Sanal Makine Ölçek Kümesi uzantısı sıralaması ile Azure Disk Şifrelemesi'ni kullanma
Azure disk şifrelemesi gibi uzantılar belirli bir sırada bir Azure sanal makineleri ölçek kümesine eklenebilir. Bunu yapmak için uzantı sıralamasını kullanın.
Genel olarak, şifreleme bir diske uygulanmalıdır:
- Diskleri veya birimleri hazırlayan uzantılardan veya özel betiklerden sonra.
- Şifrelenmiş disklerdeki veya birimlerdeki verilere erişen veya bunları kullanan uzantılardan veya özel betiklerden önce.
Her iki durumda da özelliği, provisionAfterExtensions dizinin ilerleyen bölümlerinde hangi uzantının ekleneceğini belirtir.
Örnek Azure şablonları
Azure Disk Şifrelemesi'nin başka bir uzantıdan sonra uygulanmasını istiyorsanız, özelliğini AzureDiskEncryption uzantısı bloğuna yerleştirin provisionAfterExtensions .
Aşağıda, bir Windows diski başlatan ve biçimlendiren bir PowerShell betiği olan "CustomScriptExtension" ve ardından "AzureDiskEncryption" komutunun kullanıldığı bir örnek verilmiştir:
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "CustomScriptExtension",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Compute",
"type": "CustomScriptExtension",
"typeHandlerVersion": "1.9",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"fileUris": [
"https://raw.githubusercontent.com/Azure-Samples/compute-automation-configurations/master/ade-vmss/FormatMBRDisk.ps1"
]
},
"protectedSettings": {
"commandToExecute": "powershell -ExecutionPolicy Unrestricted -File FormatMBRDisk.ps1"
}
}
},
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "AzureDiskEncryption",
"location": "[resourceGroup().location]",
"properties": {
"provisionAfterExtensions": [
"CustomScriptExtension"
],
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
]
}
}
Azure Disk Şifrelemesi'nin başka bir uzantıdan önce uygulanmasını istiyorsanız, özelliğini takip etmek için uzantı bloğuna yerleştirin provisionAfterExtensions .
Windows tabanlı bir Azure VM'de izleme ve tanılama özellikleri sağlayan bir uzantı olan "AzureDiskEncryption" ve ardından "VMDiagnosticsSettings" kullanan bir örnek aşağıda verilmiştir:
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"name": "AzureDiskEncryption",
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
{
"name": "Microsoft.Insights.VMDiagnosticsSettings",
"type": "extensions",
"location": "[resourceGroup().location]",
"apiVersion": "2016-03-30",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/myVM', copyindex())]"
],
"properties": {
"provisionAfterExtensions": [
"AzureDiskEncryption"
],
"publisher": "Microsoft.Azure.Diagnostics",
"type": "IaaSDiagnostics",
"typeHandlerVersion": "1.5",
"autoUpgradeMinorVersion": true,
"settings": {
"xmlCfg": "[base64(concat(variables('wadcfgxstart'),
variables('wadmetricsresourceid'),
concat('myVM', copyindex()),
variables('wadcfgxend')))]",
"storageAccount": "[variables('storageName')]"
},
"protectedSettings": {
"storageAccountName": "[variables('storageName')]",
"storageAccountKey": "[listkeys(variables('accountid'),
'2015-06-15').key1]",
"storageAccountEndPoint": "https://core.windows.net"
}
}
},
]
}
}
Daha ayrıntılı bir şablon için bkz:
- Diski biçimlendiren bir özel kabuk betiğinden sonra Azure Disk Şifrelemesi uzantısını uygulayın (Linux): deploy-extseq-linux-ADE-after-customscript.json
Sonraki adımlar
- Uzantı sıralaması hakkında daha fazla bilgi edinin: Sanal Makine Ölçek Kümeleri'da sıralı uzantı sağlama.
- Özelliği hakkında
provisionAfterExtensionsdaha fazla bilgi edinin: Microsoft.Compute virtualMachineScaleSets/extensions şablon başvurusu. - Sanal Makine Ölçek Kümeleri için Azure Disk Şifrelemesi
- Azure CLI kullanarak Sanal Makine Ölçek Kümeleri şifreleme
- Azure PowerShell kullanarak Sanal Makine Ölçek Kümeleri şifreleme
- Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin