Vytvoření vlastní image pro důvěrné virtuální počítače Azure
Platí pro: ✔️ Virtuální počítače s Linuxem
V tomto postupu se dozvíte, jak pomocí rozhraní příkazového řádku Azure (Azure CLI) vytvořit vlastní image pro váš důvěrný virtuální počítač (důvěrný virtuální počítač) v Azure. Azure CLI slouží k vytváření a správě prostředků Azure prostřednictvím příkazového řádku nebo skriptů.
Vytvoření vlastní image umožňuje předem nakonfigurovat důvěrný virtuální počítač pomocí konkrétních softwarových, nastavení a bezpečnostních opatření, která splňují vaše požadavky. Pokud chcete přenést image Ubuntu, která není důvěrná, můžete postupovat podle následujících kroků a zjistit, jaké jsou minimální požadavky na vaši image.
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.
Spuštění služby Azure Cloud Shell
Azure Cloud Shell je bezplatné interaktivní prostředí, které můžete použít ke spuštění kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem.
Pokud chcete otevřít Cloud Shell, vyberte položku Vyzkoušet v pravém horním rohu bloku kódu. Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/bash. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte ho do Cloud Shellu a stisknutím klávesy Enter ho spusťte.
Pokud dáváte přednost místní instalaci a používání rozhraní příkazového řádku, musíte mít Azure CLI verze 2.0.30 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.
Vytvoření skupiny zdrojů
Vytvořte skupinu prostředků pomocí příkazu az group create. Skupina prostředků Azure je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.
Poznámka:
Důvěrné virtuální počítače nejsou dostupné ve všech umístěních. V aktuálně podporovaných umístěních se podívejte, které produkty virtuálních počítačů jsou dostupné v jednotlivých oblastech Azure.
az group create --name $resourceGroupName --location eastus
Vytvoření vlastní image pro důvěrné virtuální počítače Azure
Ze seznamu podpora Azure imagí volby vytvořte virtuální počítač s imagemi Ubuntu.
Ujistěte se, že verze jádra je minimálně 5.15.0-1037-azure. Po připojení k virtuálnímu počítači můžete použít "uname -r" a zkontrolovat verzi jádra. Tady můžete přidat jakékoli změny obrázku podle potřeby.
Uvolněte virtuální počítač.
az vm deallocate --name $vmname --resource-group $resourceGroupNameVytvořte sdílený přístupový token (token SAS) pro disk s operačním systémem a uložte ho do proměnné. Všimněte si, že tento disk s operačním systémem nemusí být ve stejné skupině prostředků jako důvěrný virtuální počítač.
disk_name=$(az vm show --name $vmname --resource-group $resourceGroupName | jq -r .storageProfile.osDisk.name) disk_url=$(az disk grant-access --duration-in-seconds 3600 --name $disk_name --resource-group $resourceGroupName | jq -r .accessSas)
Vytvoření účtu úložiště pro uložení exportovaného disku
- Vytvořte si účet úložiště.
az storage account create --resource-group ${resourceGroupName} --name ${storageAccountName} --location $region --sku "Standard_LRS" - Vytvořte kontejner v rámci účtu úložiště.
az storage container create --name $storageContainerName --account-name $storageAccountName --resource-group $resourceGroupName - Vygenerujte sdílený přístupový token pro čtení (token SAS) kontejneru úložiště a uložte ho do proměnné.
container_sas=$(az storage container generate-sas --name $storageContainerName --account-name $storageAccountName --auth-mode key --expiry 2024-01-01 --https-only --permissions dlrw -o tsv) - Pomocí příkazu azcopy zkopírujte disk s operačním systémem do kontejneru úložiště.
blob_url="https://${storageAccountName}.blob.core.windows.net/$storageContainerName/$referenceVHD" azcopy copy "$disk_url" "${blob_url}?${container_sas}"
Vytvoření důvěrné podporované image
- Vytvořte sdílenou galerii imagí.
az sig create --resource-group $resourceGroupName --gallery-name $galleryName - Vytvoření důvěrného virtuálního počítače s definicí sdílené galerie imagí (SIG) Nastavte nové názvy pro definici obrázku galerie, vydavatele SIG a skladovou položku.
az sig image-definition create --resource-group $resourceGroupName --location $region --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --publisher $sigPublisherName --offer ubuntu --sku $sigSkuName --os-type Linux --os-state specialized --hyper-v-generation V2 --features SecurityType=ConfidentialVMSupported - Získejte ID účtu úložiště.
storageAccountId=$(az storage account show --name $storageAccountName --resource-group $resourceGroupName | jq -r .id) - Vytvořte verzi image SIG.
az sig image-version create --resource-group $resourceGroupName --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --os-vhd-storage-account $storageAccountId --os-vhd-uri $blob_url - Uložte ID verze image SIG vytvořené v předchozím kroku.
galleryImageId=$(az sig image-version show --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --gallery-name $galleryName --resource-group $resourceGroupName | jq -r .id)
Vytvoření důvěrného virtuálního počítače
- Vytvořte virtuální počítač pomocí příkazu az vm create. Další informace najdete v tématu zabezpečené spouštění a virtuální počítač vTPM. Další informace o šifrování disků najdete v tématu Důvěrné šifrování disku s operačním systémem. V současné době důvěrné virtuální počítače podporují velikosti virtuálních počítačů řady DC a EC series .
az vm create \ --resource-group $resourceGroupName \ --name $cvmname \ --size Standard_DC4as_v5 \ --enable-vtpm true \ --enable-secure-boot true \ --image $galleryImageId \ --public-ip-sku Standard \ --security-type ConfidentialVM \ --os-disk-security-encryption-type VMGuestStateOnly \ --specialized