Creación de un grupo con el cifrado de disco habilitado

Al crear un grupo de Azure Batch con la configuración de la máquina virtual, puede cifrar los nodos de proceso del grupo con una clave administrada por la plataforma especificando la configuración del cifrado de disco.

En este artículo se explica cómo crear un grupo de Batch con el cifrado de discos habilitado.

¿Por qué usar un grupo con la configuración de cifrado de disco?

Con un grupo de Batch, puede obtener acceso y almacenar datos en el sistema operativo y los discos temporales del nodo de proceso. El cifrado del disco del servidor con una clave administrada por la plataforma protegerá estos datos con una baja sobrecarga y comodidad.

Batch aplicará una de estas tecnologías de cifrado de discos en nodos de proceso, en función de la configuración del grupo y la compatibilidad regional.

• Cifrado en reposo con claves administradas por la plataforma
• Cifrado en el host con una clave administrada por la plataforma
• Azure Disk Encryption

No podrá especificar qué método de cifrado se aplicará a los nodos del grupo. En su lugar, debe proporcionar los discos de destino que quiere cifrar en sus nodos y Batch puede elegir el método de cifrado adecuado, asegurándose de que los discos especificados se cifren en el nodo de proceso. En la imagen siguiente se muestra el modo en que Batch realiza esa elección.

Importante

Si va a crear el grupo con una imagen personalizada de Linux, solo puede habilitar el cifrado de discos si el grupo usa un tamaño de máquina virtual compatible con cifrado en el host. El cifrado en el host no se admite actualmente en los grupos de suscripciones de usuario, hasta que la característica esté disponible públicamente en Azure.

Algunas configuraciones de cifrado de disco requieren que la familia de máquinas virtuales del grupo admita el cifrado en el host. Consulte Cifrado de un extremo a otro mediante el cifrado en el host para averiguar qué familias de máquinas virtuales admiten el cifrado en el host.

Azure portal

Al crear un grupo de Batch en Azure Portal, seleccione OsDisk, TemporaryDisk u OsAndTemporaryDisk en Configuración de cifrado de disco.

Una vez creado el grupo, puede ver los destinos de configuración del cifrado de disco en la sección Propiedades.

Ejemplos

En los siguientes ejemplos se muestra cómo cifrar el sistema operativo y los discos temporales de un grupo de Batch mediante el SDK de .NET para Batch, la API REST de Batch y la CLI de Azure.

SDK de Batch para .NET

C#

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

REST de Batch

URL de la API REST:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Cuerpo de la solicitud:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Pasos siguientes

• Obtenga información sobre el cifrado del lado servidor de Azure Disk Storage.
• Para obtener información general detallada sobre Batch, consulte Flujo de trabajo y recursos del servicio Batch.