Lemeztitkosítás engedélyezése Service Fabric által felügyelt fürtcsomópontokhoz
A Service Fabric által felügyelt fürtök két lemeztitkosítási lehetőséget támogatnak az adatok védelme érdekében, hogy megfeleljenek a szervezeti biztonsági és megfelelőségi követelményeknek. A javasolt beállítás a titkosítás a gazdagépen, de támogatja az Azure Disk Encryptiont is. Tekintse át a lemeztitkosítási beállításokat , és győződjön meg arról, hogy a kiválasztott beállítás megfelel az igényeinek.
Titkosítás engedélyezése a gazdagépen
Ez a titkosítási módszer javítja az Azure Disk Encryptiont azáltal, hogy támogatja a virtuális gépek összes operációs rendszertípusát és rendszerképét, beleértve az egyéni rendszerképeket is, az Azure Storage szolgáltatásban lévő adatok titkosításával. Ez a módszer nem használja a virtuális gépek processzorát, és nem befolyásolja a virtuális gépek teljesítményét, így a számítási feladatok az összes rendelkezésre álló virtuálisgép-termékváltozat-erőforrást használhatják.
Megjegyzés
A meglévő csomóponttípusokon nem engedélyezhető. Új csomóponttípust kell kiépítenie, és át kell telepítenie a számítási feladatot.
Megjegyzés
Azure Security Center lemeztitkosítás állapota nem megfelelő állapotúként jelenik meg a gazdagép titkosításának használatakor
Kövesse ezeket a lépéseket, és hivatkozzon erre a mintasablonra egy új, gazdagéptitkosítást engedélyező felügyelt Service Fabric-fürt üzembe helyezéséhez.
A követelményeknek való megfelelés ellenőrzéséhez tekintse át az alábbi korlátozásokat .
Állítsa be a szükséges előfeltételeket a fürt üzembe helyezése előtt.
Konfigurálja a
enableEncryptionAtHost
tulajdonságot a felügyelt fürtsablonban minden csomóponttípus lemeztitkosításához. A minta előre konfigurálva van.- A Service Fabric által felügyelt fürt erőforrás apiVersion-jének 2021-11-01-preview vagy újabb verziónak kell lennie.
{ "apiVersion": "[variables('sfApiVersion')]", "type": "Microsoft.ServiceFabric/managedclusters/nodetypes", "name": "[concat(parameters('clusterName'), '/', parameters('nodeTypeName'))]", "location": "[resourcegroup().location]", "properties": { "enableEncryptionAtHost": true ... } }
Üzembe helyezés és ellenőrzés
Helyezze üzembe a gazdagéptitkosítással konfigurált felügyelt fürtöt.
$clusterName = "<clustername>" $resourceGroupName = "<rg-name>" New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName -TemplateFile .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose
A parancs használatával ellenőrizheti egy csomóponttípus mögöttes méretezési csoportjának lemeztitkosítási
Get-AzVmss
állapotát. Először meg kell keresnie a felügyelt fürt támogató erőforráscsoportjának nevét (amely tartalmazza a mögöttes virtuális hálózatot, a terheléselosztót, a nyilvános IP-címet, az NSG-t, a méretezési csoport(oka)t és a tárfiókokat). Mindenképpen módosítsaNodeTypeNAme
az ellenőrizni kívánt fürtcsomópont-típusnévre (az üzembe helyezési sablonban megadottak szerint).$NodeTypeName = "NT2" $clustername = <clustername> $resourceGroupName = "<rg-name>" $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId $VMSS = Get-AzVmss -ResourceGroupName $supportResourceGroupName -Name $NodeTypeName $VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost
A visszatérési kimenetnek a következőhöz hasonlónak kell megjelennie:
$VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost True
Az Azure Disk Encryption engedélyezése
Az Azure Disk Encryption az Azure-beli virtuális gépek operációs rendszerének és adatlemezeinek kötettitkosítását biztosítja a Linux DM-Crypt funkciójával vagy a Windows BitLocker funkciójával. Az ADE integrálva van az Azure Key Vault a lemeztitkosítási kulcsok és titkos kódok szabályozásához és kezeléséhez.
Ebből az útmutatóból megtudhatja, hogyan engedélyezheti a windowsos Service Fabric által felügyelt fürtcsomópontok lemeztitkosítását a virtuálisgép-méretezési csoportokAzure Disk Encryption funkciójának használatával Azure Resource Manager -sablonokon keresztül.
Regisztráció az Azure Disk Encryptionre
A virtuálisgép-méretezési csoport lemeztitkosítási előzetes verziójához önregisztráció szükséges. Futtassa az alábbi parancsot:
Register-AzProviderFeature -FeatureName "UnifiedDiskEncryption" -ProviderNamespace "Microsoft.Compute"
Ellenőrizze a regisztráció állapotát a következő futtatásával:
Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption"
Ha az állapot Regisztrált értékre változik, készen áll a folytatásra.
Key Vault kiépítése lemeztitkosításhoz
Az Azure Disk Encryption használatához egy Azure-Key Vault szükséges a lemeztitkosítási kulcsok és titkos kódok vezérléséhez és kezeléséhez. A Key Vault és a Service Fabric által felügyelt fürtnek ugyanabban az Azure-régióban és -előfizetésben kell lennie. Mindaddig, amíg ezek a követelmények teljesülnek, használhat egy új vagy meglévő Key Vault a lemeztitkosítás engedélyezésével.
Key Vault létrehozása engedélyezett lemeztitkosítással
Futtassa az alábbi parancsokat egy új Key Vault lemeztitkosításhoz. Győződjön meg arról, hogy a Key Vault régiója ugyanabban a régióban van, mint a fürt.
$resourceGroupName = "<rg-name>" $keyvaultName = "<kv-name>" New-AzResourceGroup -Name $resourceGroupName -Location eastus2 New-AzKeyVault -ResourceGroupName $resourceGroupName -Name $keyvaultName -Location eastus2 -EnabledForDiskEncryption
Meglévő Key Vault frissítése a lemeztitkosítás engedélyezéséhez
Futtassa az alábbi parancsokat egy meglévő Key Vault lemeztitkosításának engedélyezéséhez.
Set-AzKeyVaultAccessPolicy -ResourceGroupName $resourceGroupName -VaultName $keyvaultName -EnabledForDiskEncryption
A lemeztitkosítás sablon- és paraméterfájljainak frissítése
A következő lépés végigvezeti a meglévő felügyelt fürtök lemeztitkosításának engedélyezéséhez szükséges sablonmódosításokon. Másik lehetőségként üzembe helyezhet egy új, felügyelt Service Fabric-fürtöt, amelyen engedélyezve van a lemeztitkosítás az alábbi sablonnal: https://github.com/Azure-Samples/service-fabric-cluster-templates/tree/master/SF-Managed-Standard-SKU-1-NT-DiskEncryption
Adja hozzá a következő paramétereket a sablonhoz, és helyettesítse be a saját előfizetését, az erőforráscsoport nevét és a tároló nevét a alatt
keyVaultResourceId
:"parameters": { "keyVaultResourceId": { "type": "string", "defaultValue": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>", "metadata": { "description": "Full resource id of the Key Vault used for disk encryption." } }, "volumeType": { "type": "string", "defaultValue": "All", "metadata": { "description": "Type of the volume OS or Data to perform encryption operation" } } },
Ezután adja hozzá a
AzureDiskEncryption
virtuálisgép-bővítményt a sablon felügyelt fürtcsomópont-típusaihoz:"properties": { "vmExtensions": [ { "name": "AzureDiskEncryption", "properties": { "publisher": "Microsoft.Azure.Security", "type": "AzureDiskEncryption", "typeHandlerVersion": "2.2", "autoUpgradeMinorVersion": true, "settings": { "EncryptionOperation": "EnableEncryption", "KeyVaultURL": "[reference(parameters('keyVaultResourceId'),'2016-10-01').vaultUri]", "KeyVaultResourceId": "[parameters('keyVaultResourceID')]", "VolumeType": "[parameters('volumeType')]" } } } ] }
Végül frissítse a paraméterfájlt, és helyettesítse a saját előfizetését, erőforráscsoportját és kulcstartójának nevét a keyVaultResourceId fájlban:
"parameters": { ... "keyVaultResourceId": { "value": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>" }, "volumeType": { "value": "All" } }
A módosítások üzembe helyezése és ellenőrzése
Ha elkészült, helyezze üzembe a módosításokat, hogy engedélyezze a lemeztitkosítást a felügyelt fürtön.
$clusterName = "<clustername>" New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose
A parancs használatával ellenőrizheti egy csomóponttípus mögöttes méretezési csoportjának lemeztitkosítási
Get-AzVmssDiskEncryption
állapotát. Először meg kell keresnie a felügyelt fürt támogató erőforráscsoportjának nevét (amely tartalmazza a mögöttes virtuális hálózatot, a terheléselosztót, a nyilvános IP-címet, az NSG-t, a méretezési csoport(ok)ot és a tárfiókokat). Mindenképpen módosítsaVmssName
az ellenőrizni kívánt fürtcsomópont-típusnévre (az üzembe helyezési sablonban megadottak szerint).$VmssName = "NT1" $clustername = <clustername> $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId Get-AzVmssDiskEncryption -ResourceGroupName $supportResourceGroupName -VMScaleSetName $VmssName
A kimenetnek a következőhöz hasonlónak kell megjelennie:
ResourceGroupName : SFC_########-####-####-####-############ VmScaleSetName : NT1 EncryptionEnabled : True EncryptionExtensionInstalled : True
Következő lépések
Azure Disk Encryption Windows rendszerű virtuális gépekhez
Virtuálisgép-méretezési csoportok titkosítása az Azure Resource Manager