建立已啟用磁碟加密的集區
當您使用虛擬機器設定來建立 Azure Batch 集區時,可以藉由指定磁碟加密設定,利用平台代控金鑰來加密集區中的計算節點。
本文說明如何建立啟用磁碟加密的 Batch 集區。
為什麼要使用具有磁碟加密設定的集區?
有了 Batch 集區,您就可以在 OS 和計算節點的暫存磁碟上存取和儲存資料。 使用平台代控金鑰對伺服器端磁碟進行加密,將會以低額外負荷且便利的方式保護此資料。
Batch 會根據集區設定和區域支援性,在計算節點上套用其中一種磁碟加密技術。
您將無法指定要將哪些加密方法套用至集區中的節點。 相反地,您應提供想要在節點上加密的目標磁碟,然後 Batch 可以選擇適當的加密方法,以確保在計算節點上加密指定的磁碟。 下圖描述 Batch 如何做出該選擇。
重要
如果您要使用 Linux 自訂映像來建立集區,則只有在集區使用主機加密支援 VM 大小時,才能啟用磁碟加密。 使用者訂用帳戶集區目前不支援主機加密,直到此功能在 Azure 中公開推出為止。
某些磁碟加密設定需要集區的 VM 系列支援主機加密。 請參閱使用主機加密進行端對端加密,以判斷哪些 VM 系列支援主機加密。
Azure 入口網站
在 Azure 入口網站建立 Batch 集區時,請選取 [磁碟加密設定] 下的 OsDisk、TemporaryDisk 或 OsAndTemporaryDisk。
建立集區之後,您可以在集區的 [屬性] 區段中看到磁碟加密設定目標。
範例
下列範例示範如何使用 Batch .NET SDK、Batch REST API 和 Azure CLI,加密 Batch 集區上的 OS 和暫存磁碟。
Batch .NET SDK
pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
);
Batch REST API
REST API URL:
POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000
要求本文:
"pool": {
"id": "pool2",
"vmSize": "standard_a1",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "22.04-LTS"
},
"diskEncryptionConfiguration": {
"targets": [
"OsDisk",
"TemporaryDisk"
]
}
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 5,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 3,
"enableAutoScale": false,
"enableInterNodeCommunication": false
}
Azure CLI
az batch pool create \
--id diskencryptionPool \
--vm-size Standard_DS1_V2 \
--target-dedicated-nodes 2 \
--image canonical:ubuntuserver:22.04-LTS \
--node-agent-sku-id "batch.node.ubuntu 22.04" \
--disk-encryption-targets OsDisk TemporaryDisk
下一步
- 深入了解 Azure 磁碟儲存體的伺服器端加密。
- 如需更深入的 Batch 概觀,請參閱 Batch 服務工作流程和資源。