使用Azure Powershell加密Windows IaaS VM 磁盘

Microsoft Azure提供了多种加密磁盘的方案，本文介绍使用Azure Powershell加密Windows IaaS VM 磁盘。加密磁盘之前创建快照或备份。备份可确保在加密期间发生意外故障时可以使用恢复选项。具有受管磁盘的VM在加密发生之前需要备份。进行备份后，可以使用Set-AzVMDiskEncryptionExtension cmdlet通过指定-skipVmBackup参数来加密受管磁盘。在给VM硬盘加密之前，应先创建密钥保管库。

点击左侧导航栏，在搜索框中输入key ，然后从下拉框中选择Key Vault 。

点击创建

输入密钥保管库的名称，选择订阅、资源组以及位置，然后点击创建

在powershell中运行以下脚本：

$KVRGname = '密钥保管库所在资源组名称';
$VMRGName = '密钥保管库所在资源组名称';
$vmName = '需要加密磁盘的VM名称';
$KeyVaultName = '密钥保管库名称';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;

使用Get-AzVmDiskEncryptionStatus -ResourceGroupName '虚拟机资源组名称p' -VMName '名称'验证磁盘是否已加密

也在门户中查看，虚拟机仪表板--设置--磁盘，查看加密属性

从上图可以看到加密已启用