Povolení šifrování disků pro uzly clusteru Azure Service Fabric ve Windows
V tomto kurzu se dozvíte, jak povolit šifrování disků na uzlech clusteru Service Fabric ve Windows. Pro každý typ uzlu a škálovací sady virtuálních počítačů budete muset postupovat podle těchto kroků. K šifrování uzlů použijeme funkci Azure Disk Encryption ve škálovacích sadách virtuálních počítačů.
Průvodce se zabývá následujícími tématy:
- Klíčové koncepty, které je potřeba vědět při povolování šifrování disků ve škálovacích sadách virtuálních počítačů clusteru Service Fabric ve Windows
- Před povolením šifrování disků na uzlech clusteru Service Fabric ve Windows postupujte podle kroků, které je potřeba provést.
- Postup povolení šifrování disků na uzlech clusteru Service Fabric ve Windows
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Požadavky
Samoobslužná registrace
Šifrování disku ve verzi Preview pro škálovací sadu virtuálních počítačů vyžaduje samoobslužnou registraci. Použijte následující postup:
- Nejprve spusťte následující příkaz:
Register-AzProviderFeature -ProviderNamespace Microsoft.Compute -FeatureName "UnifiedDiskEncryption" - Počkejte asi 10 minut, než se stav přečte Jako zaregistrovaný. Stav můžete zkontrolovat spuštěním následujícího příkazu:
Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption" Register-AzResourceProvider -ProviderNamespace Microsoft.Compute
Azure Key Vault
- Vytvořte trezor klíčů ve stejném předplatném a oblasti jako škálovací sada a pak pomocí rutiny PowerShellu vyberte zásadu přístupu EnabledForDiskEncryption v trezoru klíčů. Zásady můžete nastavit také pomocí uživatelského rozhraní služby Key Vault na webu Azure Portal pomocí následujícího příkazu:
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -EnabledForDiskEncryption - Nainstalujte nejnovější verzi Azure CLI, která obsahuje nové šifrovací příkazy.
- Nainstalujte nejnovější verzi sady Azure SDK z verze Azure PowerShellu . Následují rutiny azure Disk Encryption škálovací sady virtuálních počítačů, které umožňují (nastavit) šifrování, načíst (získat) stav šifrování a odebrat (zakázat) šifrování v instanci škálovací sady.
| Příkaz | Verze | Zdroj |
|---|---|---|
| Get-AzVmssDiskEncryptionStatus | 1.0.0 nebo novější | Az.Compute |
| Get-AzVmssVMDiskEncryptionStatus | 1.0.0 nebo novější | Az.Compute |
| Disable-AzVmssDiskEncryption | 1.0.0 nebo novější | Az.Compute |
| Get-AzVmssDiskEncryption | 1.0.0 nebo novější | Az.Compute |
| Get-AzVmssVMDiskEncryption | 1.0.0 nebo novější | Az.Compute |
| Set-AzVmssDiskEncryptionExtension | 1.0.0 nebo novější | Az.Compute |
Podporované scénáře šifrování disků
- Šifrování škálovacích sad virtuálních počítačů se podporuje jenom pro škálovací sady vytvořené se spravovanými disky. Nepodporuje se pro nativní (nebo nespravované) škálovací sady disků.
- Šifrování se podporuje pro operační systém a datové svazky ve škálovacích sadách virtuálních počítačů ve Windows. Zakázání šifrování je také podporováno pro operační systém a datové svazky pro škálovací sady virtuálních počítačů ve Windows.
- V aktuální verzi Preview se nepodporují operace obnovení a upgradu virtuálních počítačů pro škálovací sady virtuálních počítačů.
Vytvoření nového clusteru a povolení šifrování disků
Pomocí následujících příkazů vytvořte cluster a povolte šifrování disků pomocí šablony Azure Resource Manageru a certifikátu podepsaného svým držitelem.
Přihlášení k Azure
Přihlaste se pomocí následujících příkazů:
Login-AzAccount
Set-AzContext -SubscriptionId <guid>
azure login
az account set --subscription $subscriptionId
Použití vlastní šablony, kterou už máte
Pokud potřebujete vytvořit vlastní šablonu tak, aby vyhovovala vašim potřebám, důrazně doporučujeme začít s některou ze šablon, které jsou k dispozici na stránce ukázek šablon pro vytvoření clusteru Azure Service Fabric. Informace o přizpůsobení oddílu šablony clusteru najdete v následujících doprovodných materiálech.
Pokud už máte vlastní šablonu, pečlivě zkontrolujte, že všechny tři parametry související s certifikáty v šabloně a soubor parametrů jsou pojmenované následujícím způsobem a že hodnoty mají hodnotu null takto:
"certificateThumbprint": {
"value": ""
},
"sourceVaultValue": {
"value": ""
},
"certificateUrlValue": {
"value": ""
},
$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$CertSubjectName="mycluster.westus.cloudapp.azure.com"
$certPassword="Password!1" | ConvertTo-SecureString -AsPlainText -Force
$certOutputFolder="c:\certificates"
$parameterFilePath="c:\templates\templateparam.json"
$templateFilePath="c:\templates\template.json"
New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -CertificateOutputFolder $certOutputFolder -CertificatePassword $certpassword -CertificateSubjectName $CertSubjectName -TemplateFile $templateFilePath -ParameterFile $parameterFilePath
declare certPassword=""
declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare certSubjectName="mylinuxsecure.westus.cloudapp.azure.com"
declare parameterFilePath="c:\mytemplates\linuxtemplateparm.json"
declare templateFilePath="c:\mytemplates\linuxtemplate.json"
declare certOutputFolder="c:\certificates"
az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation \
--certificate-output-folder $certOutputFolder --certificate-password $certPassword \
--certificate-subject-name $certSubjectName \
--template-file $templateFilePath --parameter-file $parametersFilePath
Nasazení aplikace do clusteru Service Fabric ve Windows
Pokud chcete nasadit aplikaci do clusteru, postupujte podle kroků a pokynů v tématu Nasazení a odebrání aplikací pomocí PowerShellu.
Povolení šifrování disků pro škálovací sady virtuálních počítačů vytvořené dříve
Pokud chcete povolit šifrování disků pro škálovací sady virtuálních počítačů, které jste vytvořili v předchozích krocích, spusťte následující příkazy:
$VmssName = "nt1vm"
$vaultName = "mykeyvault"
$resourceGroupName = "mycluster"
$KeyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $rgName
$DiskEncryptionKeyVaultUrl = $KeyVault.VaultUri
$KeyVaultResourceId = $KeyVault.ResourceId
Set-AzVmssDiskEncryptionExtension -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType All
az vmss encryption enable -g <resourceGroupName> -n <VMSS name> --disk-encryption-keyvault <KeyVaultResourceId>
Ověřte, jestli je pro škálovací sadu virtuálních počítačů ve Windows povolené šifrování disku.
Spuštěním následujících příkazů získejte stav celé škálovací sady virtuálních počítačů nebo jakékoli instance ve škálovací sadě.
$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Get-AzVmssDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName
Get-AzVmssVMDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -InstanceId "0"
az vmss encryption show -g <resourceGroupName> -n <VMSS name>
Kromě toho se můžete přihlásit ke škálovací sadě virtuálních počítačů a ujistit se, že jsou jednotky šifrované.
Zakázání šifrování disků pro škálovací sadu virtuálních počítačů v clusteru Service Fabric
Zakažte šifrování disků pro škálovací sadu virtuálních počítačů spuštěním následujících příkazů. Všimněte si, že zakázání šifrování disků platí pro celou škálovací sadu virtuálních počítačů, a ne pro jednotlivé instance.
$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Disable-AzVmssDiskEncryption -ResourceGroupName $rgName -VMScaleSetName $VmssName
az vmss encryption disable -g <resourceGroupName> -n <VMSS name>
Další kroky
V tomto okamžiku byste měli mít zabezpečený cluster a vědět, jak povolit a zakázat šifrování disků pro uzly clusteru Service Fabric a škálovací sady virtuálních počítačů. Podobné pokyny k uzlům clusteru Service Fabric v Linuxu najdete v tématu Šifrování disků pro Linux.