Freigeben über


Erstellen eines Pools mit aktivierter Datenträgerverschlüsselung

Wenn Sie einen Azure Batch-Pool mithilfe einer VM-Konfiguration erstellen, können Sie Computeknoten im Pool mit einem plattformseitig verwalteten Schlüssel verschlüsseln, indem Sie die Datenträgerverschlüsselungskonfiguration angeben.

In diesem Artikel wird erläutert, wie ein Batch-Pool mit aktivierter Datenträgerverschlüsselung erstellt wird.

Gründe für die Verwendung eines Pools mit Disk Encryption-Konfiguration

Wenn Sie über einen Batch-Pool verfügen, können Sie Daten auf den Betriebssystem- und temporären Datenträgern des Computeknotens speichern und dort auf die Daten zugreifen. Diese Daten lassen sich mit geringem Aufwand schützen, indem Sie den serverseitigen Datenträger mit einem plattformseitig verwalteten Schlüssel verschlüsseln.

Batch wendet basierend auf der Poolkonfiguration und der regionalen Unterstützung eine dieser Datenträgerverschlüsselungstechnologien auf Computeknoten an.

Sie können nicht angeben, welche Verschlüsselungsmethode auf die Knoten in Ihrem Pool angewendet wird. Stattdessen geben Sie die Zieldatenträger an, die auf den Knoten verschlüsselt werden sollen. Batch wählt dann die geeignete Verschlüsselungsmethode aus und stellt sicher, dass die angegebenen Datenträger auf dem Computeknoten verschlüsselt werden. Die folgende Abbildung zeigt, wie Batch diese Wahl trifft.

Wichtig

Wenn Sie Ihren Pool mit einem benutzerdefinierten Linux-Image erstellen, können Sie die Datenträgerverschlüsselung nur aktivieren, wenn Ihr Pool eine Vom Host unterstützte VM-Größe für die Verschlüsselung verwendet. Die Verschlüsselung auf dem Host wird für Benutzerabonnementpools derzeit erst unterstützt, wenn die Funktion in Azure öffentlich verfügbar ist.

Screenshot: Poolerstellung im Azure-Portal.

Einige Datenträgerverschlüsselungskonfigurationen erfordern, dass die VM-Familie des Pools die Verschlüsselung auf dem Host unterstützt. Informationen dazu, welche VM-Familien die Verschlüsselung auf dem Host unterstützen, finden Sie unter End-to-End-Verschlüsselung mit Verschlüsselung auf dem Host.

Azure-Portal

Wählen Sie beim Erstellen eines Batch-Pools im Azure-Portal unter Datenträgerverschlüsselungskonfiguration entweder OsDisk, TemporaryDisk oder OsAndTemporaryDisk aus.

Screenshot der Disk Encryption-Konfigurationsoption im Azure-Portal.

Nachdem der Pool erstellt wurde, werden die Disk Encryption-Konfigurationsziele im Abschnitt Eigenschaften des Pools angezeigt.

Screenshot mit den Disk Encryption-Konfigurationszielen im Azure-Portal.

Beispiele

Die folgenden Beispiele zeigen, wie Sie die Betriebssystem- und temporären Datenträger in einem Batch-Pool mithilfe des Batch .NET SDK, der Batch-REST-API und der Azure CLI verschlüsseln.

Batch .NET SDK

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

Batch-REST-API

REST-API-URL:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Anforderungstext:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Nächste Schritte