本节介绍了为 SE 启用磁盘加密选项的步骤。
限制:
仅支持大小为 2080 的软和硬 RSA 密钥。有关更多信息,请参阅 Azure 密钥管理表。
与客户托管密钥相关的所有资源(Azure 密钥文件库、磁盘加密集、虚拟机、磁盘和快照)必须位于相同的订阅和区域中。
不能将使用客户托管密钥加密的磁盘、快照和映像移动到另一个订阅。
配置 Microsoft Azure
要配置密钥文件库以及设置 Azure 密钥文件库和磁盘加密集,请执行 Azure 磁盘存储的服务器端加密中的步骤 1 至 4。
为 NSX Advanced Load Balancer 配置磁盘加密
在 NSX Advanced Load Balancer UI 上提供了“磁盘加密集”选项以选择 DES ID。
导航到
,然后使用下拉菜单选择 DES ID,如下所示:使用 CLI 配置磁盘加密
通过使用具有客户托管密钥的服务器端托管磁盘加密,控制器可以创建加密的 SE 映像,以及创建仅具有操作系统加密和 Azure 托管磁盘加密的 SE。
云配置模式下提供的 des_id 选项使用 DES 资源 ID 作为 Azure 云配置的输入。
[admin:controller]: > configure cloud Default-Cloud [admin:controller]: cloud> azure_configuration [admin:controller]: cloud:azure_configuration> des_id /subscriptions/0eebbbed-14c0-462e-99e0-daaaaaaaaa9/resourceGroups/avi-resource-group/providers/Microsoft.Compute/diskEncryptionSets/DESavi [admin:controller]: cloud:azure_configuration> save [admin:controller]: cloud> save
注:
SE 映像与具有已加密操作系统和 Azure 托管磁盘的 SE 具有相同的 DES ID。
在 SE 虚拟机之间或映像和 SE 虚拟机之间不支持使用不同的 DES ID。