在 Microsoft Azure 的 Horizon Cloud Pod 中建立 RDSH 伺服器陣列或 VDI 桌面指派時,您可以決定是否啟用磁碟加密。為伺服器陣列或 VDI 桌面指派啟用磁碟加密時,系統會加密該伺服器陣列或 VDI 桌面指派中所有虛擬機器 (VM) 的所有磁碟。您會在建立伺服器陣列或 VDI 桌面指派時指定磁碟加密,而在建立伺服器陣列或指派後無法變更加密狀態。

建立伺服器陣列和 VDI 桌面指派的工作流程包括用於啟用磁碟加密的切換。如需那些工作流程的詳細資料,請參閱:

備註:
  • 在此版本中,浮動 VDI 指派若使用具有連結資料磁碟的映像虛擬機器,則不支援對該指派使用磁碟加密。

磁碟加密的效能影響

磁碟加密功能是由 Microsoft Azure 雲端的 Azure 磁碟加密 (ADE) 功能提供。ADE 會使用 Microsoft Windows 的 BitLocker 功能來為作業系統和 Microsoft Azure 虛擬機器中的資料磁碟提供加密。一般而言,BitLocker 會導致單一位數的效能額外負荷,因此加密的虛擬機器可能會有顯著的效能影響。虛擬機器加密的缺點是可能會增加資料、網路或計算資源使用量,而這會導致額外的授權或訂閱成本。虛擬機器不會單純地從磁碟讀取資料並將資料寫入至未加密的磁碟,而是必須解密資料才能進行讀取,然後加密資料以將資料寫入回加密的磁碟。在此程序中,金鑰會從 Azure 中的金鑰保存庫讀取,而這會增加網路使用量,且執行加密時會消耗 CPU 週期。請參閱 Microsoft 說明文件中的 Azure 磁碟加密常見問題集BitLocker 部署和管理常見問題集

加密金鑰保存庫

用於網繭已加密伺服器陣列和 VDI 桌面指派的金鑰保存庫會在包含網繭的管理員虛擬機器的相同 Microsoft Azure 資源群組中建立。單一金鑰保存庫將用於所有網繭的加密伺服器陣列和桌面指派。由於建立相關聯的伺服器陣列或 VDI 桌面指派而建立第一部加密的虛擬機器時,系統會建立此加密金鑰保存庫。在建立第一個加密的虛擬機器之前,您將不會在網繭的資源群組中看到此金鑰保存庫。

系統會使用 UUID 格式的網繭 ID 來產生金鑰保存庫名稱。為了符合 Microsoft Azure 命名規則,系統會依下列方式設定金鑰保存庫名稱:

  1. 取得網繭的 ID。
  2. 附加字母 kv 到開頭。
  3. 移除任何非英數字元。
  4. 必要時截斷字元,使其將最大長度保持為 24。

下列螢幕擷取畫面說明當網繭中已有加密的伺服器陣列時,網繭管理員虛擬機器的資源群組中的項目。螢幕擷取畫面顯示兩個金鑰保存庫:其中一個為網繭本身的金鑰保存庫 (在網繭部署期間建立),而另一個是由於建立已啟用磁碟加密的伺服器陣列或 VDI 桌面指派而建立第一部加密虛擬機器時建立的金鑰保存庫。在螢幕擷取畫面中,您可以看到:

  • 在網繭的管理員虛擬機器的名稱中,網繭的 ID 為 e1c80e74-7f6f-434f-bd79-c1e3772f6c5a
  • 加密金鑰保存庫的名稱為 kve1c80e747f6f434fbd79c1,決定方式是取得該 UUID、新增 kv 至開頭、移除連字號以及將名稱截斷為 24 個字元。

Horizon Cloud on Microsoft Azure:此螢幕擷取畫面說明位於網繭的管理員虛擬機器資源群組中的加密金鑰保存庫。

注意: 請勿刪除您在網繭管理員虛擬機器的資源群組中看到的任何金鑰保存庫。如果刪除加密金鑰保存庫,將無法開啟加密虛擬機器的電源。如果刪除網繭本身的金鑰保存庫,將無法開啟網繭的管理員虛擬機器的電源。

建立和刪除加密的虛擬機器

加密密碼會用於每個加密的虛擬機器。在加密伺服器陣列或 VDI 桌面指派中建立虛擬機器執行個體時,系統會在金鑰保存庫中建立密碼。從加密的伺服器陣列或 VDI 桌面指派中刪除虛擬機器執行個體時,系統會從金鑰保存庫中移除該密碼。

當您使用 Horizon Cloud 管理主控台來刪除加密的伺服器陣列或 VDI 桌面指派時,系統會從金鑰保存庫刪除相關聯的密碼。刪除網繭本身時,也會刪除加密虛擬機器的金鑰保存庫。

備註: 建立已加密的伺服器陣列虛擬機器或桌面虛擬機器時,所需時間約為建立非加密虛擬機器時的兩倍。因此,完成建立已啟用磁碟加密的伺服器陣列或 VDI 桌面指派的端對端時間,大約是建立不啟用磁碟加密的伺服器陣列或 VDI 桌面指派所需時間的兩倍。

此外,當映像虛擬機器具有資料磁碟時,要根據該映像虛擬機器建立加密的伺服器陣列虛擬機器或桌面虛擬機器,需要較多時間。一般而言,虛擬機器若具有執行 Windows Server 作業系統的資料磁碟,其磁碟加密時間將會比具有資料磁碟的 Windows 10 虛擬機器更短。具有 TB 大小的較大型資料磁碟的 Windows 10 作業系統所需的時間最長。

為具有大量已加密虛擬機器的伺服器陣列和 VDI 桌面指派排程電源管理時

開啟已加密虛擬機器電源並讓虛擬機器準備就緒以接受使用者連線的時間,超過非加密虛擬機器所需的時間。當虛擬機器具有少量核心 (例如 A1 大小) 時,可能需要大約 12 分鐘的時間。核心數量較大時,時間則會較短,大約為 6 分鐘。

當您使用系統的電源管理排程功能讓大量虛擬機器按時間開啟電源以滿足預測的使用者需求時,如果虛擬機器已加密,則必須考慮需要額外時間才能讓那些虛擬機器準備就緒。系統最多可同時開啟 125 部虛擬機器的電源。如果 VDI 桌面指派或伺服器陣列具有超過 125 部虛擬機器,當電源管理排程指定在上午 8:00 開啟指派或伺服器陣列的電源時,系統會在上午 8:00 以一次 125 部的批次開始開啟虛擬機器的電源。當虛擬機器為最小的 A1 大小且已加密時,根據每個批次中的 125 部虛擬機器與準備連線所需的 12 分鐘,此組合呈現的大約時間表看起來如下:
  • 上午 8:12,125 部虛擬機器準備就緒
  • 上午 08:24,250 部虛擬機器準備就緒
  • 上午 08:36,375 部虛擬機器準備就緒

因此,如果您的 VDI 桌面指派有 2,000 部小型 A1 大小的加密虛擬機器,若要讓它們全部開啟電源且準備就緒可供使用者連線,則所需的時間大約為 3.5 小時。如果您的目標是在上午 8:00 時讓那些加密的 A1 大小桌面全部準備就緒,則應考慮將電源管理排程設定於上午 4:30 開始。

對於較大型的虛擬機器,要讓它準備就緒的時間大約為一半。因此針對較大型如 A4 大小的 2,000 部加密虛擬機器,若要讓加密的 VDI 桌面指派全部準備就緒以接受使用者連線,則大約需要 75 分鐘的時間,而非 3.5 小時。

同樣地,具有較少桌面的加密 VDI 桌面指派便可比大型 2,000 個集區大小更快準備就緒。針對小型 A1 大小的 500 部加密桌面集區,整個集區將可在大約 48 分鐘內準備就緒。500 部虛擬機器除以每批次 125 部可得出 4 個批次,然後乘以每個批次 12 分鐘則得出 48。