Wenn Sie eine RDSH-Farm oder eine VDI-Desktop-Zuweisung in Ihrem Horizon Cloud-Pod in Microsoft Azure erstellen, können Sie festlegen, ob die Festplattenverschlüsselung aktiviert werden soll. Wenn Sie die Festplattenverschlüsselung für eine Farm oder VDI-Desktop-Zuweisung aktivieren, werden alle Festplatten für alle virtuellen Maschinen (VMs) in der betreffenden Farm oder VDI-Desktop-Zuweisung verschlüsselt. Sie geben die Festplattenverschlüsselung an, wenn Sie die Farm oder VDI-Desktop-Zuweisung erstellen. Sie können den Verschlüsselungsstatus nach der Erstellung der Farm oder Zuweisung nicht ändern.

Die Workflows zum Erstellen einer Farm und einer VDI-Desktop-Zuweisung umfassen einen Schalter für die Aktivierung der Festplattenverschlüsselung. Details zu diesen Workflows finden Sie unter:

Hinweis:
  • Diese Version unterstützt keine Festplattenverschlüsselung für flexible VDI-Zuweisungen, die Image-VMs mit angehängten Datenfestplatten verwenden.

Leistungsauswirkungen der Festplattenverschlüsselung

Die Funktion der Festplattenverschlüsselung wird von der Microsoft Azure-Cloud-Funktion „Azure Disk Encryption“ (ADE) bereitgestellt. ADE verwendet die BitLocker-Funktion von Microsoft Windows, um Verschlüsselung für das Betriebssystem und die Datenfestplatten der VMs in Microsoft Azure bereitzustellen. Im Allgemeinen bringt BitLocker einen einstelligen Leistungs-Overhead mit sich, sodass die Leistung der verschlüsselten VMs spürbar beeinträchtigt sein kann. Der Nachteil der VM-Verschlüsselung liegt darin, dass die Daten-, Netzwerk- oder Computing-Ressourcenauslastung größer werden kann, was wiederum zu zusätzlichen Lizenz- oder Abonnementkosten führen kann. Daten werden nicht einfach nur von der Festplatte gelesen und in eine unverschlüsselte Festplatte geschrieben. Stattdessen muss die virtuelle Maschine die Daten entschlüsseln, um sie zu lesen, und sie dann wieder verschlüsseln, um sie in die verschlüsselte Festplatte zu schreiben. Bei diesem Vorgang werden Schlüssel aus dem Schlüsseltresor in Azure gelesen, wodurch die Netzwerknutzung erhöht wird. Außerdem werden CPU-Zyklen für die Verschlüsselung eingesetzt. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Häufig gestellte Fragen zu Azure Disk Encryption und BitLocker-Bereitstellung und Verwaltung – häufig gestellte Fragen.

Der Verschlüsselungsschlüssel-Tresor

Der Schlüsseltresor, der für die verschlüsselten Farmen und VDI-Desktop-Zuweisungen des Pods verwendet wird, wird in der Microsoft Azure-Ressourcengruppe erstellt, in der sich die Pod-Manager-VM befindet. Ein einzelner Schlüsseltresor wird für alle verschlüsselten Farmen und Desktop-Zuweisungen des Pods verwendet. Das System erstellt diesen Verschlüsselungsschlüssel-Tresor, sobald nach dem Erstellen der zugehörigen Farm oder VDI-Desktop-Zuweisung die erste verschlüsselte virtuelle Maschine erstellt wird. Bis zum Erstellen dieser ersten verschlüsselten virtuellen Maschine wird dieser Schlüsseltresor in den Ressourcengruppen des Pods nicht angezeigt.

Das System generiert den Namen des Schlüsseltresors mit der Pod-ID. Dies ist ein Bezeichner im UUID-Format. Um die Microsoft Azure-Benennungskonventionen einzuhalten, legt das System den Schlüsseltresornamen wie folgt fest:

  1. Abrufen der Pod-ID.
  2. Voranstellen der Buchstaben kv
  3. Entfernen aller nicht alphanumerischen Zeichen
  4. Abschneiden von Zeichen, falls erforderlich, um die maximale Länge von 24 einzuhalten

Der folgende Screenshot zeigt die Elemente in der Ressourcengruppe der Pod-Manager-VM für einen Pod mit einer verschlüsselten Farm. Der Screenshot zeigt zwei Schlüsseltresore: Einmal den Schlüsseltresor für den Pod selbst, der während der Pod-Bereitstellung erstellt wurde, und den Schlüsseltresor, der beim Erstellen der ersten verschlüsselten virtuellen Maschine erstellt wurde. Diese wird erstellt, sobald eine Farm oder VDI-Desktop-Zuweisung mit aktivierter Festplattenverschlüsselung erstellt wird. Im Screenshot sehen Sie, dass:

  • Die Pod-ID lautet e1c80e74-7f6f-434f-bd79-c1e3772f6c5a im Namen der Pod-Manager-VM.
  • Der Name des Verschlüsselungsschlüssel-Tresors kve1c80e747f6f434fbd79c1 lautet. Dafür wurde dieser UUID kv vorangestellt, die Bindestriche wurden entfernt, und der Name wurde auf 24 Zeichen gekürzt.

Horizon Cloud on Microsoft Azure: Dieser Screenshot zeigt den Verschlüsselungsschlüssel-Tresor, der sich in der Ressourcengruppe der Pod-Manager-VM befindet.

Vorsicht: Löschen Sie keine Schlüsseltresore, die in der Ressourcengruppe der Pod-Manager-VM angezeigt werden. Die verschlüsselten VMs können nicht eingeschaltet werden, wenn der Verschlüsselungsschlüssel-Tresor gelöscht wird. Die Pod-Manager-VM kann nicht eingeschaltet werden, wenn der eigene Schlüsseltresor des Pods gelöscht wird.

Erstellen und Löschen von verschlüsselten VMs

Für jede verschlüsselte VM wird ein Verschlüsselungsschlüssel verwendet. Beim Erstellen einer VM-Instanz in einer verschlüsselten Farm oder VDI-Desktop-Zuweisung wird ein geheimer Schlüssel im Schlüsseltresor erstellt. Beim Löschen einer VM-Instanz aus einer verschlüsselten Farm oder VDI-Desktop-Zuweisung wird der geheime Schlüssel aus dem Schlüsseltresor entfernt.

Wenn Sie eine verschlüsselte Farm oder VDI-Desktop-Zuweisung mit der Horizon Cloud-Verwaltungskonsole löschen, werden die zugehörigen geheimen Schlüssel aus dem Schlüsseltresor gelöscht. Wenn Sie den Pod selbst löschen, wird der Schlüsseltresor für die verschlüsselten VMs ebenfalls gelöscht.

Hinweis: Die Erstellung einer verschlüsselten Farm-VM oder Desktop-VM dauert ungefähr doppelt so lang wie die Erstellung einer nicht verschlüsselten VM. Demzufolge dauert das Erstellen einer Farm oder VDI-Desktop-Zuweisung mit aktivierter Festplattenverschlüsselung rund doppelt so lange wie das Erstellen einer Farm oder VDI-Desktop-Zuweisung ohne aktivierte Festplattenverschlüsselung.

Wenn eine Image-VM über eine Datenfestplatte verfügt, ist außerdem zusätzliche Zeit erforderlich, um eine verschlüsselte Farm-VM oder Desktop-VM basierend auf dieser Image-VM zu erstellen. Generell sind Uhrzeiten für die Festplattenverschlüsselung von VMs mit Datenfestplatten, auf denen Windows Server-Betriebssysteme ausgeführt werden, kürzer als für Windows 10-VMs mit Datenfestplatten. Die längsten Zeiten treten bei Windows 10-Betriebssystemen mit größeren Daten-Festplatten im Terabyte-Bereich auf.

Beim Planen der Energieverwaltung für Farmen und VDI-Desktop-Zuweisungen, die viele verschlüsselte VMs enthalten

Der Zeitraum vom Einschalten einer verschlüsselten VM bis zu dem Punkt, ab dem sie für Endbenutzerverbindungen bereit ist, ist länger, als bei nicht verschlüsselten VMs. Wenn die VM nur wenige Kerne hat, z. B. Größe A1, kann dies rund 12 Minuten dauern. Mit mehr Kernen verkürzt sich die Zeit auf rund 6 Minuten.

Wenn Sie die Planungsfunktion des Systems für die Energieverwaltung nutzen, um eine große Anzahl von VMs für eine prognostizierte Anzahl von Endbenutzern einzuschalten, müssen Sie, wenn die virtuellen Maschinen verschlüsselt sind, mehr Zeit einplanen, die benötigt wird, bis diese VMs bereit sind. Das System schaltet maximal 125 VMs gleichzeitig ein. Wenn die VDI-Desktop-Zuweisung oder Farm mehr als 125 VMs besitzt und laut Zeitplan für die Energieverwaltung das Einschalten auf der Zuweisung oder Farm um 08:00 Uhr erfolgt, beginnt das System um 08:00 Uhr, die virtuellen Maschinen in Stapeln von jeweils 125 einzuschalten. Wenn die virtuellen Maschinen die kleinste A1-Größe besitzen und verschlüsselt sind, ergibt sich für diese Kombination von 125 VMs pro Stapel und 12 Minuten für das Bereitstellen der Verbindungen eine ungefähre Zeitachse, die wie folgt aussieht:
  • Um 08:12 Uhr sind 125 VMs bereit
  • Um 08:24 Uhr sind 250 VMs bereit
  • Um 08:36 Uhr sind 375 VMs bereit

Wenn Ihre VDI-Desktop-Zuweisung daher 2.000 verschlüsselte VMs der kleinen A1-Größe hat, dann dauert es bis zur Betriebsbereitschaft aller VMs ungefähr 3,5 Stunden. Wenn Ihr Ziel darin besteht, dass alle verschlüsselten A1-Desktops um 8 Uhr bereit sein sollen, sollten Sie den Zeitplan für die Energieverwaltung um 4:30 Uhr starten.

Bei größeren VMs halbiert sich der Zeitaufwand bis zur Betriebsbereitschaft. Daher dauert es bis zur Betriebsbereitschaft einer größeren verschlüsselten VDI-Desktop-Zuweisung (z. B. A4) mit 2.000 verschlüsselten VMs keine 3,5 Stunden, sondern 75 Minuten, bis alle VMs zu 100 % bereit sind.

Außerdem ist eine verschlüsselte VDI-Desktop-Zuweisung mit weniger Desktops schneller betriebsbereit, als bei einer großen Poolgröße von 2.000. Bei einem Pool mit 500 verschlüsselten Desktops der kleinen Größe A1 dauert es rund 48 Minuten, bis der gesamte Pool vollständig betriebsbereit ist. 500 VMs geteilt durch 125 pro Stapel ergibt 4 Stapel, die dann mit 12 Minuten pro Stapel multipliziert werden und 48 Minuten ergeben.