Tárhelycsoport létrehozása engedélyezett lemeztitkosítással

Amikor Azure Batch-készletet hoz létre a virtuális gép konfigurációjával, a lemeztitkosítási konfiguráció megadásával platform által felügyelt kulccsal titkosíthatja a készlet számítási csomópontjait.

Ez a cikk bemutatja, hogyan hozhat létre batch-készletet, amelyen engedélyezve van a lemeztitkosítás.

Miért érdemes lemeztitkosítási konfigurációval rendelkező készletet használni?

Batch-készlettel elérheti és tárolhatja az adatokat a számítási csomópont operációs rendszerén és ideiglenes lemezén. A kiszolgálóoldali lemez platform által felügyelt kulccsal történő titkosítása alacsony terheléssel és kényelemmel védi ezeket az adatokat.

A Batch ezen lemeztitkosítási technológiák egyikét fogja alkalmazni a számítási csomópontokon a készletkonfiguráció és a regionális támogatottság alapján.

• Felügyelt lemeztitkosítás inaktív állapotban platform által felügyelt kulcsokkal
• Titkosítás a kiszolgálón platform által kezelt kulccsal
• Azure Disk Encryption

Nem fogja tudni megadni, hogy melyik titkosítási módszert alkalmazza a rendszer a készlet csomópontjaira. Ehelyett meg kell adnia a csomópontjaikon titkosítandó céllemezeket, a Batch pedig kiválaszthatja a megfelelő titkosítási módszert, biztosítva, hogy a megadott lemezek titkosítva legyenek a számítási csomóponton. Az alábbi kép bemutatja, hogy a Batch hogyan teszi ezt a választást.

Fontos

Ha a készletet linuxos egyéni rendszerképpel hozza létre, csak akkor engedélyezheti a lemeztitkosítást, ha a készlet titkosítást használ a gazdagép által támogatott virtuálisgép-méretben. A gazdagép szintjén történő titkosítás jelenleg nem támogatott a felhasználói előfizetési készletekben, amíg a funkció nyilvánosan elérhető nem válik az Azure-ban.

Egyes lemeztitkosítási konfigurációkhoz a készlet VM- vagy virtuális gépcsaládjának támogatnia kell a gazdagépen történő titkosítást. A gazdagépen alkalmazott titkosítást használó végpontok közötti titkosításról itt tudhatja meg, hogy mely virtuális gép családok támogatják a gazdagépen történő titkosítást.

Azure Portal

Amikor Batch-készletet hoz létre az Azure Portalon, válassza az OsDisk, TemporaryDisk vagy OsAndTemporaryDisk lehetőséget a Lemeztitkosítás konfigurálása területen.

A készlet létrehozása után a lemeztitkosítási konfigurációs célokat a készlet Tulajdonságok szakaszában tekintheti meg.

Példák

Az alábbi példák bemutatják, hogyan titkosíthatja az operációs rendszert és az ideiglenes lemezeket egy Batch-készleten az Azure.ResourceManager.Batch SDK, a Batch REST API és az Azure CLI használatával.

Azure.ResourceManager.Batch SDK

using Azure;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Batch;
using Azure.ResourceManager.Batch.Models;

//...

public async Task SetDiskEncryption()
{
    ArmClient client = new ArmClient(new DefaultAzureCredential());

    ResourceIdentifier batchAccountResourceId =
        BatchAccountResource.CreateResourceIdentifier("subscriptionId", "resourceGroupName", "accountName");
    BatchAccountResource batchAccount = client.GetBatchAccountResource(batchAccountResourceId);

    BatchAccountPoolCollection poolCollection = batchAccount.GetBatchAccountPools();

    BatchAccountPoolData poolData = new BatchAccountPoolData()
    {
        VmSize = "standard_ds1_v2",
        DeploymentConfiguration = new BatchDeploymentConfiguration()
        {
            VmConfiguration = new BatchVmConfiguration(
                imageReference: new BatchImageReference()
                {
                    Publisher = "Canonical",
                    Offer = "UbuntuServer",
                    Sku = "22.04-LTS"
                },
                nodeAgentSkuId: "batch.node.ubuntu 22.04")
            {
                 DiskEncryptionConfiguration = new BatchDiskEncryptionConfiguration()
                 {
                     Targets = { BatchDiskEncryptionTarget.OSDisk, BatchDiskEncryptionTarget.TemporaryDisk }
                 }
            }
        }
    };

    ArmOperation<BatchAccountPoolResource> pool = await poolCollection.CreateOrUpdateAsync(
        WaitUntil.Completed, "diskencryptionPool", poolData);
}

Csoportos REST API

REST API URL

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Kérés tartalma:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Következő lépések

• További információ az Azure Disk Storage kiszolgálóoldali titkosításáról.
• A Batch részletes áttekintéséért tekintse meg a Batch szolgáltatás munkafolyamatát és erőforrásait.