Créer un pool avec le chiffrement de disque activé

Quand vous créez un pool Azure Batch en utilisant une configuration de machine virtuelle, vous pouvez chiffrer des nœuds de calcul dans le pool avec une clé gérée par la plateforme en spécifiant la configuration du chiffrement de disque.

Cet article explique comment créer un pool Batch avec le chiffrement de disque activé.

Pourquoi utiliser un pool avec une configuration du chiffrement de disque ?

Avec un pool Batch, vous pouvez accéder aux données et les stocker sur le système d’exploitation et des disques temporaires du nœud de calcul. Le chiffrement du disque côté serveur à l’aide d’une clé gérée par la plateforme va permettre de protéger ces données avec une faible surcharge et de façon très pratique.

Batch va appliquer l’une de ces technologies de chiffrement de disque sur les nœuds de calcul, en fonction de la configuration du pool et de la prise en charge régionale.

Vous ne pouvez pas spécifier la méthode de chiffrement à appliquer aux nœuds de votre pool. Au lieu de cela, vous indiquez les disques cibles à chiffrer sur leurs nœuds, et Batch peut choisir la méthode de chiffrement appropriée, en veillant à ce que les disques spécifiés soient chiffrés sur le nœud de calcul. L’image suivante montre comment Batch effectue ce choix.

Important

Si vous créez votre pool avec une image personnalisée Linux, vous ne pouvez activer le chiffrement de disque que si votre pool utilise une taille de machine virtuelle prise en charge par Chiffrement sur l’hôte. Le chiffrement sur l’hôte ne sera pas pris en charge sur les pools d’abonnement utilisateur jusqu’à ce que la fonctionnalité devienne publiquement disponible dans Azure.

Capture d’écran de la création du pool dans le Portail Azure.

Certaines configurations de chiffrement de disque nécessitent que la famille de machines virtuelles du pool prenne en charge le chiffrement sur l’hôte. Consultez Chiffrement de bout en bout à l’aide du chiffrement sur l’hôte pour déterminer quelles familles de machines virtuelles prennent en charge le chiffrement sur l’hôte.

Portail Azure

Quand vous créez un pool Batch dans le portail Azure, sélectionnez OsDisk, TemporaryDisk ou OsAndTemporaryDisk sous Configuration du chiffrement de disque.

Capture d’écran de l’option Configuration du chiffrement de disque dans le portail Azure.

Une fois le pool créé, vous pouvez voir les cibles de configuration du chiffrement de disque dans la section Propriétés du pool.

Capture d’écran montrant les cibles de configuration du chiffrement de disque dans le portail Azure.

Exemples

Les exemples suivants montrent comment chiffrer le système d’exploitation et les disques temporaires sur un pool Batch à l’aide du SDK Batch pour .NET, de l’API REST Batch et d’Azure CLI.

SDK Batch pour .NET

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

API REST Batch

URL DE L’API REST :

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Corps de la requête :

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Étapes suivantes