Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ виртуальные машины Linux ✔️ виртуальные машины Windows ✔️ гибкие масштабируемые наборы ✔️ одинаковые масштабируемые наборы
Образы в Галерее вычислений Azure (ранее известная как «Общая галерея образов») хранятся в виде моментальных снимков. Эти образы автоматически шифруются с помощью 256-разрядного шифрования AES на стороне сервера. Шифрование на стороне сервера также совместимо с FIPS 140-2. Дополнительные сведения о криптографических модулях, базовых управляемых дисках Azure, см. в разделе API шифрования: Следующее поколение.
Вы можете полагаться на ключи, управляемые платформой, для шифрования образов или использовать собственные ключи. Вы также можете использовать обе эти функции вместе для двойного шифрования. Если вы решили управлять шифрованием с помощью собственных ключей, можно указать управляемый клиентом ключ для шифрования и расшифровки всех дисков в образах.
Шифрование на стороне сервера с помощью ключей, управляемых клиентом, использует Azure Key Vault. Вы можете импортировать ключи RSA в хранилище ключей или создать новые ключи RSA в Azure Key Vault.
Предпосылки
В этой статье требуется, чтобы у вас уже был набор шифрования дисков в каждом регионе, где вы хотите реплицировать образ:
Чтобы использовать только управляемый клиентом ключ, см. статьи о включении ключей, управляемых клиентом, с помощью шифрования на стороне сервера с помощью портала Azure или PowerShell.
Сведения об использовании управляемых платформой и управляемых клиентом ключей (для двойного шифрования) см. в статьях о включении двойного шифрования с помощью портала Azure или PowerShell.
Это важно
Для доступа к порталу Azure необходимо использовать ссылку https://aka.ms/diskencryptionupdates . В настоящее время двойное шифрование неактивно отображается на общедоступном портале Azure, если вы не используете эту ссылку.
Ограничения
При использовании ключей, управляемых клиентом для шифрования образов в коллекции вычислений Azure, эти ограничения применяются:
Наборы ключей шифрования должны находиться в той же подписке, что и ваш образ.
Наборы ключей шифрования — это региональные ресурсы, поэтому для каждого региона требуется другой набор ключей шифрования.
После использования собственных ключей для шифрования образа невозможно вернуться к использованию ключей, управляемых платформой для шифрования этих образов.
Источник версии образа ACG, зашифрованный с помощью CMK, нельзя использовать в качестве источника для создания другой версии образа ACG.
Некоторые функции, такие как репликация образа SSE+CMK, создание образа из зашифрованного диска SSE+CMK и т. д. не поддерживаются через портал.
Создание образа
Чтобы указать набор шифрования дисков для версии образа, используйте New-AzGalleryImageVersion с параметром -TargetRegion :
$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)
Создание образа
New-AzGalleryImageVersion `
-ResourceGroupName $rgname `
-GalleryName $galleryName `
-GalleryImageDefinitionName $imageDefinitionName `
-Name $versionName -Location $location `
-SourceImageId $sourceId `
-ReplicaCount 2 `
-StorageAccountType Standard_LRS `
-PublishingProfileEndOfLifeDate '2020-12-01' `
-TargetRegion $targetRegion
Создание виртуальной машины
Вы можете создать виртуальную машину из коллекции вычислений Azure и использовать управляемые клиентом ключи для шифрования дисков. Синтаксис аналогичен созданию обобщенной или специализированной виртуальной машины на основе образа. Используйте расширенный набор параметров и добавьте Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage в конфигурацию виртуальной машины.
Для дисков данных добавьте -DiskEncryptionSetId $setID параметр при использовании Add-AzVMDataDisk.
Дальнейшие шаги
Дополнительные сведения о шифровании дисков на стороне сервера.
Сведения о том, как предоставить информацию о плане покупки, см. в разделе «Как предоставить информацию о плане покупки Azure Marketplace при создании образов».