Créer un pool avec le chiffrement de disque activé
Quand vous créez un pool Azure Batch en utilisant une configuration de machine virtuelle, vous pouvez chiffrer des nœuds de calcul dans le pool avec une clé gérée par la plateforme en spécifiant la configuration du chiffrement de disque.
Cet article explique comment créer un pool Batch avec le chiffrement de disque activé.
Pourquoi utiliser un pool avec une configuration du chiffrement de disque ?
Avec un pool Batch, vous pouvez accéder aux données et les stocker sur le système d’exploitation et des disques temporaires du nœud de calcul. Le chiffrement du disque côté serveur à l’aide d’une clé gérée par la plateforme va permettre de protéger ces données avec une faible surcharge et de façon très pratique.
Batch va appliquer l’une de ces technologies de chiffrement de disque sur les nœuds de calcul, en fonction de la configuration du pool et de la prise en charge régionale.
- Chiffrement de disque managé au repos avec des clés gérées par la plateforme
- Chiffrement sur l’hôte à l’aide d’une clé gérée par la plateforme
- Azure Disk Encryption
Vous ne pouvez pas spécifier la méthode de chiffrement à appliquer aux nœuds de votre pool. Au lieu de cela, vous indiquez les disques cibles à chiffrer sur leurs nœuds, et Batch peut choisir la méthode de chiffrement appropriée, en veillant à ce que les disques spécifiés soient chiffrés sur le nœud de calcul. L’image suivante montre comment Batch effectue ce choix.
Important
Si vous créez votre pool avec une image personnalisée Linux, vous ne pouvez activer le chiffrement de disque que si votre pool utilise une taille de machine virtuelle prise en charge par Chiffrement sur l’hôte. Le chiffrement sur l’hôte ne sera pas pris en charge sur les pools d’abonnement utilisateur jusqu’à ce que la fonctionnalité devienne publiquement disponible dans Azure.
Certaines configurations de chiffrement de disque nécessitent que la famille de machines virtuelles du pool prenne en charge le chiffrement sur l’hôte. Consultez Chiffrement de bout en bout à l’aide du chiffrement sur l’hôte pour déterminer quelles familles de machines virtuelles prennent en charge le chiffrement sur l’hôte.
Portail Azure
Quand vous créez un pool Batch dans le portail Azure, sélectionnez OsDisk, TemporaryDisk ou OsAndTemporaryDisk sous Configuration du chiffrement de disque.
Une fois le pool créé, vous pouvez voir les cibles de configuration du chiffrement de disque dans la section Propriétés du pool.
Exemples
Les exemples suivants montrent comment chiffrer le système d’exploitation et les disques temporaires sur un pool Batch à l’aide du SDK Batch pour .NET, de l’API REST Batch et d’Azure CLI.
SDK Batch pour .NET
pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
);
API REST Batch
URL DE L’API REST :
POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000
Corps de la requête :
"pool": {
"id": "pool2",
"vmSize": "standard_a1",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "22.04-LTS"
},
"diskEncryptionConfiguration": {
"targets": [
"OsDisk",
"TemporaryDisk"
]
}
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 5,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 3,
"enableAutoScale": false,
"enableInterNodeCommunication": false
}
Azure CLI
az batch pool create \
--id diskencryptionPool \
--vm-size Standard_DS1_V2 \
--target-dedicated-nodes 2 \
--image canonical:ubuntuserver:22.04-LTS \
--node-agent-sku-id "batch.node.ubuntu 22.04" \
--disk-encryption-targets OsDisk TemporaryDisk
Étapes suivantes
- Découvrez-en plus sur le chiffrement côté serveur de Stockage sur disque Azure.
- Pour obtenir une vue d’ensemble détaillée de Batch, consultez flux de travail et ressources du service Batch.