Erstellen eines Pools mit aktivierter Datenträgerverschlüsselung

Wenn Sie einen Azure Batch-Pool mithilfe einer VM-Konfiguration erstellen, können Sie Computeknoten im Pool mit einem plattformseitig verwalteten Schlüssel verschlüsseln, indem Sie die Datenträgerverschlüsselungskonfiguration angeben.

In diesem Artikel wird erläutert, wie ein Batch-Pool mit aktivierter Datenträgerverschlüsselung erstellt wird.

Gründe für die Verwendung eines Pools mit Disk Encryption-Konfiguration

Wenn Sie über einen Batch-Pool verfügen, können Sie Daten auf den Betriebssystem- und temporären Datenträgern des Computeknotens speichern und dort auf die Daten zugreifen. Diese Daten lassen sich mit geringem Aufwand schützen, indem Sie den serverseitigen Datenträger mit einem plattformseitig verwalteten Schlüssel verschlüsseln.

Batch wendet basierend auf der Poolkonfiguration und der regionalen Unterstützung eine dieser Datenträgerverschlüsselungstechnologien auf Computeknoten an.

Sie können nicht angeben, welche Verschlüsselungsmethode auf die Knoten in Ihrem Pool angewendet wird. Stattdessen geben Sie die Zieldatenträger an, die auf den Knoten verschlüsselt werden sollen. Batch wählt dann die geeignete Verschlüsselungsmethode aus und stellt sicher, dass die angegebenen Datenträger auf dem Computeknoten verschlüsselt werden.

Wichtig

Wenn Sie den Pool mit einem benutzerdefinierten Image erstellen, können Sie die Datenträgerverschlüsselung nur aktivieren, wenn Sie Windows-VMs verwenden.

Azure-Portal

Wählen Sie beim Erstellen eines Batch-Pools im Azure-Portal unter Disk Encryption-Konfiguration entweder TemporaryDisk oder OsAndTemporaryDisk aus.

Screenshot der Disk Encryption-Konfigurationsoption im Azure-Portal.

Nachdem der Pool erstellt wurde, werden die Disk Encryption-Konfigurationsziele im Abschnitt Eigenschaften des Pools angezeigt.

Screenshot mit den Disk Encryption-Konfigurationszielen im Azure-Portal.

Beispiele

Die folgenden Beispiele zeigen, wie Sie die Betriebssystem- und temporären Datenträger in einem Batch-Pool mithilfe des Batch .NET SDK, der Batch-REST-API und der Azure CLI verschlüsseln.

Batch .NET SDK

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

Batch-REST-API

REST-API-URL:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Anforderungstext:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "18.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 18.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:18.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 18.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Nächste Schritte