Skapa en pool med diskkryptering aktiverat

När du skapar en Azure Batch-pool med hjälp av Virtual Machine Configuration kan du kryptera beräkningsnoder i poolen med en plattformshanterad nyckel genom att ange diskkrypteringskonfigurationen.

I den här artikeln beskrivs hur du skapar en Batch-pool med diskkryptering aktiverat.

Varför ska du använda en pool med diskkrypteringskonfiguration?

Med en Batch-pool kan du komma åt och lagra data på operativsystemet och tillfälliga diskar för beräkningsnoden. Om du krypterar disken på serversidan med en plattformshanterad nyckel skyddas dessa data med låg omkostnad och bekvämlighet.

Batch använder en av dessa diskkrypteringstekniker på beräkningsnoder, baserat på poolkonfiguration och regional support.

• Hanterad diskkryptering i vila med plattformshanterade nycklar
• Kryptering på värden med hjälp av en plattformshanterad nyckel
• Azure Disk Encryption

Du kan inte ange vilken krypteringsmetod som ska tillämpas på noderna i poolen. I stället anger du de måldiskar som du vill kryptera på deras noder, och Batch kan välja lämplig krypteringsmetod, vilket säkerställer att de angivna diskarna krypteras på beräkningsnoden. Följande bild visar hur Batch gör det valet.

Viktigt!

Om du skapar din pool med en anpassad Linux-avbildning kan du bara aktivera diskkryptering om poolen använder en vm-storlek som stöds av kryptering på värden. Kryptering på värden stöds för närvarande inte i användarprenumerationspooler förrän funktionen blir offentligt tillgänglig i Azure.

Vissa diskkrypteringskonfigurationer kräver att den virtuella datorfamiljen i poolen stöder kryptering på värden. Se Kryptering från slutpunkt till slutpunkt med kryptering på värden för att avgöra vilka VM-familjer som stöder kryptering på värden.

Azure Portal

När du skapar en Batch-pool i Azure-portalen väljer du antingen OsDisk, TemporaryDisk eller OsAndTemporaryDisk under Diskkrypteringskonfiguration.

När poolen har skapats kan du se konfigurationsmålen för diskkryptering i poolens avsnittet Egenskaper .

Exempel

Följande exempel visar hur du krypterar operativsystemet och tillfälliga diskar i en Batch-pool med hjälp av Batch .NET SDK, Batch REST API och Azure CLI.

Batch .NET SDK

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

Batch REST API

URL för REST API:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Begärandetext:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Nästa steg

• Läs mer om kryptering på serversidan av Azure Disk Storage.
• En detaljerad översikt över Batch finns i Batch-tjänstens arbetsflöde och resurser.