Vytvoření fondu s povoleným šifrováním disků
Když vytvoříte fond Azure Batch pomocí konfigurace virtuálního počítače, můžete zašifrovat výpočetní uzly ve fondu pomocí klíče spravovaného platformou zadáním konfigurace šifrování disku.
Tento článek vysvětluje, jak vytvořit fond Batch s povoleným šifrováním disků.
Proč používat fond s konfigurací šifrování disků?
S fondem Batch můžete přistupovat k datům a ukládat je na operační systém a dočasné disky výpočetního uzlu. Šifrováním disku na straně serveru pomocí klíče spravovaného platformou tato data ochráníte s nízkou režií a pohodlím.
Služba Batch použije jednu z těchto technologií šifrování disků na výpočetní uzly na základě konfigurace fondu a regionální podpory.
- Šifrování neaktivních uložených spravovaných disků s využitím klíčů spravovaných platformou
- Šifrování na hostiteli pomocí klíče spravovaného platformou
- Azure Disk Encryption
Nebudete moct určit, která metoda šifrování se použije na uzly ve vašem fondu. Místo toho zadáte cílové disky, které chcete šifrovat na jejich uzlech, a služba Batch může zvolit vhodnou metodu šifrování, která zajistí šifrování zadaných disků na výpočetním uzlu. Následující obrázek znázorňuje, jak služba Batch tuto volbu provede.
Důležité
Pokud vytváříte fond s vlastní imagí Linuxu, můžete povolit šifrování disku jenom v případě, že váš fond používá virtuální počítač s podporou šifrování na hostiteli. Šifrování na hostiteli se v současné době nepodporuje ve fondech předplatných uživatelů, dokud tato funkce nebude veřejně dostupná v Azure.
Některé konfigurace šifrování disků vyžadují, aby řada virtuálních počítačů fondu podporovala šifrování na hostiteli. Informace o tom, které řadu virtuálních počítačů podporují šifrování na hostiteli, najdete v tématu Komplexní šifrování s využitím šifrování na hostiteli .
portál Azure
Při vytváření fondu služby Batch v Azure Portal vyberte v části Konfigurace šifrování disku možnost OsDisk, Dočasný disk nebo OsAndTemporaryDisk.
Po vytvoření fondu uvidíte cíle konfigurace šifrování disků v části Vlastnosti fondu.
Příklady
Následující příklady ukazují, jak šifrovat operační systém a dočasné disky ve fondu služby Batch pomocí sady Batch .NET SDK, rozhraní REST API služby Batch a Azure CLI.
Batch .NET SDK
pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
);
Batch REST API
Adresa URL rozhraní REST API:
POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000
Text požadavku:
"pool": {
"id": "pool2",
"vmSize": "standard_a1",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "22.04-LTS"
},
"diskEncryptionConfiguration": {
"targets": [
"OsDisk",
"TemporaryDisk"
]
}
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 5,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 3,
"enableAutoScale": false,
"enableInterNodeCommunication": false
}
Azure CLI
az batch pool create \
--id diskencryptionPool \
--vm-size Standard_DS1_V2 \
--target-dedicated-nodes 2 \
--image canonical:ubuntuserver:22.04-LTS \
--node-agent-sku-id "batch.node.ubuntu 22.04" \
--disk-encryption-targets OsDisk TemporaryDisk
Další kroky
- Přečtěte si další informace o šifrování azure Disk Storage na straně serveru.
- Podrobný přehled služby Batch najdete v tématu Pracovní postup a prostředky služby Batch.