ディスク暗号化が有効になっているプールを作成する

仮想マシンの構成を使用して Azure Batch プールを作成する場合、ディスク暗号化構成を指定することによって、プラットフォーム マネージド キーでプール内のコンピューティング ノードを暗号化できます。

この記事では、ディスク暗号化が有効になっている Batch プールを作成する方法について説明します。

ディスク暗号化構成が指定されたプールを使用する理由

Batch プールを使用すると、コンピューティング ノードの OS と一時ディスクにアクセスしてデータを格納することができます。 プラットフォーム マネージド キーを使用してサーバー側のディスクを暗号化すると、オーバーヘッドを軽減しながら簡単にこのデータを保護できます。

Batch は、プールの構成とリージョンのサポートに基づいて、これらのディスク暗号化テクノロジのいずれかをコンピューティング ノードに適用します。

• プラットフォーム マネージド キーを使用した保存時のマネージド ディスク暗号化
• プラットフォーム マネージド キーを使用したホストでの暗号化
• Azure Disk Encryption

プール内のノードに適用される暗号化方法を指定することはできません。 代わりに、ノードで暗号化するターゲット ディスクを指定すると、Batch は適切な暗号化方法を選択して、指定されたディスクがコンピューティング ノード上で確実に暗号化されるようにします。 次の図は、Batch でどのようにその選択が行われるかを示しています。

重要

Linux カスタムイメージ でプールを作成する場合は、プールがホストでサポートされている VM サイズで暗号化を使用している場合にのみ、ディスク暗号化を有効にすることができます。 現時点では、この機能が Azure で一般公開されるまで、ユーザー サブスクリプション プールでの暗号化はサポートされていません。

一部のディスク暗号化構成では、プールの VM ファミリで、ホストでの暗号化がサポートされている必要があります。 ホストでの暗号化がサポートされている VM ファミリを特定するには、ホストでの暗号化を使用したエンドツーエンドの暗号化に関するページを参照してください。

Azure portal

Azure portal で Batch プールを作成する場合は、[ディスクの暗号化の構成] で [OsDisk]、[TemporaryDisk]、または [OsAndTemporaryDisk] を選択します。

プールが作成されると、プールの [プロパティ] セクションに、ディスク暗号化構成ターゲットが表示されます。

例

次の例は、Batch .NET SDK、Batch REST API、および Azure CLI を使用して、Batch プールの OS と一時ディスクを暗号化する方法を示しています。

Batch .NET SDK

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

Batch REST API

REST API URL:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

要求本文:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

次のステップ

• Azure Disk Storage のサーバー側暗号化の詳細について学習します。
• Batch の詳細については、「Batch サービスのワークフローとリソース」を参照してください。