Activer le chiffrement de disque pour les nœuds de cluster Azure Service Fabric dans Windows
Dans ce didacticiel, vous allez apprendre à activer le chiffrement de disque sur les nœuds de cluster Azure Service Fabric dans Windows. Vous devez effectuer ces étapes pour chacun des types de nœuds et groupes de machines virtuelles identiques. Pour chiffrer les nœuds, nous allons utiliser les fonctionnalités d’Azure Disk Encryption sur les groupes de machines virtuelles identiques.
Le guide aborde les thèmes suivants :
- Concepts clés à connaître lors de l’activation du chiffrement de disque sur des groupes de machines virtuelles identiques de cluster Service Fabric dans Windows.
- Étapes à suivre avant d’activer le chiffrement de disque sur les nœuds de cluster Service Fabric dans Windows.
- Étapes à suivre pour activer le chiffrement de disque sur les nœuds de cluster Service Fabric dans Windows.
Notes
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Prérequis
Inscription automatique
La préversion du chiffrement de disque des groupes de machines virtuelles identiques nécessite une inscription automatique. Utiliser les étapes suivantes :
- Tout d’abord, exécutez la commande ci-dessous :
Register-AzProviderFeature -ProviderNamespace Microsoft.Compute -FeatureName "UnifiedDiskEncryption" - Attendez 10 minutes environ jusqu’à ce que l’état indique Inscrit. Vous pouvez vérifier l’état en exécutant la commande suivante :
Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption" Register-AzResourceProvider -ProviderNamespace Microsoft.Compute
Azure Key Vault
- Créez un coffre de clés dans le même abonnement et la même région que le groupe identique, puis sélectionnez la stratégie d’accès EnabledForDiskEncryption dans le coffre de clés à l’aide de son applet de commande PowerShell. Vous pouvez également définir la stratégie à l’aide de l’interface utilisateur Key Vault dans le Portail Azure à l’aide de la commande suivante :
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -EnabledForDiskEncryption - Installez la dernière version d’Azure CLI, qui inclut les nouvelles commandes de chiffrement.
- Installez la dernière version du Kit de développement logiciel (SDK) Azure d’Azure PowerShell. Voici les cmdlets Azure Disk Encryption de groupe de machines virtuelles identiques pour activer (set) le chiffrement, récupérer (get) l’état du chiffrement et supprimer (disable) le chiffrement sur une instance de groupe identique.
| Commande | Version | Source |
|---|---|---|
| Get-AzVmssDiskEncryptionStatus | 1.0.0 ou ultérieure | Az.Compute |
| Get-AzVmssVMDiskEncryptionStatus | 1.0.0 ou ultérieure | Az.Compute |
| Disable-AzVmssDiskEncryption | 1.0.0 ou ultérieure | Az.Compute |
| Get-AzVmssDiskEncryption | 1.0.0 ou ultérieure | Az.Compute |
| Get-AzVmssVMDiskEncryption | 1.0.0 ou ultérieure | Az.Compute |
| Set-AzVmssDiskEncryptionExtension | 1.0.0 ou ultérieure | Az.Compute |
Scénarios pris en charge pour le chiffrement de disque
- Le chiffrement de groupes de machines virtuelles identiques est pris en charge uniquement pour les groupes identiques créés avec des disques managés. Il ne l’est pas pour les groupes identiques de disques natifs (ou non managés).
- Le chiffrement est pris en charge pour les volumes de données et de systèmes d’exploitation dans les groupes de machines virtuelles identiques dans Windows. Le chiffrement de désactivation est également pris en charge pour les volumes de données et de systèmes d’exploitation dans les groupes de machines virtuelles identiques dans Windows.
- Les opérations de réimageage et de mise à niveau de machine virtuelle de groupes de machines virtuelles identiques ne sont pas prises en charge dans la préversion actuelle.
Créer un cluster et activer le chiffrement de disque
Utilisez les commandes suivantes pour créer un cluster et activer le chiffrement de disque à l’aide d’un modèle Azure Resource Manager et d’un certificat auto-signé.
Connexion à Azure
Connectez-vous à l’aide des commandes suivantes :
Login-AzAccount
Set-AzContext -SubscriptionId <guid>
azure login
az account set --subscription $subscriptionId
Utiliser le modèle personnalisé que vous possédez déjà
Si vous avez besoin de créer un modèle personnalisé adapté à vos besoins, nous vous recommandons vivement de commencer avec l’un des modèles disponibles dans la page Exemples de modèles de création de cluster Azure Service Fabric. Pour personnaliser votre modèle de cluster, suivez les instructions ci-après.
Si vous disposez déjà d’un modèle personnalisé, vérifiez bien que les trois paramètres liés au certificat dans le modèle et le fichier de paramètres portent les noms indiqués ci-après et que ces valeurs sont null comme suit :
"certificateThumbprint": {
"value": ""
},
"sourceVaultValue": {
"value": ""
},
"certificateUrlValue": {
"value": ""
},
$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$CertSubjectName="mycluster.westus.cloudapp.azure.com"
$certPassword="Password!1" | ConvertTo-SecureString -AsPlainText -Force
$certOutputFolder="c:\certificates"
$parameterFilePath="c:\templates\templateparam.json"
$templateFilePath="c:\templates\template.json"
New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -CertificateOutputFolder $certOutputFolder -CertificatePassword $certpassword -CertificateSubjectName $CertSubjectName -TemplateFile $templateFilePath -ParameterFile $parameterFilePath
declare certPassword=""
declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare certSubjectName="mylinuxsecure.westus.cloudapp.azure.com"
declare parameterFilePath="c:\mytemplates\linuxtemplateparm.json"
declare templateFilePath="c:\mytemplates\linuxtemplate.json"
declare certOutputFolder="c:\certificates"
az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation \
--certificate-output-folder $certOutputFolder --certificate-password $certPassword \
--certificate-subject-name $certSubjectName \
--template-file $templateFilePath --parameter-file $parametersFilePath
Déployer une application sur un cluster Service Fabric dans Windows
Pour déployer une application sur votre cluster, suivez les étapes et les instructions dans Déployer et supprimer des applications avec PowerShell.
Activer le chiffrement de disque pour le groupe de machines virtuelles identiques créé précédemment
Pour activer le chiffrement de disque pour les groupes de machines virtuelles identiques que vous avez créés dans les étapes précédentes, exécutez les commandes suivantes :
$VmssName = "nt1vm"
$vaultName = "mykeyvault"
$resourceGroupName = "mycluster"
$KeyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $rgName
$DiskEncryptionKeyVaultUrl = $KeyVault.VaultUri
$KeyVaultResourceId = $KeyVault.ResourceId
Set-AzVmssDiskEncryptionExtension -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType All
az vmss encryption enable -g <resourceGroupName> -n <VMSS name> --disk-encryption-keyvault <KeyVaultResourceId>
Valider si le chiffrement de disque est activé pour un groupe de machines virtuelles identiques dans Windows
Obtenez l’état de l’ensemble d’un groupe de machines virtuelles identiques ou d’une instance d’un groupe identique en exécutant les commandes suivantes.
$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Get-AzVmssDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName
Get-AzVmssVMDiskEncryption -ResourceGroupName $resourceGroupName -VMScaleSetName $VmssName -InstanceId "0"
az vmss encryption show -g <resourceGroupName> -n <VMSS name>
De plus, vous pouvez vous connecter au groupe de machines virtuelles identiques et vous assurer que les disques sont chiffrés.
Désactiver le chiffrement de disque pour un groupe de machines virtuelles identiques dans un cluster Service Fabric
Désactivez le chiffrement de disque pour un groupe de machines virtuelles identiques en exécutant les commandes suivantes. Notez que la désactivation du chiffrement de disque s’applique à l’ensemble du groupe de machines virtuelles identiques et non par instance individuelle.
$VmssName = "nt1vm"
$resourceGroupName = "mycluster"
Disable-AzVmssDiskEncryption -ResourceGroupName $rgName -VMScaleSetName $VmssName
az vmss encryption disable -g <resourceGroupName> -n <VMSS name>
Étapes suivantes
À ce stade, vous devez avoir un cluster sécurisé et savoir comment activer et désactiver le chiffrement de disque pour des nœuds de cluster Service Fabric et des groupes de machines virtuelles identiques. Pour obtenir des recommandations similaires sur les nœuds de cluster Service Fabric dans Windows, consultez Chiffrement de disque pour Linux.