Použití služby Azure Disk Encryption se sekvencováním rozšíření škálovací sady virtuálních počítačů
Rozšíření, jako je Azure Disk Encryption, je možné přidat do škálovací sady virtuálních počítačů Azure v zadaném pořadí. K tomu použijte sekvencování rozšíření.
Obecně platí, že šifrování by se mělo použít na disk:
- Po rozšířeních nebo vlastních skriptech, které připraví disky nebo svazky.
- Před rozšířeními nebo vlastními skripty, které přistupují k datům na šifrovaných discích nebo svazcích nebo je využívají.
V obou případech vlastnost určuje, provisionAfterExtensions které rozšíření má být přidáno později v sekvenci.
Ukázkové šablony Azure
Pokud chcete, aby se služba Azure Disk Encryption použila po jiném rozšíření, vložte provisionAfterExtensions vlastnost do bloku rozšíření AzureDiskEncryption.
Tady je příklad s použitím příkazu CustomScriptExtension, což je skript PowerShellu, který inicializuje a zformátuje disk s Windows a následně AzureDiskEncryption:
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "CustomScriptExtension",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Compute",
"type": "CustomScriptExtension",
"typeHandlerVersion": "1.9",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"fileUris": [
"https://raw.githubusercontent.com/Azure-Samples/compute-automation-configurations/master/ade-vmss/FormatMBRDisk.ps1"
]
},
"protectedSettings": {
"commandToExecute": "powershell -ExecutionPolicy Unrestricted -File FormatMBRDisk.ps1"
}
}
},
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "AzureDiskEncryption",
"location": "[resourceGroup().location]",
"properties": {
"provisionAfterExtensions": [
"CustomScriptExtension"
],
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
]
}
}
Pokud chcete, aby se služba Azure Disk Encryption použila před jiným rozšířením, umístěte provisionAfterExtensions vlastnost do bloku rozšíření, které chcete sledovat.
Tady je příklad použití rozšíření AzureDiskEncryption následované rozšířením VMDiagnosticsSettings, které poskytuje možnosti monitorování a diagnostiky na virtuálním počítači Azure s Windows:
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"name": "AzureDiskEncryption",
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
{
"name": "Microsoft.Insights.VMDiagnosticsSettings",
"type": "extensions",
"location": "[resourceGroup().location]",
"apiVersion": "2016-03-30",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/myVM', copyindex())]"
],
"properties": {
"provisionAfterExtensions": [
"AzureDiskEncryption"
],
"publisher": "Microsoft.Azure.Diagnostics",
"type": "IaaSDiagnostics",
"typeHandlerVersion": "1.5",
"autoUpgradeMinorVersion": true,
"settings": {
"xmlCfg": "[base64(concat(variables('wadcfgxstart'),
variables('wadmetricsresourceid'),
concat('myVM', copyindex()),
variables('wadcfgxend')))]",
"storageAccount": "[variables('storageName')]"
},
"protectedSettings": {
"storageAccountName": "[variables('storageName')]",
"storageAccountKey": "[listkeys(variables('accountid'),
'2015-06-15').key1]",
"storageAccountEndPoint": "https://core.windows.net"
}
}
},
]
}
}
Podrobnější šablonu najdete tady:
- Použijte rozšíření Azure Disk Encryption po skriptu vlastního prostředí, který formátuje disk (Linux): deploy-extseq-linux-ADE-after-customscript.json
Další kroky
- Další informace o sekvencování rozšíření: Zřizování rozšíření sekvence v Virtual Machine Scale Sets.
- Další informace o vlastnosti: Referenční informace k šablonám Microsoft.Compute virtualMachineScaleSets/extensions
provisionAfterExtensions - Azure Disk Encryption pro Virtual Machine Scale Sets
- Šifrování Virtual Machine Scale Sets pomocí Azure CLI
- Šifrování Virtual Machine Scale Sets pomocí Azure PowerShell
- Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption