Creare un pool con la crittografia disco abilitata
Quando si crea un pool di Azure Batch tramite Configurazione macchina virtuale, è possibile crittografare i nodi di calcolo nel pool con una chiave gestita dalla piattaforma specificando la configurazione della crittografia del disco.
Questo articolo illustra come creare un pool batch con crittografia del disco abilitato.
Perché usare un pool con la configurazione della crittografia dei dischi?
Con un pool di Batch è possibile accedere e archiviare i dati nel sistema operativo e nei dischi temporanei del nodo di calcolo. La crittografia del disco lato server con una chiave gestita dalla piattaforma consente di proteggere questi dati in modo pratico e con sovraccarico ridotto.
Batch applicherà una di queste tecnologie di crittografia dei dischi nei nodi di calcolo, in base alla configurazione del pool e alla supportabilità a livello di area.
- Crittografia del disco gestita inattiva con chiavi gestite dalla piattaforma
- Crittografia nell'host tramite una chiave gestita dalla piattaforma
- Azure Disk Encryption
Non sarà possibile specificare quale metodo di crittografia verrà applicato ai nodi nel pool. Specificare invece i dischi di destinazione da crittografare nei nodi e Batch può scegliere il metodo di crittografia appropriato, assicurando che i dischi specificati vengano crittografati nel nodo di calcolo. L'immagine seguente illustra come Batch fa questa scelta.
Importante
Se si crea il pool con un'immagine personalizzata Linux, è possibile abilitare solo la crittografia del disco solo se il pool usa una dimensione della macchina virtuale supportata dall'host. La crittografia all'host non è attualmente supportata nei pool di sottoscrizioni utente fino a quando la funzionalità non diventa disponibile pubblicamente in Azure.
Alcune configurazioni di crittografia dei dischi richiedono che la famiglia di macchine virtuali del pool supporti la crittografia nell'host. Vedere Crittografia end-to-end usando la crittografia nell'host per determinare quali famiglie di macchine virtuali supportano la crittografia nell'host.
Portale di Azure
Quando si crea un pool batch nella portale di Azure, selezionare OsDisk, TemporaryDisk o OsAndTemporaryDisk in Configurazione crittografia dischi.
Dopo aver creato il pool, è possibile visualizzare le destinazioni di configurazione della crittografia del disco nella sezione Proprietà del pool.
Esempio
Gli esempi seguenti illustrano come crittografare il sistema operativo e i dischi temporanei in un pool batch usando Batch .NET SDK, l'API REST batch e l'interfaccia della riga di comando di Azure.
SDK di .NET per Batch
pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
);
API Batch REST
URL DELL'API REST:
POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000
Corpo della richiesta:
"pool": {
"id": "pool2",
"vmSize": "standard_a1",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "22.04-LTS"
},
"diskEncryptionConfiguration": {
"targets": [
"OsDisk",
"TemporaryDisk"
]
}
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 5,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 3,
"enableAutoScale": false,
"enableInterNodeCommunication": false
}
Interfaccia della riga di comando di Azure
az batch pool create \
--id diskencryptionPool \
--vm-size Standard_DS1_V2 \
--target-dedicated-nodes 2 \
--image canonical:ubuntuserver:22.04-LTS \
--node-agent-sku-id "batch.node.ubuntu 22.04" \
--disk-encryption-targets OsDisk TemporaryDisk
Passaggi successivi
- Altre informazioni sulla crittografia lato server di Archiviazione dischi di Azure.
- Per una panoramica approfondita di Batch, vedere Flusso di lavoro e risorse del servizio Batch.