Creare un pool con la crittografia disco abilitata
Quando si crea un pool di Azure Batch usando la configurazione della macchina virtuale, è possibile crittografare i nodi di calcolo nel pool con una chiave gestita dalla piattaforma specificando la configurazione della crittografia del disco.
Questo articolo illustra come creare un pool di Batch con crittografia dischi abilitata.
Perché usare un pool con la configurazione della crittografia del disco?
Con un pool di Batch è possibile accedere e archiviare i dati nel sistema operativo e nei dischi temporanei del nodo di calcolo. La crittografia del disco lato server con una chiave gestita dalla piattaforma consente di proteggere questi dati in modo pratico e con sovraccarico ridotto.
Batch applicherà una di queste tecnologie di crittografia dei dischi nei nodi di calcolo, in base alla configurazione del pool e alla supporto a livello di area.
- Crittografia dei dischi gestiti inattivi con chiavi gestite dalla piattaforma
- Crittografia nell'host tramite una chiave gestita dalla piattaforma
- Azure Disk Encryption
Non sarà possibile specificare il metodo di crittografia che verrà applicato ai nodi del pool. Specificare invece i dischi di destinazione da crittografare nei nodi e Batch può scegliere il metodo di crittografia appropriato, assicurandosi che i dischi specificati siano crittografati nel nodo di calcolo. L'immagine seguente illustra il modo in cui Batch fa questa scelta.
Importante
Se si sta creando il pool con un'immagine personalizzata Linux, è possibile abilitare la crittografia del disco solo se il pool usa una crittografia alle dimensioni della macchina virtuale supportate dall'host. La crittografia in host non è attualmente supportata nei pool di sottoscrizioni utente fino a quando la funzionalità non diventa disponibile pubblicamente in Azure.
Alcune configurazioni di crittografia del disco richiedono che la famiglia di macchine virtuali del pool supporti la crittografia nell'host. Vedere Crittografia end-to-end usando la crittografia nell'host per determinare quali famiglie di macchine virtuali supportano la crittografia nell'host.
Azure portal
Quando si crea un pool di Batch nel portale di Azure, selezionare OsDisk, TemporaryDisk o OsAndTemporaryDisk in Configurazione crittografia dischi.
Dopo aver creato il pool, è possibile visualizzare le destinazioni di configurazione della crittografia del disco nella sezione Proprietà del pool.
Esempi
Gli esempi seguenti illustrano come crittografare il sistema operativo e i dischi temporanei in un pool di Batch usando Batch .NET SDK, l'API REST batch e l'interfaccia della riga di comando di Azure.
SDK di .NET per Batch
pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
);
API Batch REST
URL DELL'API REST:
POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000
Corpo della richiesta:
"pool": {
"id": "pool2",
"vmSize": "standard_a1",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "22.04-LTS"
},
"diskEncryptionConfiguration": {
"targets": [
"OsDisk",
"TemporaryDisk"
]
}
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 5,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 3,
"enableAutoScale": false,
"enableInterNodeCommunication": false
}
Interfaccia della riga di comando di Azure
az batch pool create \
--id diskencryptionPool \
--vm-size Standard_DS1_V2 \
--target-dedicated-nodes 2 \
--image canonical:ubuntuserver:22.04-LTS \
--node-agent-sku-id "batch.node.ubuntu 22.04" \
--disk-encryption-targets OsDisk TemporaryDisk
Passaggi successivi
- Altre informazioni sulla crittografia lato server di Archiviazione su disco di Azure.
- Per una panoramica approfondita di Batch, vedere Flusso di lavoro e risorse del servizio Batch.