Criar um pool com a criptografia de disco habilitada
Ao criar um pool de Lote do Azure usando a Configuração de máquina virtual, você pode criptografar nós de computação no pool com uma chave gerenciada por plataforma especificando a configuração de criptografia de disco.
Este artigo explica como criar um pool de lote com a criptografia de disco habilitada.
Por que usar um pool com a configuração de criptografia de disco?
Com um pool do lote, você pode acessar e armazenar dados no sistema operacional e nos discos temporários do nó de computação. Criptografar o disco do lado do servidor com uma chave gerenciada por plataforma protegerá esses dados com baixa sobrecarga e conveniência.
O lote aplicará uma dessas tecnologias de criptografia de disco em nós de computação, com base na configuração de pool e na capacidade de suporte regional.
- Criptografia de disco gerenciado em repouso com chaves gerenciadas por plataforma
- Criptografia no host usando uma chave gerenciada por plataforma
- Criptografia de Disco do Azure
Você não poderá especificar qual método de criptografia será aplicado aos nós no pool. Em vez disso, você fornece os discos de destino que deseja criptografar em seus nós, e o lote pode escolher o método de criptografia apropriado, garantindo que os discos especificados sejam criptografados no nó de computação. A imagem a seguir descreve como o Lote faz essa escolha.
Importante
Se você estiver criando seu pool com uma imagem personalizada do Linux, só poderá habilitar a criptografia de disco se o pool estiver usando um tamanho de VM compatível com criptografia no host. Atualmente, a criptografia no host não é compatível com pools de assinatura de usuário até que o recurso entre em disponibilidade geral no Azure.
Algumas configurações de criptografia de disco exigem que a família de VMs do pool dê suporte à criptografia no host. Confira Criptografia de ponta a ponta usando a criptografia no host para determinar quais famílias de VM dão suporte à criptografia no host.
Portal do Azure
Ao criar um pool do Lote no portal do Azure, selecione OsDisk, TemporaryDisk ou OsAndTemporaryDisk em Configuração de criptografia de disco.
Depois que o pool é criado, você pode ver os destinos de configuração de criptografia de disco na seção Propriedades do pool.
Exemplos
Os exemplos a seguir mostram como criptografar o sistema operacional e os discos temporários em um pool do lote usando o SDK do .NET do lote, a API REST do lote e a CLI do Azure.
SDK do .NET para o Lote
pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
);
API REST do Lote
URL DA API REST:
POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000
Corpo da solicitação:
"pool": {
"id": "pool2",
"vmSize": "standard_a1",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "22.04-LTS"
},
"diskEncryptionConfiguration": {
"targets": [
"OsDisk",
"TemporaryDisk"
]
}
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 5,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 3,
"enableAutoScale": false,
"enableInterNodeCommunication": false
}
CLI do Azure
az batch pool create \
--id diskencryptionPool \
--vm-size Standard_DS1_V2 \
--target-dedicated-nodes 2 \
--image canonical:ubuntuserver:22.04-LTS \
--node-agent-sku-id "batch.node.ubuntu 22.04" \
--disk-encryption-targets OsDisk TemporaryDisk
Próximas etapas
- Saiba mais sobre a criptografia do lado do servidor do Armazenamento em Disco do Azure.
- Para obter uma visão geral detalhada do Lote, confira Recursos e fluxo de trabalho do serviço de Lote.