共用方式為


建立已啟用磁碟加密的集區

當您使用虛擬機器設定來建立 Azure Batch 集區時,可以藉由指定磁碟加密設定,利用平台代控金鑰來加密集區中的計算節點。

本文說明如何建立啟用磁碟加密的 Batch 集區。

為什麼要使用具有磁碟加密設定的集區?

有了 Batch 集區,您就可以在 OS 和計算節點的暫存磁碟上存取和儲存資料。 使用平台代控金鑰對伺服器端磁碟進行加密,將會以低額外負荷且便利的方式保護此資料。

Batch 會根據集區設定和區域支援性,在計算節點上套用其中一種磁碟加密技術。

您將無法指定要將哪些加密方法套用至集區中的節點。 相反地,您應提供想要在節點上加密的目標磁碟,然後 Batch 可以選擇適當的加密方法,以確保在計算節點上加密指定的磁碟。 下圖描述 Batch 如何做出該選擇。

重要

如果您要使用 Linux 自訂映像來建立集區,則只有在集區使用主機加密支援 VM 大小時,才能啟用磁碟加密。 使用者訂用帳戶集區目前不支援主機加密,直到此功能在 Azure 中公開推出為止。

Azure 入口網站 中集區建立的螢幕快照。

某些磁碟加密設定需要集區的 VM 系列支援主機加密。 請參閱使用主機加密進行端對端加密,以判斷哪些 VM 系列支援主機加密。

Azure 入口網站

在 Azure 入口網站建立 Batch 集區時,請選取 [磁碟加密設定] 下的 OsDiskTemporaryDiskOsAndTemporaryDisk

Azure 入口網站 中磁碟加密組態選項的螢幕快照。

建立集區之後,您可以在集區的 [屬性] 區段中看到磁碟加密設定目標。

顯示 Azure 入口網站 中磁碟加密組態目標的螢幕快照。

範例

下列範例示範如何使用 Batch .NET SDK、Batch REST API 和 Azure CLI,加密 Batch 集區上的 OS 和暫存磁碟。

Batch .NET SDK

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

Batch REST API

REST API URL:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

要求本文:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

下一步