Criar um conjunto com a encriptação de disco ativada
Quando cria um conjunto de Azure Batch com a Configuração da Máquina Virtual, pode encriptar nós de computação no conjunto com uma chave gerida pela plataforma ao especificar a configuração de encriptação de disco.
Este artigo explica como criar um conjunto do Batch com a encriptação de disco ativada.
Porquê utilizar um conjunto com configuração de encriptação de disco?
Com um conjunto do Batch, pode aceder e armazenar dados no SO e discos temporários do nó de computação. Encriptar o disco do lado do servidor com uma chave gerida pela plataforma irá salvaguardar estes dados com baixa sobrecarga e conveniência.
O Batch aplicará uma destas tecnologias de encriptação de disco em nós de computação, com base na configuração do conjunto e na capacidade de suporte regional.
- Encriptação de disco gerido inativo com chaves geridas pela plataforma
- Encriptação no anfitrião com uma Chave gerida pela plataforma
- Azure Disk Encryption
Não poderá especificar que método de encriptação será aplicado aos nós no conjunto. Em vez disso, fornece os discos de destino que pretende encriptar nos respetivos nós e o Batch pode escolher o método de encriptação adequado, garantindo que os discos especificados são encriptados no nó de computação. A imagem seguinte mostra como o Batch faz essa escolha.
Importante
Se estiver a criar o seu conjunto com uma imagem personalizada do Linux, só poderá ativar a encriptação de disco se o conjunto estiver a utilizar uma Encriptação no Tamanho da VM Suportada pelo Anfitrião. A encriptação no Anfitrião não é atualmente suportada em Conjuntos de Subscrições de Utilizadores até que a funcionalidade fique publicamente disponível no Azure.
Algumas configurações de encriptação de disco requerem que a família de VMs do conjunto suporte encriptação no anfitrião. Veja Encriptação ponto a ponto com encriptação no anfitrião para determinar que famílias de VM suportam a encriptação no anfitrião.
Portal do Azure
Ao criar um conjunto do Batch no portal do Azure, selecione OsDisk, TemporaryDisk ou OsAndTemporaryDisk em Configuração de Encriptação de Disco.
Após a criação do conjunto, pode ver os destinos de configuração de encriptação de disco na secção Propriedades do conjunto.
Exemplos
Os exemplos seguintes mostram como encriptar o SO e os discos temporários num conjunto do Batch com o SDK .NET do Batch, a API REST do Batch e a CLI do Azure.
Batch .NET SDK (SDK .NET para o Batch)
pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
);
Batch REST API
URL da API REST:
POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000
Corpo do pedido:
"pool": {
"id": "pool2",
"vmSize": "standard_a1",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "22.04-LTS"
},
"diskEncryptionConfiguration": {
"targets": [
"OsDisk",
"TemporaryDisk"
]
}
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 5,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 3,
"enableAutoScale": false,
"enableInterNodeCommunication": false
}
CLI do Azure
az batch pool create \
--id diskencryptionPool \
--vm-size Standard_DS1_V2 \
--target-dedicated-nodes 2 \
--image canonical:ubuntuserver:22.04-LTS \
--node-agent-sku-id "batch.node.ubuntu 22.04" \
--disk-encryption-targets OsDisk TemporaryDisk
Passos seguintes
- Saiba mais sobre a encriptação do lado do servidor do Armazenamento de Discos do Azure.
- Para obter uma descrição geral aprofundada do Batch, veja Fluxo de trabalho e recursos do serviço Batch.