Membuat kumpulan dengan enkripsi diska diaktifkan

Saat Anda membuat kumpulan Azure Batch menggunakan Konfigurasi Komputer Virtual, Anda dapat mengenkripsi simpul komputasi di kumpulan dengan kunci yang dikelola platform dengan menentukan konfigurasi enkripsi diska.

Artikel ini menjelaskan cara membuat kumpulan Batch dengan enkripsi diska diaktifkan.

Mengapa menggunakan kumpulan dengan konfigurasi enkripsi diska?

Dengan kumpulan Batch, Anda dapat mengakses dan menyimpan data pada OS dan diska sementara dari simpul komputasi. Mengenkripsi diska sisi server dengan kunci yang dikelola platform akan melindungi data ini dengan biaya murah dan kenyamanan.

Batch akan menerapkan salah satu teknologi enkripsi diska ini pada simpul komputasi, berdasarkan konfigurasi kumpulan dan dukungan regional.

• Enkripsi cakram tidak aktif terkelola dengan kunci yang dikelola platform
• Enkripsi dipandu menggunakan Kunci yang dikelola platform
• Azure Disk Encryption

Anda tidak dapat menentukan metode enkripsi mana yang akan diterapkan ke simpul di kumpulan Anda. Sebaliknya, Anda hanya menyediakan diska target yang ingin Anda enkripsi pada simpul mereka, dan Batch dapat memilih metode enkripsi yang sesuai, memastikan diska yang dipilih itu dienkripsi pada simpul komputasi. Gambar berikut menggambarkan bagaimana Batch membuat pilihan tersebut.

Penting

Jika Anda membuat kumpulan dengan image kustom Linux, Anda hanya dapat mengaktifkan enkripsi disk hanya jika kumpulan Anda menggunakan ukuran Enkripsi Di Mesin Virtual yang Didukung Host. Enkripsi Di Host saat ini tidak didukung di Kumpulan Langganan Pengguna hingga fitur tersedia untuk umum di Azure.

Beberapa konfigurasi enkripsi disk mengharuskan keluarga VM kumpulan mendukung enkripsi di host. Lihat Enkripsi end-to-end menggunakan enkripsi di host untuk menentukan keluarga VM mana yang mendukung enkripsi di host.

portal Microsoft Azure

Saat membuat kumpulan Batch di portal Azure, pilih OsDisk, TemporaryDisk atau OsAndTemporaryDisk di bawah Konfigurasi Enkripsi Disk.

Setelah kumpulan dibuat, Anda dapat melihat target konfigurasi enkripsi diska di bagian Properti kumpulan.

Contoh

Contoh berikut menunjukkan cara mengenkripsi OS dan diska sementara pada kumpulan Batch menggunakan .NET SDK Batch, REST API Batch, dan Azure CLI.

.NET SDK Batch

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

REST API Batch

URL REST API:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Isi permintaan:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Langkah berikutnya

• Pelajari selengkapnya tentang enkripsi sisi server dari Azure Disk Storage.
• Untuk gambaran mendalam tentang Batch, lihat Alur kerja dan sumber daya layanan Batch.