磁碟加密的效能影響

磁碟加密功能是由 Microsoft Azure 雲端的 Azure 磁碟加密 (ADE) 功能提供。ADE 會使用 Microsoft Windows 的 BitLocker 功能來為作業系統和 Microsoft Azure 虛擬機器中的資料磁碟提供加密。一般而言，BitLocker 會導致單一位數的效能額外負荷，因此加密的虛擬機器可能會有顯著的效能影響。虛擬機器加密的缺點是可能會增加資料、網路或計算資源使用量，而這會導致額外的授權或訂閱成本。虛擬機器不會單純地從磁碟讀取資料並將資料寫入至未加密的磁碟，而是必須解密資料才能進行讀取，然後加密資料以將資料寫入回加密的磁碟。在此程序中，金鑰會從 Azure 中的金鑰保存庫讀取，而這會增加網路使用量，且執行加密時會消耗 CPU 週期。請參閱 Microsoft 說明文件中的 Azure 磁碟加密常見問題集和 BitLocker 部署和管理常見問題集。

加密金鑰保存庫

用於網繭已加密伺服器陣列和 VDI 桌面指派的金鑰保存庫會在包含網繭的管理員虛擬機器的相同 Microsoft Azure 資源群組中建立。單一金鑰保存庫將用於所有網繭的加密伺服器陣列和桌面指派。由於建立相關聯的伺服器陣列或 VDI 桌面指派而建立第一部加密的虛擬機器時，系統會建立此加密金鑰保存庫。在建立第一個加密的虛擬機器之前，您將不會在網繭的資源群組中看到此金鑰保存庫。

系統會使用 UUID 格式的網繭 ID 來產生金鑰保存庫名稱。為了符合 Microsoft Azure 命名規則，系統會依下列方式設定金鑰保存庫名稱：

1. 取得網繭的 ID。
2. 附加字母 kv 到開頭。
3. 移除任何非英數字元。
4. 必要時截斷字元，使其將最大長度保持為 24。

下列螢幕擷取畫面說明當網繭中已有加密的伺服器陣列時，網繭管理員虛擬機器的資源群組中的項目。螢幕擷取畫面顯示兩個金鑰保存庫：其中一個為網繭本身的金鑰保存庫 (在網繭部署期間建立)，而另一個是由於建立已啟用磁碟加密的伺服器陣列或 VDI 桌面指派而建立第一部加密虛擬機器時建立的金鑰保存庫。在螢幕擷取畫面中，您可以看到：

• 在網繭的管理員虛擬機器的名稱中，網繭的 ID 為 e1c80e74-7f6f-434f-bd79-c1e3772f6c5a。
• 加密金鑰保存庫的名稱為 kve1c80e747f6f434fbd79c1，決定方式是取得該 UUID、新增 kv 至開頭、移除連字號以及將名稱截斷為 24 個字元。

建立和刪除加密的虛擬機器

加密密碼會用於每個加密的虛擬機器。在加密伺服器陣列或 VDI 桌面指派中建立虛擬機器執行個體時，系統會在金鑰保存庫中建立密碼。從加密的伺服器陣列或 VDI 桌面指派中刪除虛擬機器執行個體時，系統會從金鑰保存庫中移除該密碼。

當您使用 Horizon Cloud 管理主控台來刪除加密的伺服器陣列或 VDI 桌面指派時，系統會從金鑰保存庫刪除相關聯的密碼。刪除網繭本身時，也會刪除加密虛擬機器的金鑰保存庫。

為具有大量已加密虛擬機器的伺服器陣列和 VDI 桌面指派排程電源管理時

開啟已加密虛擬機器電源並讓虛擬機器準備就緒以接受使用者連線的時間，超過非加密虛擬機器所需的時間。當虛擬機器具有少量核心 (例如 A1 大小) 時，可能需要大約 12 分鐘的時間。核心數量較大時，時間則會較短，大約為 6 分鐘。

因此，如果您的 VDI 桌面指派有 2,000 部小型 A1 大小的加密虛擬機器，若要讓它們全部開啟電源且準備就緒可供使用者連線，則所需的時間大約為 3.5 小時。如果您的目標是在上午 8:00 時讓那些加密的 A1 大小桌面全部準備就緒，則應考慮將電源管理排程設定於上午 4:30 開始。

對於較大型的虛擬機器，要讓它準備就緒的時間大約為一半。因此針對較大型如 A4 大小的 2,000 部加密虛擬機器，若要讓加密的 VDI 桌面指派全部準備就緒以接受使用者連線，則大約需要 75 分鐘的時間，而非 3.5 小時。

同樣地，具有較少桌面的加密 VDI 桌面指派便可比大型 2,000 個集區大小更快準備就緒。針對小型 A1 大小的 500 部加密桌面集區，整個集區將可在大約 48 分鐘內準備就緒。500 部虛擬機器除以每批次 125 部可得出 4 個批次，然後乘以每個批次 12 分鐘則得出 48。