このセクションでは、SE のディスク暗号化オプションを有効にする手順について説明します。

制限事項:

  • サイズが 2,080 のソフトおよびハード RSA キーのみがサポートされます。詳細については、「Azure キー管理表」を参照してください。

  • ユーザー管理のキーに関連するリソース(Azure Key Vault、ディスク暗号化セット、仮想マシン、ディスク、スナップショット)は、すべて同じサブスクリプションおよびリージョン内にある必要があります。

  • ユーザー管理のキーで暗号化されたディスク、スナップショット、およびイメージは、別のサブスクリプションに移動できません。

Microsoft Azure の構成

Key Vault を構成し、Azure Key Vault とディスク暗号化セットを設定するには、Azure Disk Storage のサーバ側暗号化の手順 1 ~ 4 の手順に従って操作してください。

ディスク暗号化のための NSX Advanced Load Balancer の構成

NSX Advanced Load Balancer ユーザー インターフェイスで [ディスク暗号化セット] オプションを使用して、DES ID を選択することができます。

[インフラストラクチャ] > [クラウド] > [場所/ネットワーク] に移動して、以下のように、ドロップダウン メニューを使用して DES ID を選択します。

図 1. サービス エンジンのディスク暗号化

CLI を使用したディスク暗号化の構成

サーバ側で管理されるディスク暗号化にユーザー管理のキーを使用すると、コントローラで暗号化 SE イメージを作成し、OS および Azure 管理対象ディスクのみが暗号化される SE を作成することができます。

クラウド構成モードで使用可能な des_id オプションは、Azure クラウド構成の入力として DES リソース ID を使用します。

[admin:controller]: > configure cloud Default-Cloud
[admin:controller]: cloud> azure_configuration
[admin:controller]: cloud:azure_configuration> des_id /subscriptions/0eebbbed-14c0-462e-99e0-daaaaaaaaa9/resourceGroups/avi-resource-group/providers/Microsoft.Compute/diskEncryptionSets/DESavi
[admin:controller]: cloud:azure_configuration> save
[admin:controller]: cloud> save
注:

  • SE イメージ、暗号化された OS を含む SE、Azure 管理対象ディスクは、同じ DES ID を使用します。

  • SE 仮想マシン間またはイメージと SE 仮想マシン間で異なる DES ID はサポートされません。