo la decrittografia. Sia gli snapshot che le copie su disco che usano l'opzione Copia mantengono questo flag UDE. La migrazione richiede la creazione di nuovi dischi gestiti usando il metodo Carica e la copia dei dati del BLOB del disco rigido virtuale, che crea un nuovo oggetto disco senza metadati dal disco di origine.

  • Tempo di inattività richiesto: il processo di migrazione richiede tempi di inattività delle macchine virtuali per le operazioni su disco e la ricreazione delle macchine virtuali.

  • Macchine virtuali aggiunte a un dominio: se le macchine virtuali fanno parte di un dominio di Active Directory, sono necessari altri passaggi:

    • Prima dell'eliminazione è necessario rimuovere la macchina virtuale dal dominio
    • Dopo aver creato la nuova macchina virtuale, è necessario aggiungerla nuovamente al dominio
    • Per le macchine virtuali Linux, è possibile eseguire l'aggiunta a un dominio usando le estensioni di Azure AD

    Per altre informazioni, vedere Cos'è Microsoft Entra Domain Services

Prerequisiti

Prima di avviare la migrazione:

  1. Eseguire il backup dei dati: creare backup di tutti i dati critici prima di iniziare il processo di migrazione.

  2. Testare il processo: se possibile, testare prima il processo di migrazione in una macchina virtuale non di produzione.

  3. Preparare le risorse di crittografia: assicurarsi che le dimensioni della macchina virtuale supportino la crittografia nell'host. La maggior parte delle dimensioni correnti delle macchine virtuali supporta questa funzionalità. Per altre informazioni sui requisiti delle dimensioni delle macchine virtuali, vedere Abilitare la crittografia end-to-end usando la crittografia a livello di host.

  4. Configurazione documento: registrare la configurazione corrente della macchina virtuale, incluse le impostazioni di rete, le estensioni e le risorse associate.

Passaggi per la migrazione

La procedura di migrazione seguente funziona per la maggior parte degli scenari, con differenze specifiche indicate per ogni sistema operativo.

Importante

Le macchine virtuali Linux con dischi del sistema operativo crittografati non possono essere decrittografate sul posto. Per queste macchine virtuali, è necessario creare una nuova macchina virtuale con un nuovo disco del sistema operativo ed eseguire la migrazione dei dati. Vedere la sezione Migrazione di macchine virtuali Linux con dischi del sistema operativo crittografati dopo aver esaminato il processo generale seguente.

Disabilitare Crittografia dischi di Azure

Il primo passaggio consiste nel disabilitare la Crittografia dischi di Azure esistente quando possibile:

Dopo aver eseguito il comando di disabilitazione di Active Directory, lo stato della crittografia della macchina virtuale nel portale di Azure passa immediatamente a "SSE + PMK". Tuttavia, il processo di decrittografia effettivo a livello di sistema operativo richiede tempo e dipende dalla quantità di dati crittografati. È necessario verificare che la decrittografia a livello di sistema operativo sia stata completata prima di procedere al passaggio successivo.

Per le macchine virtuali Windows:

  • Aprire il prompt dei comandi come amministratore ed eseguire: manage-bde -status
  • Verificare che tutti i volumi visualizzino lo stato "Completamente decrittografato"
  • La percentuale di decrittografia dovrebbe mostrare 100% per tutti i volumi crittografati

Per le macchine virtuali Linux (solo dischi dati):

  • Eseguire: sudo cryptsetup status /dev/mapper/<device-name>
  • Verificare che i dispositivi crittografati non siano più attivi
  • Controllare con: lsblk per confermare che non rimangono mappature crittografate

Attendere il completamento della decrittografia prima di continuare con la migrazione del disco per garantire l'integrità dei dati.

Creare nuovi dischi gestiti

Creare nuovi dischi che non trasferiscono i metadati di Crittografia dischi di Azure. Questo processo funziona sia per le macchine virtuali Windows che per quelle Linux, con alcune considerazioni specifiche per i dischi del sistema operativo Linux.

# Get the source disk ID
SOURCE_DISK_ID=$(az disk show --resource-group "MyResourceGroup" --name "MySourceDisk" --query "id" -o tsv)

# Create a new disk from the source disk
az disk create --resource-group "MyResourceGroup" --name "MyTargetDisk" 
  --source "$SOURCE_DISK_ID" --upload-type "Copy"

# For OS disks, specify --os-type "Linux" or --os-type "Windows"

Annotazioni

Questo metodo crea nuovi dischi senza i metadati di Crittografia dischi di Azure (flag UDE), essenziale per una migrazione pulita.

Importante: quando si copia un disco gestito da Azure, aggiungere 512 byte alle dimensioni del disco per tenere conto del piè di pagina omesso da Azure quando si segnalano le dimensioni del disco.

Creare una nuova macchina virtuale con crittografia

Creare una nuova macchina virtuale usando i dischi appena creati con il metodo di crittografia scelto.

È possibile scegliere tra diverse opzioni di crittografia, a seconda dei requisiti di sicurezza. Questo articolo illustra i passaggi per la creazione di una nuova macchina virtuale con crittografia nell'host, che è il percorso di migrazione più comune. Altre opzioni di crittografia sono descritte in Panoramica delle opzioni di crittografia del disco gestito.

Creare una nuova macchina virtuale con crittografia nell'host

La crittografia nell'host fornisce l'equivalente più vicino alla copertura di Crittografia dischi di Azure ed è descritta in questa sezione.

Per i dischi del sistema operativo:

# For Windows OS disks
az vm create 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --os-type "Windows" 
  --attach-os-disk "MyTargetDisk" 
  --encryption-at-host true

# For Linux OS disks
# az vm create 
#   --resource-group "MyResourceGroup" 
#   --name "MyVM-New" 
#   --os-type "Linux" 
#   --attach-os-disk "MyTargetDisk" 
#   --encryption-at-host true

Per i dischi dati:

# Enable encryption at host on the VM
az vm update 
  --resource-group "MyResourceGroup" 
  --name "MyVM-New" 
  --encryption-at-host true

# Attach the newly created data disk
az vm disk attach 
  --resource-group "MyResourceGroup" 
  --vm-name "MyVM-New" 
  --name "MyTargetDisk"

Verificare e configurare i nuovi dischi

Dopo aver creato la nuova macchina virtuale con crittografia nell'host, è necessario verificare e configurare correttamente i dischi per il sistema operativo.

Per le macchine virtuali Windows:

  • Verificare che le lettere del disco siano assegnate correttamente
  • Verificare che le applicazioni possano accedere correttamente ai dischi
  • Aggiornare tutte le applicazioni o gli script che fanno riferimento a ID disco specifici

Per le macchine virtuali Linux:

  • Aggiornare /etc/fstab con i nuovi UUID del disco
  • Montare i dischi dati nei punti di montaggio corretti
# Get UUIDs of all disks
sudo blkid

# Mount all disks defined in fstab
sudo mount -a

Sia Windows che Linux possono richiedere passaggi di configurazione aggiuntivi specifici per le applicazioni o i carichi di lavoro.

Verificare la crittografia e la pulizia

Verificare che la crittografia nell'host sia configurata correttamente nelle macchine virtuali Windows e Linux.

# Check encryption at host status
az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

Dopo aver verificato che la crittografia nell'host funzioni correttamente:

  1. Testare la funzionalità della macchina virtuale per garantire il corretto funzionamento delle applicazioni
  2. Verificare che i dati siano accessibili e intatti
  3. Eliminare le risorse originali quando si è soddisfatti della migrazione:
# Delete the original VM
az vm delete --resource-group "MyResourceGroup" --name "MyVM-Original" --yes

# Delete the original disk
az disk delete --resource-group "MyResourceGroup" --name "MySourceDisk" --yes

Migrazione di macchine virtuali Linux con dischi del sistema operativo crittografati

Poiché non è possibile disabilitare la crittografia nei dischi del sistema operativo Linux, il processo è diverso da Windows.

  1. Creare una nuova macchina virtuale con crittografia abilitata nell'host

    az vm create \
  --resource-group "MyResourceGroup" \
  --name "MyVM-New" \
  --image "Ubuntu2204" \
  --encryption-at-host true \
  --admin-username "azureuser" \
  --generate-ssh-keys

  2. Per le opzioni di migrazione dei dati:

    • Per i dati dell'applicazione: usare SCP, rsync o altri metodi di trasferimento di file per copiare i dati
    • Per la configurazione: replicare file di configurazione e impostazioni importanti
    • Per applicazioni complesse: usare le procedure di backup/ripristino appropriate per le applicazioni
    # Example of using SCP to copy files from source to new VM
az vm run-command invoke -g MyResourceGroup -n MyVM-Original --command-id RunShellScript \
  --scripts "scp -r /path/to/data azureuser@new-vm-ip:/path/to/destination"

Dopo aver creato la nuova macchina virtuale:

  1. Configurare la nuova macchina virtuale in modo che corrisponda all'ambiente originale

    • Specificare le stesse configurazioni di rete
    • Installare le stesse applicazioni e servizi
    • Applicare le stesse impostazioni di sicurezza

  2. Testare attentamente prima di rimuovere le autorizzazioni della macchina virtuale originale

Questo approccio funziona sia per le macchine virtuali Windows che per quelle Linux, ma è particolarmente importante per le macchine virtuali Linux con dischi del sistema operativo crittografati che non possono essere decrittografati sul posto.

Per indicazioni sulla migrazione dei dati, vedere Caricare un disco rigido virtuale in Azure e Copiare file in una macchina virtuale Linux usando SCP.

Considerazioni sulle macchine virtuali aggiunte a un dominio

Se le macchine virtuali sono membri di un dominio di Active Directory, durante il processo di migrazione sono necessari passaggi aggiuntivi:

Passaggi del dominio di pre-migrazione

  1. Iscrizione al dominio del documento: registrare il dominio corrente, l'unità organizzativa e le eventuali iscrizioni a gruppi speciali
  2. Nota sull'account computer: l'account computer in Active Directory deve essere gestito
  3. Eseguire il backup di configurazioni specifiche del dominio: salvare eventuali impostazioni, criteri di gruppo o certificati specifici del dominio

Processo di rimozione del dominio

  1. Rimuovere dal dominio: prima di eliminare la macchina virtuale originale, rimuoverla dal dominio usando uno dei metodi seguenti:

    • Usare il cmdlet di PowerShell Remove-Computer in Windows
    • Usare la finestra di dialogo Proprietà di sistema per passare al gruppo di lavoro
    • Eliminare manualmente l'account computer da Utenti e computer di Active Directory

  2. Pulire Active Directory: rimuovere tutti gli account computer orfani o le voci DNS

Nuova aggiunta al dominio post-migrazione

  1. Aggiungere una nuova macchina virtuale al dominio: dopo aver creato la nuova macchina virtuale con crittografia nell'host:

    • Per Windows: usare il cmdlet di PowerShell Add-Computer o le proprietà di sistema
    • Per Linux: usare l'estensione aggiunta a un dominio di Azure AD o la configurazione manuale

  2. Ripristinare le impostazioni del dominio: riapplicare eventuali configurazioni, criteri di gruppo o certificati specifici del dominio

  3. Verificare la funzionalità del dominio: testare l'autenticazione del dominio, l'applicazione Criteri di gruppo e l'accesso alle risorse di rete

Aggiunta a un dominio Linux

Per le macchine virtuali Linux, è possibile usare l'estensione macchina virtuale di Azure AD Domain Services:

az vm extension set \
    --resource-group "MyResourceGroup" \
    --vm-name "MyLinuxVM-New" \
    --name "AADSSHLoginForLinux" \
    --publisher "Microsoft.Azure.ActiveDirectory"

Per altre informazioni, vedere Cos'è Microsoft Entra Domain Services

Considerazioni importanti sul dominio

  • La nuova macchina virtuale ha un SID del computer diverso, che può influire su alcune applicazioni
  • I ticket Kerberos e le credenziali memorizzate nella cache devono essere aggiornati
  • Alcune applicazioni integrate nel dominio possono richiedere la riconfigurazione
  • Pianificare la potenziale perdita temporanea dei servizi di dominio durante la migrazione

Verifica post-migrazione

Dopo aver completato la migrazione, verificare che la crittografia nell'host funzioni correttamente:

  1. Controllare lo stato della crittografia nell'host: verificare che la crittografia nell'host sia abilitata:

    az vm show --resource-group "MyResourceGroup" --name "MyVM-New" --query "securityProfile.encryptionAtHost"

  2. Funzionalità di test della macchina virtuale: assicurarsi che le applicazioni e i servizi funzionino correttamente.

  3. Verificare la crittografia del disco: verificare che i dischi siano crittografati correttamente:

    Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyVM-OS-New" | Select-Object Name, DiskState

  4. Monitorare le prestazioni: confrontare le prestazioni prima e dopo la migrazione per confermare i miglioramenti previsti.

Per altre informazioni sulla verifica della crittografia, vedere Abilitare la crittografia end-to-end usando la crittografia a livello di host.

Cleanup

Dopo aver completato la migrazione e la verifica:

  1. Eliminare la macchina virtuale precedente: rimuovere la macchina virtuale crittografata da Crittografia dischi di Azure originale

  2. Eliminare i dischi precedenti: rimuovere i dischi crittografati originali

  3. Aggiornare i criteri di accesso di Key Vault: altre soluzioni di crittografia dei dischi usano meccanismi di autorizzazione standard di Key Vault. Se il Key Vault per Crittografia dischi di Azure non è più necessario, aggiorna i criteri di accesso per disabilitare l'impostazione speciale di crittografia del disco.

    az keyvault update --name "YourKeyVaultName" --resource-group "YourResourceGroup" --enabled-for-disk-encryption false
  1. Pulire le risorse: rimuovere tutte le risorse temporanee create durante la migrazione
  2. Aggiornare la documentazione: aggiornare la documentazione dell'infrastruttura in modo da riflettere la migrazione alla crittografia nell'host

Problemi e soluzioni comuni

Le dimensioni della macchina virtuale non supportano la crittografia nell'host

Soluzione: controllare l'elenco delle dimensioni delle macchine virtuali supportate e ridimensionare la macchina virtuale, se necessario

L'avvio della macchina virtuale non riesce dopo la migrazione

Soluzione: verificare che tutti i dischi siano collegati correttamente e che il disco del sistema operativo sia impostato come disco di avvio

Crittografia nell'host non abilitata

Soluzione: verificare che la macchina virtuale sia stata creata con il parametro --encryption-at-host true e che la sottoscrizione supporti questa funzionalità

Problemi di prestazioni persistenti

Soluzione: verificare che la crittografia nell'host sia abilitata correttamente e che le dimensioni della macchina virtuale supportino le prestazioni previste.

Passaggi successivi

  • Last updated on