Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Azure: Basiswissen für Administratoren

Disks und Verschlüsselung

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Disks in Azure basieren in Testszenarien auf Standard Disk Storage (HDD), in produktiven Szenarien auf Premium Storage (SSD). Primär spielen hier Datendurchsatz und Latenz eine Rolle. Im Falle hoher Skalierungsanforderungen können statt herkömmlicher Disks verwaltete Datenträger (Managed Disks) verwendet werden. Zusätzlich können Disks mit einem eigenen Schlüssel verschlüsselt werden.
09:38

Transkript

Nachdem eine neue VM aus der Retorte heraus geboren worden ist, gehört es zu den Standardaufgaben diese um zusätzliche Disks, beziehungsweise Datenträger zu erweitern. Weil, wir haben standardmäßig nur eine C-Partition da möchten wir nicht sämtliche Daten ablegen, was Log-Files oder Applikationsdaten anbetrifft, und wir haben noch ein Temporary-Storage, wo explizit darauf hingewiesen wird, dass alles was in dieser Partition landet, beim nächsten Neustart nicht mehr vorhanden sein wird. Dementsprechend müssen wir hier eine weitere Disk erzeugen. Das machen wir über einen Klick auf Datenträger hinzufügen. Erstellen wir einen neuen Datenträger, den nennen wir: Disk 1. Das passiert in der gleichen Ressourcengruppe. Und jetzt können wir uns entscheiden zwischen eine HDD Platte und einer SSD Platte. Natürlich hat die SSD Platte deutlich besser Durchsatzwerte, aber ich nehme jetzt auf Grund der Tatsache, dass es sich um eine Testumgebung handelt, nur eine HDD Platte. Der Herkunftstyp ist ein leerer Datenträger. Ich könnte mich auch auf einen bereits bestehenden Blob-Storage beziehen oder auf eine sogenannte Momentaufnahme, gemeint damit ist natürlich ein Snapshot. Abteilung, was die deutsche Sprache aus der IT macht. Wir nehmen den leeren Datenträger und erstellen die Disk. By the way, ich habe hier eine sehr große Größe angegeben, nämlich eine Größe von 1023 GB. Da werden Sie denken: "Oh mein Gott, das wird richtig Geld kosten" Nein, wird es nicht, weil es in dem Fall nur eine Art Quota ist. Bezahlen tue ich für die wirkliche Storage-Inanspruchnahme der Disk, sprich, wenn ich nur 10 MB auf dieser Disk liegen habe, dann zahle ich nur für 10 MB und keinen Cent mehr. Wir müssen für die Bereitstellung einen kleinen Moment warten. Deswegen jetzt ein kleiner Zeitsprung. Und hier sind wir jetzt wieder auf der Übersichtsseite unserer VM Nummer 1. Wir gehen jetzt nochmal auf die Datenträger und Hoppla! Ist was schief gelaufen? Nicht dass ich wüsste. Aber wir müssen daran denken, dass wir die Disk, die wir gerade erzeugt haben, auch an die VM anhängen. Das heißt, in dem Fall hängen wir die Disk an unsere VM an. Und können, wenn wir das möchten, noch eine Host Zwischenspeicherung aktivieren. Was wir in dem Fall aber nicht brauchen. Diese Anpassung speichern wir ab. Und werfen dann als nächstes einen Blick in die VM hinein. In unserer VM öffnen wir jetzt das Computer Management. Schauen nach den Disks. Und hier sehen wir nun eine nicht allokierte Disk, das bedeutet, wir machen jetzt Folgendes: Schauen uns mal die Eigenschaften an, initialisieren die Disk, und jetzt können wir ein neues Simple Volume erstellen. Weisen einen Laufwerksbuchstaben zu, machen Quick-Formatierung. Jetzt müssen wir ein bisschen Geduld haben. Jetzt scheint er durch zu sein. Das sieht gut aus, das heißt, wir haben hier unser neues Volume. Und wir versuchen mal ein paar Testdaten darauf abzulegen. das mache ich jetzt mal per Copy-Paste. Wunderbar, das funktioniert und hier haben wir unser neues Volume. Jetzt ist es aber so, dass diese Office Dokumente, die wir in dem Volume hochgeladen haben, extrem vertraulich sind und dementsprechend möchten wir gerne, dass dieser Datenträger verschlüsselt wird. Was aktuell noch nicht der Fall ist. Das machen wir folgendermaßen: Wir wechseln ins Azure Activ Directory und erstellen eine neue sogenannte App-Registrierung. Die Instanz davon nenne ich: Disk Encrypt 1. Diese ist vom Typ Web API. Und der Anmelde-URL (Tippen) kann im Grunde irgendwie heißen, (Tippen) denn der wird gar nicht effektiv benutzt, deswegen nenne ich den: LinkedIn.com Und erstelle die App-Registrierung. Hier haben wir die Dienstinstanz und nun müssen wir uns hier etwas umschauen. Wir brauchen jetzt zwei Informationen, einmal die sogenannte Anwendungs-ID, die lege ich mir einmal auf meinen zweiten Bildschirm auf einem Notepad ab und dann brauchen wir noch einen Schlüssel, den wir generieren, den nenne ich Key 1, der soll ein Jahr lang gültig sein und der wird nun generiert. So, und das ist jetzt das erste und einzige Mal, dass ich diesen Key leibhaftig zu Gesicht bekommen werde. Auch den speichere ich mir in mein Notepad weg, denn wenn ich beim nächsten Mal diesen Dialog aufmache, ist der Wert ausgeblendet und das bleibt auch so. Wenn ich das jetzt verschlafen habe, diesen Key wegzuspeichern, muss ich den im gezeigten Vorgang wiederholen. Da heißt, wir sind jetzt hier in der registrierten App soweit fertig und können die Arbeit fortsetzen. Als nächste benötigen wir einen sogenannten Key vault. Sprich, einen Tresor, wo wir diesen Schlüssel ablegen. (Tippen) Den nenne ich in dem Fall Key vault 1, der wird bereits verwendet, (Tippen) Key vault LinkedIn ist noch frei. Hervorragend! Ich lege das Ganze in meine Ressourcengruppe Nummer 6, das ist die gleiche Ressourcengruppe, wo auch meine VM liegt, der Standard ist in Ordnung, ich greife auf die Zugriffsrichtlinien zu und melde eine Prinzipal an und zwar ist das genau die App-Registrierung, die wir vorhin erstellt haben. Wenn ich mich recht entsinne, dann hieß die Disk Encrypt 1. Jetzt Konzentration, müssen wir zwei Berechtigungen festlegen. Einmal müssen wir hier unter Schlüsselberechtigungen Schlüssel packen zuweisen und Berechtigung für das Secret, beziehungsweise für das Geheimnis. Die Verwaltungsvorgänge für Geheimnisse auf Festlegen stellen, das sind die Berechtigungen, die wir hier hinterlegen müssen. Wir klicken Okay, wir klicken nochmal auf Okay. Und nun müssen wir anschließend einmal zugreifen auf die: erweiterte Zugriffsrichtlinie und wir setzen jetzt das Häkchen bei: Zugriff auf Azure Disk Encryption für Volume-Verschlüsselung aktivieren, und erstellen den Schlüsseltresor. So die Bereitstellung läuft. Da wir jetzt mit der Einrichtung fertig sind, können wir nun mit der eigentlichen Verschlüsselung beginnen. Das machen wir auf Basis einer der Azure Quickstart Templates. Damit geht das nämlich am einfachsten. In dem Fall beziehen Sie sich einfach auf den URL, beziehungsweise googeln: "Enable encryption on a running Windows VM". und dann kommen Sie automatisch auf diese Quickstart Template und können dieses direkt nach Azure deployen. Jetzt müssen wir nichts weiter tun, als dieses Formular auszufüllen. Wichtig ist, dass wir jetzt die Ressourcengruppe erwischen, in der sich auch die VM befindet. Dabei habe ich die wesentlichen Einstellungen bereits ausgefüllt, nämlich in dem Fall den VM-Name, die Client ID, den Client Secret, den Key vault Name, jetzt fehlt nur noch der Key Vault Resourcegroup Name, in dem Fall ist das ebenfalls: Ressourcengruppe 6. Und alle weiteren Parameter sind optional. Dementsprechend können wir, nachdem wir jetzt natürlich uns die Geschäftsbedingungen angeschaut haben, auf Zustimmen klicken. Hoppla, ja, ohne das Häkchen geht es natürlich nicht. Zweiter Versuch. Jetzt läuft die Bereitstellung. Jetzt müssen wir tatsächlich ein wenig Geduld haben, denn jetzt muss die Disk-Verschlüsselung grundsätzlich durchgeführt werden und das kann einige Minuten in Anspruch nehmen. Das heißt, ich melde mich nach einem Zeitsprung wieder bei Ihnen zurück. Nach ungefähr 5 Minuten war die Bereitstellung nun erfolgreich und wir können uns die VM erneut anschauen. Wir klicken auf Datenträger und sehen, dass bei unseren beiden Datenträgern nun die Verschlüsselung aktiviert ist. Das ist das Ende dieser Demo. Ich möchte dazu noch etwas grundsätzliches sagen, das erweckt jetzt natürlich den Eindruck, dass man Verschlüsselungen manuell aktivieren muss, das ist grundsätzlich nicht der Fall. Ich meine damit, dass nichts unverschlüsselt in Azure gespeichert wird beziehungsweise unverschlüsselt herumliegt, das ist definitiv nicht der Fall. Das was Sie jetzt gesehen haben, anhand dieser Disk Encryption ist, ein zusätzlicher Mechanismus, um Disks mit einem eigenen Schlüssel zu versehen und zusätzlich abzusichern. Dieses Video hat jetzt also gezeigt, welche Möglichkeiten es gibt, neue Disks notwendigerweise an eine VM anzuhängen und wie man diese verschlüsselt.

Azure: Basiswissen für Administratoren

Lernen Sie das Wichtigste, was Sie als IT-Adminstrator über die Möglichkeiten von Azure wissen müssen.

4 Std. 2 min (31 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:07.09.2017

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!