Virtual Machine Scale Set 확장 시퀀싱을 통한 Azure Disk Encryption 사용

Azure 가상 머신 확장 집합에 Azure Disk Encryption과 같은 확장을 지정된 순서대로 추가할 수 있습니다. 이렇게 하려면 확장 시퀀싱을 사용합니다.

일반적으로 디스크에 암호화를 적용해야 하는 시기는 다음과 같습니다.

• 디스크 또는 볼륨을 준비하는 확장 또는 사용자 지정 스크립트 이후
• 암호화된 디스크 또는 볼륨의 데이터에 액세스하거나 사용하는 확장 또는 사용자 지정 스크립트 이전

두 경우 모두, provisionAfterExtensions 속성은 시퀀스에서 이후에 추가해야 하는 확장을 지정합니다.

샘플 Azure 템플릿

다른 확장 이후에 Azure Disk Encryption을 적용하려면 AzureDiskEncryption 확장 블록에 provisionAfterExtensions 속성을 넣습니다.

다음은 Windows 디스크를 초기화하고 포맷하는 PowerShell 스크립트인 “CustomScriptExtension” 이후에 “AzureDiskEncryption”을 사용하는 예제입니다.

"virtualMachineProfile": {
  "extensionProfile": {
    "extensions": [
      {
        "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
        "name": "CustomScriptExtension",
        "location": "[resourceGroup().location]",
        "properties": {
          "publisher": "Microsoft.Compute",
          "type": "CustomScriptExtension",
          "typeHandlerVersion": "1.9",
          "autoUpgradeMinorVersion": true,
          "forceUpdateTag": "[parameters('forceUpdateTag')]",
          "settings": {
            "fileUris": [
              "https://raw.githubusercontent.com/Azure-Samples/compute-automation-configurations/master/ade-vmss/FormatMBRDisk.ps1"
            ]
          },
          "protectedSettings": {
           "commandToExecute": "powershell -ExecutionPolicy Unrestricted -File FormatMBRDisk.ps1"
          }
        }
      },
      {
        "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
        "name": "AzureDiskEncryption",
        "location": "[resourceGroup().location]",
        "properties": {
          "provisionAfterExtensions": [
            "CustomScriptExtension"
          ],
          "publisher": "Microsoft.Azure.Security",
          "type": "AzureDiskEncryption",
          "typeHandlerVersion": "2.2",
          "autoUpgradeMinorVersion": true,
          "forceUpdateTag": "[parameters('forceUpdateTag')]",
          "settings": {
            "EncryptionOperation": "EnableEncryption",
            "KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
            "KeyVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
            "KekVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
            "VolumeType": "[parameters('volumeType')]",
            "SequenceVersion": "[parameters('sequenceVersion')]"
          }
        }
      },
    ]
  }
}

다른 확장 이전에 Azure Disk Encryption을 적용하려면 이후 확장 블록에 provisionAfterExtensions 속성을 넣습니다.

다음은 “AzureDiskEncryption” 이후에 Windows 기반 Azure VM에서 모니터링 및 진단 기능을 제공하는 확장인 “VMDiagnosticsSettings”를 사용하는 예제입니다.

"virtualMachineProfile": {
  "extensionProfile": {
    "extensions": [
      {
        "name": "AzureDiskEncryption",
        "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
        "location": "[resourceGroup().location]",
        "properties": {
          "publisher": "Microsoft.Azure.Security",
          "type": "AzureDiskEncryption",
          "typeHandlerVersion": "2.2",
          "autoUpgradeMinorVersion": true,
          "forceUpdateTag": "[parameters('forceUpdateTag')]",
          "settings": {
            "EncryptionOperation": "EnableEncryption",
            "KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
            "KeyVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
            "KekVaultResourceId": "[variables('keyVaultResourceID')]",
            "KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
            "VolumeType": "[parameters('volumeType')]",
            "SequenceVersion": "[parameters('sequenceVersion')]"
          }
        }
      },
      { 
        "name": "Microsoft.Insights.VMDiagnosticsSettings", 
        "type": "extensions", 
        "location": "[resourceGroup().location]", 
        "apiVersion": "2016-03-30", 
        "dependsOn": [ 
          "[concat('Microsoft.Compute/virtualMachines/myVM', copyindex())]" 
        ], 
        "properties": { 
          "provisionAfterExtensions": [
            "AzureDiskEncryption"
          ],
        "publisher": "Microsoft.Azure.Diagnostics", 
          "type": "IaaSDiagnostics", 
          "typeHandlerVersion": "1.5", 
          "autoUpgradeMinorVersion": true, 
          "settings": { 
            "xmlCfg": "[base64(concat(variables('wadcfgxstart'), 
            variables('wadmetricsresourceid'), 
            concat('myVM', copyindex()),
            variables('wadcfgxend')))]", 
            "storageAccount": "[variables('storageName')]" 
          }, 
          "protectedSettings": { 
            "storageAccountName": "[variables('storageName')]", 
            "storageAccountKey": "[listkeys(variables('accountid'), 
              '2015-06-15').key1]", 
            "storageAccountEndPoint": "https://core.windows.net" 
          } 
        } 
      },
    ]
  }
}

템플릿에 대한 자세한 내용은 다음을 참조하세요.

• 디스크를 포맷하는 사용자 지정 셸 스크립트 이후에 Azure Disk Encryption 확장 적용(Linux): deploy-extseq-linux-ADE-after-customscript.json

다음 단계

• 확장 시퀀싱에 대한 자세한 정보: Virtual Machine Scale Sets의 시퀀스 확장 프로비저닝
• provisionAfterExtensions 속성에 대한 자세한 정보: Microsoft.Compute virtualMachineScaleSets/extensions 템플릿 참조
• Virtual Machine Scale Sets를 위한 Azure Disk Encryption
• Azure CLI를 사용하는 Virtual Machine Scale Sets 암호화
• Azure PowerShell을 사용하는 Virtual Machine Scale Sets 암호화
• Azure Disk Encryption을 위한 Key Vault 만들기 및 구성