Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Все данные, хранящиеся в Azure, шифруются по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт. Azure Key Vault можно использовать для управления владением ключами, которые вы используете для шифрования данных, хранящихся в файловой системе Azure Managed Lustre. В этой статье описывается использование ключей, управляемых клиентом, для шифрования данных с помощью Managed Lustre.
Шифрование узла виртуальной машины защищает все сведения об управляемых дисках в управляемой файловой системе Lustre. Даже если вы добавляете управляемый клиентом ключ для управляемых дисков Lustre для дополнительного уровня безопасности в сценариях высокой безопасности, данные шифруются. Дополнительные сведения см. в статье о шифровании на стороне сервера хранилища дисков Azure.
Общие сведения о включении шифрования ключей, управляемых клиентом, для Managed Lustre:
- Настройте хранилище ключей для хранения ключей.
- Создайте управляемое удостоверение , которое может получить доступ к хранилищу ключей.
- При создании файловой системы выберите шифрование ключей, управляемое клиентом , и укажите хранилище ключей, ключ и управляемое удостоверение для использования.
В следующих разделах подробно описаны шаги.
После создания файловой системы невозможно перейти с управляемого клиентом ключа на управляемый корпорацией Майкрософт ключ.
Необходимые компоненты
Вы можете использовать существующее хранилище ключей и ключ или создать новое хранилище ключей и ключ для использования с сервисом Managed Lustre. Ознакомьтесь со следующими необходимыми параметрами, чтобы убедиться, что вы правильно настроите хранилище ключей и ключ.
Создание хранилища ключей и ключа
Настройте хранилище ключей в Azure для хранения ключей шифрования. Для работы с Управляемым Lustre хранилище ключей и ключ должны соответствовать требованиям, описанным в следующих разделах.
Свойства хранилища ключей
Чтобы использовать хранилище ключей с Managed Lustre, требуются некоторые параметры. При необходимости можно настроить другие параметры.
Основные параметры:
- Подписка. Используйте ту же подписку, которую вы используете для управляемого кластера Lustre.
- Регион: хранилище ключей должно находиться в том же регионе, что и управляемый кластер Lustre.
- Ценовая категория: для использования с управляемым Lustre достаточно стандартного уровня.
- Мягкое удаление: Managed Lustre позволяет мягкое удаление, если вы не настроите его в хранилище ключей.
- Защита от очистки: включить защиту от очистки.
Параметры политики доступа:
- Конфигурация доступа: Установите для управления доступом на основе ролей Azure (Azure RBAC).
Параметры сети:
- Общедоступный доступ: необходимо включить.
- Разрешить доступ: выберите все сети. Чтобы ограничить доступ, можно выбрать выбранные сети. При выборе Выбранные сети необходимо включить опцию «Разрешить доверенным службам Microsoft обходить этот брандмауэр» в секции «Исключение».
Примечание.
Если вы используете существующее хранилище ключей, просмотрите раздел параметров сети, чтобы убедиться, что для параметра "Разрешить доступ" задано значение "Разрешить общедоступный доступ"со всех сетей. Вы также можете внести другие изменения.
Ключевые свойства
- Тип ключа: RSA
- Размер ключа RSA: 2048
- Включено: Да
Разрешения на доступ к хранилищу ключей:
- Пользователь, создающий систему Managed Lustre, должен иметь разрешения, эквивалентные роли участника Key Vault. Для настройки Azure Key Vault и управления ими необходимо иметь те же разрешения. Дополнительные сведения см. в статье Безопасный доступ к хранилищу ключей.
Узнайте больше об основах Azure Key Vault.
Создание управляемого удостоверения, назначаемого пользователем
Для доступа к хранилищу ключей для управляемой файловой системы Lustre требуется управляемое удостоверение, назначаемое пользователем.
Пользовательское управляющее удостоверение — это идентификационные данные автономного удостоверения, которые заменяют удостоверение пользователя, когда пользователь обращается к службам Azure через идентификатор Microsoft Entra. Как и другие удостоверения пользователей, управляемые удостоверения могут быть назначены на роли и иметь права доступа. Узнайте больше об управляемых удостоверениях.
Прежде чем создать файловую систему, необходимо создать этот идентификатор и предоставить ему доступ к хранилищу ключей.
Дополнительные сведения см. в статье "Создание управляемого удостоверения, назначаемого пользователем".
Создание управляемой файловой системы Lustre с ключами шифрования, управляемыми клиентом
При создании управляемой файловой системы Lustre на вкладке "Ключи шифрования дисков " в разделе "Тип ключа шифрования диска" выберите "Управляемый клиентом". Затем другие параметры отображаются в разделе "Параметры ключа клиента" и "Управляемые удостоверения".
Ключи, управляемые клиентом, можно настроить только при создании файловой системы. Нельзя изменить тип ключей шифрования, используемых для существующей управляемой файловой системы Lustre.
Параметры ключа клиента
В параметрах ключа клиента выберите ссылку, чтобы выбрать хранилище ключей, ключ и параметры версии. Вы также можете создать новое хранилище ключей на этой панели. Если вы создаете новое хранилище ключей, обязательно предоставьте управляемому удостоверению доступ к хранилищу ключей.
Если хранилище ключей не отображается в списке, проверьте следующие требования:
- Файловая система находится в той же подписке, что и хранилище ключей?
- Файловая система находится в том же регионе, что и хранилище ключей?
- Существует ли сетевое подключение между порталом Azure и хранилищем ключей?
После выбора хранилища выберите отдельный ключ из доступных параметров или создайте новый ключ. Ключ должен быть 2048-разрядным ключом RSA.
Укажите версию для выбранного ключа. Дополнительные сведения об использовании версий см. в документации по Azure Key Vault.
Параметры управляемых удостоверений
В Управляемых удостоверениях выберите ссылку. Затем выберите удостоверение, которое используется управляемой файловой системой Lustre для доступа к хранилищу ключей.
После настройки этих параметров ключа шифрования выберите вкладку "Просмотр и создание " и завершите создание файловой системы для развертывания.