默认情况下,Azure 中存储的所有数据都使用Microsoft管理的密钥进行静态加密。 可以使用 Azure Key Vault 来控制用于加密存储在 Azure 托管 Lustre 文件系统中的数据的密钥的所有权。 本文介绍如何使用客户管理的密钥通过 Managed Lustre 进行数据加密。
虚拟机主机加密 可保护托管 Lustre 文件系统中托管磁盘上的所有信息。 即使在高安全性场景中,为托管的 Lustre 磁盘添加客户管理的密钥以提升安全性级别,您的数据也是加密的。 有关详细信息,请参阅 Azure 磁盘存储的服务器端加密。
为托管 Lustre 启用客户管理的密钥加密的概述步骤:
- 设置密钥保管库 以存储密钥。
- 创建可以访问密钥保管库的托管标识。
- 创建文件系统时, 请选择客户管理的密钥加密 ,并指定要使用的密钥保管库、密钥和托管标识。
后续部分更详细地介绍了这些步骤。
创建文件系统后,无法从客户管理的密钥切换到Microsoft管理的密钥。
先决条件
可以使用现有的密钥保管库和密钥,也可以创建新的密钥保管库和密钥以用于 Managed Lustre。 请参阅以下必需设置,确保正确配置密钥保管库和密钥。
创建密钥保管库和密钥
在 Azure 中设置密钥保管库以存储加密密钥。 若要使用 Managed Lustre,密钥保管库和密钥必须满足下一节中所述的要求。
Key Vault 属性
若要将密钥保管库与托管 Lustre 配合使用,需要一些设置。 可以根据需要配置其他选项。
基本设置:
- 订阅:使用用于Managed Lustre群集的同一订阅。
- 区域:密钥保管库必须与托管 Lustre 群集位于同一区域。
- 定价层:标准层足以用于 Managed Lustre。
- 软删除:如果您未在密钥保管库中配置软删除,托管 Lustre 将默认启用软删除。
- 清除保护:启用清除保护。
访问策略设置:
- 访问配置:设置为 Azure 基于角色的访问控制(Azure RBAC)。
网络设置:
- 公共访问:必须启用。
- 允许访问:选择 所有网络。 若要限制访问,可以选择 “所选网络”。 如果选择“所选网络”,则必须在“例外”部分中启用“允许受信任的Microsoft服务绕过此防火墙选项”。
注意
如果使用现有的密钥保管库,请查看“网络设置”部分,验证“ 允许从中访问 ”是否设置为 “允许来自所有网络的公共访问”。 还可以进行其他更改。
关键属性
- 密钥类型:RSA
- RSA 密钥大小:2048
- 已启用:是
密钥保管库访问权限:
- 创建托管 Lustre 系统的用户必须具有与 Key Vault 参与者角色等效的权限。 必须具有相同的权限才能设置和管理 Azure Key Vault。 有关详细信息,请参阅保护对 Key Vault 的访问。
创建用户分配的托管标识
若要访问密钥保管库,托管 Lustre 文件系统需要用户分配的托管标识。
用户分配的托管标识是一个独立的标识凭据,当用户通过 Microsoft Entra ID 访问 Azure 服务时,该凭据将取代用户标识。 与其他用户标识一样,可以分配托管标识的角色和权限。 详细了解托管标识。
在创建文件系统之前,必须创建此标识并授予对密钥保管库的标识访问权限。
有关详细信息,请参阅创建用户分配的托管标识。
使用客户管理的加密密钥创建托管 Lustre 文件系统
创建托管 Lustre 文件系统时,在“磁盘加密密钥类型”下的“磁盘加密密钥”选项卡上,选择“客户托管”。 然后,其他设置会显示在 “客户密钥”设置 和 “托管标识”下。
只有在创建文件系统时,才能设置客户管理的密钥。 无法更改用于现有托管 Lustre 文件系统的加密密钥类型。
客户密钥设置
在 “客户密钥”设置中,选择链接以选择密钥保管库、密钥和版本设置。 还可以在此窗格中创建新的密钥保管库。 如果创建新的密钥保管库,请务必授予托管标识对密钥保管库的访问权限。
如果密钥保管库未显示在列表中,请检查以下要求:
- 文件系统是否与密钥保管库位于同一订阅中?
- 文件系统是否与密钥保管库位于同一区域?
- Azure 门户与密钥保管库之间是否存在网络连接?
选择保管库后,从可用选项中选择单个密钥,或创建新密钥。 密钥必须是 2,048 位 RSA 密钥。
指定所选密钥的版本。 有关版本控制的详细信息,请参阅 Azure 密钥库 文档。
托管标识设置
在 托管标识中,选择链接。 然后选择托管 Lustre 文件系统用于密钥保管库访问的标识。
配置这些加密密钥设置后,选择“ 查看 + 创建 ”选项卡,然后完成文件系统的部署。