Použití služby Azure Disk Encryption s sekvencování rozšíření škálovací sady virtuálních počítačů
Rozšíření, jako je šifrování disků Azure, je možné přidat do škálovací sady virtuálních počítačů Azure v zadaném pořadí. Uděláte to tak, že použijete sekvencování rozšíření.
Obecně platí, že šifrování by se mělo použít na disk:
- Po rozšířeních nebo vlastních skriptech, které připraví disky nebo svazky.
- Před rozšířeními nebo vlastními skripty, které přistupují nebo využívají data na šifrovaných discích nebo svazcích.
V obou případech vlastnost určuje, provisionAfterExtensions které rozšíření by se mělo přidat později v posloupnosti.
Ukázkové šablony Azure
Pokud chcete, aby se služba Azure Disk Encryption použila po jiném rozšíření, vložte provisionAfterExtensions vlastnost do bloku rozšíření AzureDiskEncryption.
Tady je příklad použití customscriptExtension, skriptu PowerShellu, který inicializuje a naformátuje disk s Windows a následně AzureDiskEncryption:
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "CustomScriptExtension",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Compute",
"type": "CustomScriptExtension",
"typeHandlerVersion": "1.9",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"fileUris": [
"https://raw.githubusercontent.com/Azure-Samples/compute-automation-configurations/master/ade-vmss/FormatMBRDisk.ps1"
]
},
"protectedSettings": {
"commandToExecute": "powershell -ExecutionPolicy Unrestricted -File FormatMBRDisk.ps1"
}
}
},
{
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"name": "AzureDiskEncryption",
"location": "[resourceGroup().location]",
"properties": {
"provisionAfterExtensions": [
"CustomScriptExtension"
],
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
]
}
}
Pokud chcete, aby se služba Azure Disk Encryption použila před jiným rozšířením, vložte provisionAfterExtensions vlastnost do bloku rozšíření, který chcete sledovat.
Tady je příklad použití azureDiskEncryption následované rozšířením VMDiagnosticsSettings, které poskytuje možnosti monitorování a diagnostiky na virtuálním počítači Azure s Windows:
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"name": "AzureDiskEncryption",
"type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
"location": "[resourceGroup().location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"forceUpdateTag": "[parameters('forceUpdateTag')]",
"settings": {
"EncryptionOperation": "EnableEncryption",
"KeyVaultURL": "[reference(variables('keyVaultResourceId'),'2018-02-14-preview').vaultUri]",
"KeyVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionKeyURL": "[parameters('keyEncryptionKeyURL')]",
"KekVaultResourceId": "[variables('keyVaultResourceID')]",
"KeyEncryptionAlgorithm": "[parameters('keyEncryptionAlgorithm')]",
"VolumeType": "[parameters('volumeType')]",
"SequenceVersion": "[parameters('sequenceVersion')]"
}
}
},
{
"name": "Microsoft.Insights.VMDiagnosticsSettings",
"type": "extensions",
"location": "[resourceGroup().location]",
"apiVersion": "2016-03-30",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/myVM', copyindex())]"
],
"properties": {
"provisionAfterExtensions": [
"AzureDiskEncryption"
],
"publisher": "Microsoft.Azure.Diagnostics",
"type": "IaaSDiagnostics",
"typeHandlerVersion": "1.5",
"autoUpgradeMinorVersion": true,
"settings": {
"xmlCfg": "[base64(concat(variables('wadcfgxstart'),
variables('wadmetricsresourceid'),
concat('myVM', copyindex()),
variables('wadcfgxend')))]",
"storageAccount": "[variables('storageName')]"
},
"protectedSettings": {
"storageAccountName": "[variables('storageName')]",
"storageAccountKey": "[listkeys(variables('accountid'),
'2015-06-15').key1]",
"storageAccountEndPoint": "https://core.windows.net"
}
}
},
]
}
}
Podrobnější šablonu najdete tady:
- Použití rozšíření Azure Disk Encryption za vlastním skriptem prostředí, který disk naformátuje (Linux): deploy-extseq-linux-ADE-after-customscript.json
Další kroky
- Přečtěte si další informace o sekvencování rozšíření: Zřizování rozšíření sekvence ve škálovacích sadách virtuálních počítačů.
- Další informace o
provisionAfterExtensionsvlastnosti: Microsoft.Compute virtualMachineScaleSets/extensions template reference. - Azure Disk Encryption pro škálovací sady virtuálních počítačů
- Šifrování škálovacích sad virtuálních počítačů pomocí Azure CLI
- Šifrování škálovacích sad virtuálních počítačů pomocí Azure PowerShellu
- Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption