إنشاء إصدار صورة مشفر باستخدام مفاتيح يديرها العميل

لتحديد تعيين تشفير قرص لإصدار صورة، استخدم New-AzGalleryImageVersion مع المعلمة -TargetRegion:

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

إنشاء الصورة

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

إنشاء الجهاز الظاهري

يمكنك إنشاء جهاز ظاهري (VM) من Azure Compute Gallery واستخدام المفاتيح التي يديرها العميل لتشفير الأقراص. بناء الجملة هو نفسه إنشاء جهاز ظاهري معمم أو متخصص من صورة. استخدم مجموعة المعلمات الموسعة وأضف Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage إلى تكوين الجهاز الظاهري.

بالنسبة لأقراص البيانات، أضف المعلمة -DiskEncryptionSetId $setID عند استخدام Add-AzVMDataDisk.

لتحديد مجموعة تشفير قرص لإصدار صورة، استخدم إنشاء صورة إصدار معرض الصور من az مع المعلمة --target-region-encryption. تنسيق --target-region-encryption هو قائمة مفاتيح مفصولة بفواصل لتشفير نظام التشغيل وأقراص البيانات. يجب أن يبدو كما يلي: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

إذا كان مصدر قرص نظام التشغيل عبارة عن قرص مُدار أو جهاز ظاهري، فاستخدم --managed-image لتحديد المصدر لإصدار الصورة. في هذا المثال، المصدر عبارة عن صورة مُدارة لها قرص نظام تشغيل وقرص بيانات في LUN 0. سيتم تشفير قرص نظام التشغيل باستخدام DiskEncryptionSet1، وسيتم تشفير قرص البيانات باستخدام DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

إذا كان مصدر قرص نظام التشغيل عبارة عن لقطة، فاستخدمه --os-snapshot لتحديد قرص نظام التشغيل. أضف أي لقطات أخرى لقرص البيانات يجب أن تكون أيضا جزءا من إصدار الصورة. استخدم --data-snapshot-luns لتحديد LUN، واستخدم --data-snapshots لتحديد اللقطات.

في هذا المثال، المصادر هي لقطات القرص. هناك قرص نظام تشغيل وقرص بيانات في LUN 0. سيتم تشفير قرص نظام التشغيل باستخدام DiskEncryptionSet1، وسيتم تشفير قرص البيانات باستخدام DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage 

إنشاء الجهاز الظاهري

يمكنك إنشاء جهاز ظاهري من Azure Compute Gallery واستخدام المفاتيح التي يديرها العميل لتشفير الأقراص. بناء الجملة هو نفس إنشاء جهاز ظاهري عام أو متخصص مع إضافة المعلمة --os-disk-encryption-set . بالنسبة لأقراص البيانات، أضف --data-disk-encryption-sets قائمة محددة بمساحة لمجموعات تشفير القرص لأقراص البيانات.

عند إنشاء إصدار صورتك في المدخل، يمكنك استخدام علامة التبويب تشفير لتطبيق مجموعات تشفير التخزين.

1. في الصفحة إنشاء إصدار صورة، حدد علامة التبويب تشفير.
2. في نوع التشفير، حدد التشفير في وضع السكون باستخدام مفتاح يديره العميل أو التشفير المزدوج باستخدام المفاتيح التي يديرها النظام الأساسي والمفاتيح التي يديرها العميل.
3. بالنسبة لكل قرص في الصورة، حدد مجموعة تشفير من القائمة المنسدلة مجموعة تشفير القرص.

إنشاء الجهاز الظاهري

يمكنك إنشاء جهاز ظاهري من إصدار صورة واستخدام المفاتيح التي يديرها العميل لتشفير الأقراص. عند إنشاء الجهاز الظاهري في المدخل، ضمن علامة التبويب الأقراص، حدد التشفير في وضع السكون باستخدام المفاتيح التي يديرها العميل أو التشفير المزدوج باستخدام المفاتيح المدارة من قبل النظام الأساسي والمفاتيح المدارة من قبل العميللنوع التشفير. يمكنك بعد ذلك تحديد مجموعة التشفير من القائمة المنسدلة.