Vytvoření fondu s povoleným šifrováním disků

Článek
06/29/2023

Když vytvoříte fond Azure Batch pomocí konfigurace virtuálního počítače, můžete zašifrovat výpočetní uzly ve fondu pomocí klíče spravovaného platformou zadáním konfigurace šifrování disku.

Tento článek vysvětluje, jak vytvořit fond Batch s povoleným šifrováním disků.

Proč používat fond s konfigurací šifrování disků?

S fondem Batch můžete přistupovat k datům a ukládat je na operační systém a dočasné disky výpočetního uzlu. Šifrováním disku na straně serveru pomocí klíče spravovaného platformou tato data ochráníte s nízkou režií a pohodlím.

Služba Batch použije jednu z těchto technologií šifrování disků na výpočetní uzly na základě konfigurace fondu a regionální podpory.

Nebudete moct určit, která metoda šifrování se použije na uzly ve vašem fondu. Místo toho zadáte cílové disky, které chcete šifrovat na jejich uzlech, a služba Batch může zvolit vhodnou metodu šifrování, která zajistí šifrování zadaných disků na výpočetním uzlu. Následující obrázek znázorňuje, jak služba Batch tuto volbu provede.

Důležité

Pokud vytváříte fond s vlastní imagí Linuxu, můžete povolit šifrování disku jenom v případě, že váš fond používá virtuální počítač s podporou šifrování na hostiteli. Šifrování na hostiteli se v současné době nepodporuje ve fondech předplatných uživatelů, dokud tato funkce nebude veřejně dostupná v Azure.

Snímek obrazovky s vytvořením fondu v Azure Portal

Některé konfigurace šifrování disků vyžadují, aby řada virtuálních počítačů fondu podporovala šifrování na hostiteli. Informace o tom, které řadu virtuálních počítačů podporují šifrování na hostiteli, najdete v tématu Komplexní šifrování s využitím šifrování na hostiteli .

portál Azure

Při vytváření fondu služby Batch v Azure Portal vyberte v části Konfigurace šifrování disku možnost OsDisk, Dočasný disk nebo OsAndTemporaryDisk.

Snímek obrazovky s možností Konfigurace šifrování disku v Azure Portal

Po vytvoření fondu uvidíte cíle konfigurace šifrování disků v části Vlastnosti fondu.

Snímek obrazovky znázorňující cíle konfigurace šifrování disků v Azure Portal

Příklady

Následující příklady ukazují, jak šifrovat operační systém a dočasné disky ve fondu služby Batch pomocí sady Batch .NET SDK, rozhraní REST API služby Batch a Azure CLI.

Batch .NET SDK

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

Batch REST API

Adresa URL rozhraní REST API:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Text požadavku:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Další kroky

Přečtěte si další informace o šifrování azure Disk Storage na straně serveru.
Podrobný přehled služby Batch najdete v tématu Pracovní postup a prostředky služby Batch.