Lemeztitkosítás engedélyezése Azure Service Fabric-fürtcsomópontokhoz Linuxon
Ebben az oktatóanyagban megtudhatja, hogyan engedélyezheti a lemeztitkosítást Az Azure Service Fabric-fürtcsomópontokon Linuxon. Ezeket a lépéseket minden csomóponttípushoz és virtuálisgép-méretezési csoporthoz be kell tartania. A csomópontok titkosításához az Azure Disk Encryption képességet fogjuk használni a virtuálisgép-méretezési csoportokon.
Az útmutató a következő témaköröket ismerteti:
- A Service Fabric-fürt virtuálisgép-méretezési csoportjai lemeztitkosításának Linuxon történő engedélyezésekor figyelembe kell venni a legfontosabb fogalmakat.
- A linuxos Service Fabric-fürtcsomópontok lemeztitkosításának engedélyezése előtt követendő lépések.
- A linuxos Service Fabric-fürtcsomópontok lemeztitkosításának engedélyezéséhez követendő lépések.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Előfeltételek
Önregisztráció
A virtuálisgép-méretezési csoport lemeztitkosítási előzetes verziója önregisztrációt igényel. Ehhez a következő lépések szükségesek:
- Futtassa a következő parancsot:
Register-AzProviderFeature -ProviderNamespace Microsoft.Compute -FeatureName "UnifiedDiskEncryption"
- Várjon körülbelül 10 percet, amíg az állapot regisztrálva lesz. Az állapot ellenőrzéséhez futtassa a következő parancsot:
Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption" Register-AzResourceProvider -ProviderNamespace Microsoft.Compute
Azure Key Vault
Hozzon létre egy kulcstartót ugyanabban az előfizetésben és régióban, mint a méretezési csoport. Ezután válassza ki az EnabledForDiskEncryption hozzáférési szabályzatot a kulcstartón a PowerShell-parancsmag használatával. A szabályzatot az Azure Portal Key Vault felhasználói felületének használatával is beállíthatja a következő paranccsal:
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -EnabledForDiskEncryption
Telepítse az Azure CLI legújabb verzióját, amely az új titkosítási parancsokkal rendelkezik.
Telepítse az Azure SDK legújabb verzióját az Azure PowerShell-kiadásból . A következőkben a virtuálisgép-méretezési csoport Azure Disk Encryption parancsmagjai engedélyezik (beállítják) a titkosítást, lekérik (lekérik) a titkosítás állapotát, és eltávolítják (letiltják) a méretezési csoportpéldány titkosítását.
Parancs | Verzió | Forrás |
---|---|---|
Get-AzVmssDiskEncryptionStatus | 1.0.0 vagy újabb | Az.Compute |
Get-AzVmssVMDiskEncryptionStatus | 1.0.0 vagy újabb | Az.Compute |
Disable-AzVmssDiskEncryption | 1.0.0 vagy újabb | Az.Compute |
Get-AzVmssDiskEncryption | 1.0.0 vagy újabb | Az.Compute |
Get-AzVmssVMDiskEncryption | 1.0.0 vagy újabb | Az.Compute |
Set-AzVmssDiskEncryptionExtension | 1.0.0 vagy újabb | Az.Compute |
Támogatott forgatókönyvek lemeztitkosításhoz
- A virtuálisgép-méretezési csoportok titkosítása csak felügyelt lemezekkel létrehozott méretezési csoportok esetén támogatott. Natív (vagy nem felügyelt) lemezskálázási csoportok esetében nem támogatott.
- A titkosítás és a titkosítás letiltása egyaránt támogatott az operációs rendszer és az adatkötetek esetében a Linux rendszerű virtuálisgép-méretezési csoportokban.
- A virtuálisgép-méretezési csoportok virtuálisgép-újraimázási és frissítési műveletei nem támogatottak az aktuális előzetes verzióban.
Új fürt létrehozása és lemeztitkosítás engedélyezése
Az alábbi parancsokkal hozzon létre egy fürtöt, és engedélyezze a lemeztitkosítást egy Azure Resource Manager-sablon és egy önaláírt tanúsítvány használatával.
Bejelentkezés az Azure-ba
Jelentkezzen be a következő parancsokkal:
Login-AzAccount
Set-AzContext -SubscriptionId <guid>
azure login
az account set --subscription $subscriptionId
Használja a már meglévő egyéni sablont
Ha egyéni sablont kell létrehoznia, javasoljuk, hogy az Azure Service Fabric-fürt létrehozási sablonminták lapján használja az egyik sablont .
Ha már rendelkezik egyéni sablonnal, ellenőrizze, hogy a sablon és a paraméterfájl mindhárom tanúsítványhoz kapcsolódó paramétere az alábbiak szerint van-e elnevezve. Győződjön meg arról is, hogy az értékek null értékűek az alábbiak szerint:
"certificateThumbprint": {
"value": ""
},
"sourceVaultValue": {
"value": ""
},
"certificateUrlValue": {
"value": ""
},
Mivel linuxos virtuálisgép-méretezési csoportok esetében csak adatlemeztitkosítás támogatott, resource manager-sablonnal kell hozzáadnia egy adatlemezt. Frissítse a sablont az adatlemezek kiépítéséhez az alábbiak szerint:
"storageProfile": {
"imageReference": {
"publisher": "[parameters('vmImagePublisher')]",
"offer": "[parameters('vmImageOffer')]",
"sku": "[parameters('vmImageSku')]",
"version": "[parameters('vmImageVersion')]"
},
"osDisk": {
"caching": "ReadOnly",
"createOption": "FromImage",
"managedDisk": {
"storageAccountType": "[parameters('storageAccountType')]"
}
},
"dataDisks": [
{
"diskSizeGB": 1023,
"lun": 0,
"createOption": "Empty"
$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$CertSubjectName="mycluster.westus.cloudapp.azure.com"
$certPassword="Password!1" | ConvertTo-SecureString -AsPlainText -Force
$certOutputFolder="c:\certificates"
$parameterFilePath="c:\templates\templateparam.json"
$templateFilePath="c:\templates\template.json"
New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -CertificateOutputFolder $certOutputFolder -CertificatePassword $certpassword -CertificateSubjectName $CertSubjectName -TemplateFile $templateFilePath -ParameterFile $parameterFilePath
Itt található az egyenértékű CLI-parancs. Módosítsa a deklarált utasítások értékeit a megfelelő értékekre. A parancssori felület támogatja az összes többi paramétert, amelyet az előző PowerShell-parancs támogat.
declare certPassword=""
declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare certSubjectName="mylinuxsecure.westus.cloudapp.azure.com"
declare parameterFilePath="c:\mytemplates\linuxtemplateparm.json"
declare templateFilePath="c:\mytemplates\linuxtemplate.json"
declare certOutputFolder="c:\certificates"
az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation \
--certificate-output-folder $certOutputFolder --certificate-password $certPassword \
--certificate-subject-name $certSubjectName \
--template-file $templateFilePath --parameter-file $parametersFilePath
Adatlemez csatlakoztatása Linux-példányhoz
Mielőtt folytatja a titkosítást egy virtuálisgép-méretezési csoporton, győződjön meg arról, hogy a hozzáadott adatlemez megfelelően van csatlakoztatva. Jelentkezzen be a Linux-fürt virtuális gépére, és futtassa az LSBLK parancsot. A kimenetnek meg kell jelennie, hogy a hozzáadott adatlemez a Csatlakoztatási pont oszlopban van.
Alkalmazás üzembe helyezése Service Fabric-fürtön Linuxon
Az alkalmazások fürtben való üzembe helyezéséhez kövesse a rövid útmutató lépéseit és útmutatását : Linux-tárolók üzembe helyezése a Service Fabricben.
Lemeztitkosítás engedélyezése a korábban létrehozott virtuálisgép-méretezési csoportokhoz
Az előző lépésekben létrehozott virtuálisgép-méretezési csoportok lemeztitkosításának engedélyezéséhez futtassa a következő parancsokat:
$VmssName = "nt1vm"
$vaultName = "mykeyvault"
$resourceGroupName = "mycluster"
$KeyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $rgName
$DiskEncryptionKeyVaultUrl = $KeyVault.VaultUri
$KeyVaultResourceId = $KeyVault.ResourceId
Set-AzVmssDiskEncryptionExtension -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType All
az vmss encryption enable -g <resourceGroupName> -n <VMSS name> --disk-encryption-keyvault <KeyVaultResourceId>
Annak ellenőrzése, hogy engedélyezve van-e a lemeztitkosítás egy Linux rendszerű virtuálisgép-méretezési csoport esetében
Egy teljes virtuálisgép-méretezési csoport vagy egy méretezési csoport bármely példányának állapotának lekéréséhez futtassa az alábbi parancsokat. Emellett bejelentkezhet a Linux-fürt virtuális gépére, és futtathatja az LSBLK parancsot. A kimenetnek meg kell jelenítenie a hozzáadott adatlemezt a Csatlakoztatási pont oszlopban, a Típus oszlopnak pedig a Cryptet kell olvasnia.
$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Get-AzVmssDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName
Get-AzVmssVMDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -InstanceId "0"
az vmss encryption show -g <resourceGroupName> -n <VMSS name>
A Service Fabric-fürtben lévő virtuálisgép-méretezési csoport lemeztitkosításának letiltása
Tiltsa le a lemeztitkosítást egy virtuálisgép-méretezési csoport esetében az alábbi parancsok futtatásával. Vegye figyelembe, hogy a lemeztitkosítás letiltása a teljes virtuálisgép-méretezési csoportra vonatkozik, nem pedig az egyes példányokra.
$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Disable-AzVmssDiskEncryption -ResourceGroupName $rgName -VMScaleSetName $VmssName
az vmss encryption disable -g <resourceGroupName> -n <VMSS name>
Következő lépések
Ezen a ponton rendelkeznie kell egy biztonságos fürttel, és tudnia kell, hogyan engedélyezheti és tilthatja le a lemeztitkosítást a Service Fabric-fürtcsomópontok és a virtuálisgép-méretezési csoportok esetében. Hasonló útmutatást talál a Service Fabric-fürtcsomópontokról Linuxon: Disk Encryption for Windows.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: