Megosztás a következőn keresztül:

Lemeztitkosítás engedélyezése Azure Service Fabric-fürtcsomópontokhoz Linuxon

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan engedélyezheti a lemeztitkosítást Az Azure Service Fabric-fürtcsomópontokon Linuxon. Ezeket a lépéseket minden csomóponttípushoz és virtuálisgép-méretezési csoporthoz be kell tartania. A csomópontok titkosításához az Azure Disk Encryption képességet fogjuk használni a virtuálisgép-méretezési csoportokon.

Az útmutató a következő témaköröket ismerteti:

  • A Service Fabric-fürt virtuálisgép-méretezési csoportjai lemeztitkosításának Linuxon történő engedélyezésekor figyelembe kell venni a legfontosabb fogalmakat.
  • A linuxos Service Fabric-fürtcsomópontok lemeztitkosításának engedélyezése előtt követendő lépések.
  • A linuxos Service Fabric-fürtcsomópontok lemeztitkosításának engedélyezéséhez követendő lépések.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

Önregisztráció

A virtuálisgép-méretezési csoport lemeztitkosítási előzetes verziója önregisztrációt igényel. Ehhez a következő lépések szükségesek:

  1. Futtassa a következő parancsot: 
    Register-AzProviderFeature -ProviderNamespace Microsoft.Compute -FeatureName "UnifiedDiskEncryption"
  2. Várjon körülbelül 10 percet, amíg az állapot regisztrálva lesz. Az állapot ellenőrzéséhez futtassa a következő parancsot: 
    Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption"
Register-AzResourceProvider -ProviderNamespace Microsoft.Compute

Azure Key Vault

  1. Hozzon létre egy kulcstartót ugyanabban az előfizetésben és régióban, mint a méretezési csoport. Ezután válassza ki az EnabledForDiskEncryption hozzáférési szabályzatot a kulcstartón a PowerShell-parancsmag használatával. A szabályzatot az Azure Portal Key Vault felhasználói felületének használatával is beállíthatja a következő paranccsal:

    Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -EnabledForDiskEncryption

  2. Telepítse az Azure CLI legújabb verzióját, amely az új titkosítási parancsokkal rendelkezik.

  3. Telepítse az Azure SDK legújabb verzióját az Azure PowerShell-kiadásból . A következőkben a virtuálisgép-méretezési csoport Azure Disk Encryption parancsmagjai engedélyezik (beállítják) a titkosítást, lekérik (lekérik) a titkosítás állapotát, és eltávolítják (letiltják) a méretezési csoportpéldány titkosítását.

Parancs Verzió Forrás
Get-AzVmssDiskEncryptionStatus 1.0.0 vagy újabb Az.Compute
Get-AzVmssVMDiskEncryptionStatus 1.0.0 vagy újabb Az.Compute
Disable-AzVmssDiskEncryption 1.0.0 vagy újabb Az.Compute
Get-AzVmssDiskEncryption 1.0.0 vagy újabb Az.Compute
Get-AzVmssVMDiskEncryption 1.0.0 vagy újabb Az.Compute
Set-AzVmssDiskEncryptionExtension 1.0.0 vagy újabb Az.Compute

Támogatott forgatókönyvek lemeztitkosításhoz

  • A virtuálisgép-méretezési csoportok titkosítása csak felügyelt lemezekkel létrehozott méretezési csoportok esetén támogatott. Natív (vagy nem felügyelt) lemezskálázási csoportok esetében nem támogatott.
  • A titkosítás és a titkosítás letiltása egyaránt támogatott az operációs rendszer és az adatkötetek esetében a Linux rendszerű virtuálisgép-méretezési csoportokban.
  • A virtuálisgép-méretezési csoportok virtuálisgép-újraimázási és frissítési műveletei nem támogatottak az aktuális előzetes verzióban.

Új fürt létrehozása és lemeztitkosítás engedélyezése

Az alábbi parancsokkal hozzon létre egy fürtöt, és engedélyezze a lemeztitkosítást egy Azure Resource Manager-sablon és egy önaláírt tanúsítvány használatával.

Bejelentkezés az Azure-ba

Jelentkezzen be a következő parancsokkal:


Login-AzAccount
Set-AzContext -SubscriptionId <guid>



azure login
az account set --subscription $subscriptionId

Használja a már meglévő egyéni sablont

Ha egyéni sablont kell létrehoznia, javasoljuk, hogy az Azure Service Fabric-fürt létrehozási sablonminták lapján használja az egyik sablont .

Ha már rendelkezik egyéni sablonnal, ellenőrizze, hogy a sablon és a paraméterfájl mindhárom tanúsítványhoz kapcsolódó paramétere az alábbiak szerint van-e elnevezve. Győződjön meg arról is, hogy az értékek null értékűek az alábbiak szerint:

   "certificateThumbprint": {
      "value": ""
    },
    "sourceVaultValue": {
      "value": ""
    },
    "certificateUrlValue": {
      "value": ""
    },

Mivel linuxos virtuálisgép-méretezési csoportok esetében csak adatlemeztitkosítás támogatott, resource manager-sablonnal kell hozzáadnia egy adatlemezt. Frissítse a sablont az adatlemezek kiépítéséhez az alábbiak szerint:

   
   "storageProfile": { 
            "imageReference": { 
              "publisher": "[parameters('vmImagePublisher')]", 
              "offer": "[parameters('vmImageOffer')]", 
              "sku": "[parameters('vmImageSku')]", 
              "version": "[parameters('vmImageVersion')]" 
            }, 
            "osDisk": { 
              "caching": "ReadOnly", 
              "createOption": "FromImage", 
              "managedDisk": { 
                "storageAccountType": "[parameters('storageAccountType')]" 
              } 
           }, 
                "dataDisks": [ 
                { 
                    "diskSizeGB": 1023, 
                    "lun": 0, 
                    "createOption": "Empty" 
   

$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$CertSubjectName="mycluster.westus.cloudapp.azure.com"
$certPassword="Password!1" | ConvertTo-SecureString -AsPlainText -Force 
$certOutputFolder="c:\certificates"

$parameterFilePath="c:\templates\templateparam.json"
$templateFilePath="c:\templates\template.json"


New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -CertificateOutputFolder $certOutputFolder -CertificatePassword $certpassword -CertificateSubjectName $CertSubjectName -TemplateFile $templateFilePath -ParameterFile $parameterFilePath

Itt található az egyenértékű CLI-parancs. Módosítsa a deklarált utasítások értékeit a megfelelő értékekre. A parancssori felület támogatja az összes többi paramétert, amelyet az előző PowerShell-parancs támogat.

declare certPassword=""
declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare certSubjectName="mylinuxsecure.westus.cloudapp.azure.com"
declare parameterFilePath="c:\mytemplates\linuxtemplateparm.json"
declare templateFilePath="c:\mytemplates\linuxtemplate.json"
declare certOutputFolder="c:\certificates"


az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation  \
	--certificate-output-folder $certOutputFolder --certificate-password $certPassword  \
	--certificate-subject-name $certSubjectName \
    --template-file $templateFilePath --parameter-file $parametersFilePath

Adatlemez csatlakoztatása Linux-példányhoz

Mielőtt folytatja a titkosítást egy virtuálisgép-méretezési csoporton, győződjön meg arról, hogy a hozzáadott adatlemez megfelelően van csatlakoztatva. Jelentkezzen be a Linux-fürt virtuális gépére, és futtassa az LSBLK parancsot. A kimenetnek meg kell jelennie, hogy a hozzáadott adatlemez a Csatlakoztatási pont oszlopban van.

Alkalmazás üzembe helyezése Service Fabric-fürtön Linuxon

Az alkalmazások fürtben való üzembe helyezéséhez kövesse a rövid útmutató lépéseit és útmutatását : Linux-tárolók üzembe helyezése a Service Fabricben.

Lemeztitkosítás engedélyezése a korábban létrehozott virtuálisgép-méretezési csoportokhoz

Az előző lépésekben létrehozott virtuálisgép-méretezési csoportok lemeztitkosításának engedélyezéséhez futtassa a következő parancsokat:

$VmssName = "nt1vm"
$vaultName = "mykeyvault"
$resourceGroupName = "mycluster"
$KeyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $rgName
$DiskEncryptionKeyVaultUrl = $KeyVault.VaultUri
$KeyVaultResourceId = $KeyVault.ResourceId

Set-AzVmssDiskEncryptionExtension -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType All



az vmss encryption enable -g <resourceGroupName> -n <VMSS name> --disk-encryption-keyvault <KeyVaultResourceId>

Annak ellenőrzése, hogy engedélyezve van-e a lemeztitkosítás egy Linux rendszerű virtuálisgép-méretezési csoport esetében

Egy teljes virtuálisgép-méretezési csoport vagy egy méretezési csoport bármely példányának állapotának lekéréséhez futtassa az alábbi parancsokat. Emellett bejelentkezhet a Linux-fürt virtuális gépére, és futtathatja az LSBLK parancsot. A kimenetnek meg kell jelenítenie a hozzáadott adatlemezt a Csatlakoztatási pont oszlopban, a Típus oszlopnak pedig a Cryptet kell olvasnia.


$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Get-AzVmssDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName

Get-AzVmssVMDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -InstanceId "0"


az vmss encryption show -g <resourceGroupName> -n <VMSS name>

A Service Fabric-fürtben lévő virtuálisgép-méretezési csoport lemeztitkosításának letiltása

Tiltsa le a lemeztitkosítást egy virtuálisgép-méretezési csoport esetében az alábbi parancsok futtatásával. Vegye figyelembe, hogy a lemeztitkosítás letiltása a teljes virtuálisgép-méretezési csoportra vonatkozik, nem pedig az egyes példányokra.

$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Disable-AzVmssDiskEncryption -ResourceGroupName $rgName -VMScaleSetName $VmssName


az vmss encryption disable -g <resourceGroupName> -n <VMSS name>

Következő lépések

Ezen a ponton rendelkeznie kell egy biztonságos fürttel, és tudnia kell, hogyan engedélyezheti és tilthatja le a lemeztitkosítást a Service Fabric-fürtcsomópontok és a virtuálisgép-méretezési csoportok esetében. Hasonló útmutatást talál a Service Fabric-fürtcsomópontokról Linuxon: Disk Encryption for Windows.