Szybki start: wdrażanie poufnej maszyny wirtualnej z obrazu galerii obliczeń platformy Azure przy użyciu witryny Azure Portal
Poufne maszyny wirtualne platformy Azure obsługują tworzenie i udostępnianie obrazów niestandardowych przy użyciu usługi Azure Compute Gallery. Istnieją dwa typy obrazów, które można utworzyć na podstawie typów zabezpieczeń obrazu:
- Poufne obrazy maszyn wirtualnych (
ConfidentialVM
) to obrazy , na których źródło ma już informacje o stanie gościa maszyny wirtualnej. Ten typ obrazu może również mieć włączone szyfrowanie dysków poufnych. - Poufne obrazy maszyn wirtualnych obsługiwane (
ConfidentialVMSupported
) to obrazy , na których źródło nie ma informacji o stanie gościa maszyny wirtualnej, a szyfrowanie dysków poufnych nie jest włączone.
Poufne obrazy maszyn wirtualnych
W przypadku następujących źródeł obrazów typ zabezpieczeń definicji obrazu powinien być ustawiony na ConfidentialVM
wartość , ponieważ źródło obrazu zawiera już informacje o stanie gościa maszyny wirtualnej, a także może mieć włączone szyfrowanie dysków poufnych:
- Przechwytywanie poufnych maszyn wirtualnych
- Zarządzany dysk systemu operacyjnego
- Migawka dysku zarządzanego systemu operacyjnego
Wynikowa wersja obrazu może służyć tylko do tworzenia poufnych maszyn wirtualnych.
Tę wersję obrazu można replikować w regionie źródłowym, ale obecnie nie można jej replikować do innego regionu lub w różnych subskrypcjach.
Uwaga
Jeśli chcesz utworzyć obraz na podstawie poufnej maszyny wirtualnej z systemem Windows, która ma poufne szyfrowanie dysków obliczeniowych z włączonym kluczem zarządzanym przez platformę lub kluczem zarządzanym przez klienta, możesz utworzyć tylko wyspecjalizowany obraz. To ograniczenie istnieje, ponieważ narzędzie uogólniania (sysprep) może nie być w stanie uogólnić zaszyfrowanego źródła obrazu. To ograniczenie dotyczy dysku systemu operacyjnego, który jest niejawnie tworzony wraz z poufnej maszyny wirtualnej z systemem Windows oraz migawką utworzoną na podstawie tego dysku systemu operacyjnego.
Tworzenie obrazu typu poufnego maszyny wirtualnej przy użyciu funkcji przechwytywania poufnej maszyny wirtualnej
- Zaloguj się w witrynie Azure Portal.
- Przejdź do usługi Maszyny wirtualne.
- Otwórz poufną maszynę wirtualną, której chcesz użyć jako źródła obrazu.
- Jeśli chcesz utworzyć uogólniony obraz, przed utworzeniem obrazu usuń informacje specyficzne dla maszyny.
- Wybierz pozycję Przechwyć.
- Na stronie Tworzenie obrazu, która zostanie otwarta, utwórz definicję obrazu i wersję.
- Zezwalaj na udostępnianie obrazu galerii obliczeń platformy Azure jako wersji obrazu maszyny wirtualnej. Obrazy zarządzane nie są obsługiwane w przypadku poufnych maszyn wirtualnych.
- Utwórz nową galerię lub wybierz istniejącą galerię.
- W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane, w zależności od przypadku użycia.
- Utwórz definicję obrazu, podając nazwę, wydawcę, ofertę i jednostkę SKU. Upewnij się, że typ zabezpieczeń jest ustawiony na Poufne.
- Podaj numer wersji obrazu.
- W polu Replikacja zmodyfikuj liczbę replik, jeśli jest to wymagane.
- Wybierz pozycję Przejrzyj i utwórz.
- Po pomyślnym zakończeniu walidacji obrazu wybierz pozycję Utwórz , aby zakończyć tworzenie obrazu.
- Wybierz wersję obrazu, aby przejść bezpośrednio do zasobu. Możesz też przejść do wersji obrazu za pomocą definicji obrazu. Definicja obrazu pokazuje również typ szyfrowania, aby sprawdzić, czy obraz i źródłowa maszyna wirtualna są zgodne.
- Na stronie wersja obrazu wybierz pozycję Utwórz maszynę wirtualną.
Teraz możesz utworzyć maszynę wirtualną Poufne na podstawie obrazu niestandardowego.
Tworzenie obrazu typu poufnej maszyny wirtualnej na podstawie dysku zarządzanego lub migawki
- Zaloguj się w witrynie Azure Portal.
- Jeśli chcesz utworzyć uogólniony obraz, przed utworzeniem obrazu usuń informacje specyficzne dla maszyny dla dysku lub migawki.
- Wyszukaj i wybierz pozycję Wersje obrazów maszyny wirtualnej na pasku wyszukiwania.
- Wybierz pozycję Utwórz
- Na karcie Podstawowe informacje na stronie Tworzenie wersji obrazu maszyny wirtualnej:
- Wybierz subskrypcję platformy Azure.
- Wybierz istniejącą grupę zasobów lub utwórz nową grupę zasobów.
- Określ region platformy Azure.
- Wprowadź numer wersji obrazu.
- W polu Źródło wybierz pozycję Dyski i/lub Migawki.
- W przypadku dysku systemu operacyjnego wybierz dysk zarządzany lub migawkę dysku zarządzanego.
- W obszarze Docelowa galeria obliczeniowa platformy Azure wybierz lub utwórz galerię, w której chcesz udostępnić obraz.
- W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane w zależności od przypadku użycia.
- W obszarze Definicja obrazu docelowej maszyny wirtualnej wybierz pozycję Utwórz nową.
- W okienku Tworzenie definicji obrazu maszyny wirtualnej wprowadź nazwę definicji. Upewnij się, że typ zabezpieczeń to Poufne. Wprowadź informacje o wydawcy, ofercie i jednostce SKU. Następnie wybierz przycisk OK.
- Na karcie Szyfrowanie upewnij się, że typ poufnego szyfrowania obliczeniowego jest zgodny z typem dysku źródłowego lub migawki.
- Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć ustawienia.
- Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby zakończyć tworzenie wersji obrazu.
- Po pomyślnym utworzeniu wersji obrazu wybierz pozycję Utwórz maszynę wirtualną.
Teraz możesz utworzyć maszynę wirtualną Poufne na podstawie obrazu niestandardowego.
Poufne obrazy obsługiwane przez maszynę wirtualną
W przypadku następujących źródeł obrazów typ zabezpieczeń definicji obrazu powinien być ustawiony na ConfidentialVMSupported
wartość , ponieważ źródło obrazu nie ma informacji o stanie gościa maszyny wirtualnej i szyfrowanie dysków poufnych:
- Dysk VHD dysku systemu operacyjnego
- Obraz zarządzany gen2
Wynikowa wersja obrazu może służyć do tworzenia maszyn wirtualnych usługi Azure Gen2 lub poufnych maszyn wirtualnych.
Ten obraz można replikować w regionie źródłowym i w różnych regionach docelowych.
Uwaga
Dysk VHD lub obraz zarządzany systemu operacyjnego należy utworzyć na podstawie obrazu zgodnego z poufnymi maszynami wirtualnymi. Rozmiar dysku VHD lub obrazu zarządzanego powinien być mniejszy niż 32 GB
Tworzenie obrazu obsługiwanego typu poufnej maszyny wirtualnej
- Zaloguj się w witrynie Azure Portal.
- Wyszukaj i wybierz pozycję Wersje obrazów maszyny wirtualnej na pasku wyszukiwania
- Na stronie Wersje obrazów maszyny wirtualnej wybierz pozycję Utwórz.
- Na stronie Tworzenie wersji obrazu maszyny wirtualnej na karcie Podstawy:
- Wybierz subskrypcję platformy Azure.
- Wybierz istniejącą grupę zasobów lub utwórz nową grupę zasobów.
- Wybierz region świadczenia usługi Azure.
- Wprowadź numer wersji obrazu.
- W polu Źródło wybierz pozycję Obiekty blob magazynu (VHD) lub Obraz zarządzany.
- W przypadku wybrania opcji Obiekty blob usługi Storage (VHD) wprowadź dysk VHD dysku systemu operacyjnego (bez stanu gościa maszyny wirtualnej). Upewnij się, że używasz wirtualnego dysku twardego 2. generacji.
- W przypadku wybrania opcji Obraz zarządzany wybierz istniejący obraz zarządzany maszyny wirtualnej 2. generacji.
- W obszarze Docelowa galeria obliczeniowa platformy Azure wybierz lub utwórz galerię, aby udostępnić obraz.
- W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane w zależności od przypadku użycia. Jeśli używasz obrazu zarządzanego jako źródła, zawsze wybierz pozycję Uogólnione. Jeśli używasz obiektu blob magazynu (VHD) i chcesz wybrać opcję Uogólnione, przed kontynuowaniem wykonaj kroki, aby uogólnić wirtualny dysk twardy z systemem Linux lub uogólnić dysk VHD systemu Windows.
- W obszarze Docelowa definicja obrazu maszyny wirtualnej wybierz pozycję Utwórz nową.
- W okienku Tworzenie definicji obrazu maszyny wirtualnej wprowadź nazwę definicji. Upewnij się, że typ zabezpieczeń jest ustawiony na Poufne obsługiwane. Wprowadź informacje o wydawcy, ofercie i jednostce SKU. Następnie wybierz przycisk OK.
- Na karcie Replikacja wprowadź liczbę replik i regiony docelowe replikacji obrazów, jeśli jest to wymagane.
- Na karcie Szyfrowanie wprowadź informacje dotyczące szyfrowania SSE, jeśli jest to wymagane.
- Wybierz pozycję Przejrzyj i utwórz.
- Po pomyślnym zweryfikowaniu konfiguracji wybierz pozycję Utwórz , aby zakończyć tworzenie obrazu.
- Po utworzeniu wersji obrazu wybierz pozycję Utwórz maszynę wirtualną.
Tworzenie poufnej maszyny wirtualnej na podstawie obrazu galerii
Po pomyślnym utworzeniu obrazu możesz teraz użyć tego obrazu do utworzenia poufnej maszyny wirtualnej.
- Na stronie Tworzenie maszyny wirtualnej skonfiguruj kartę Podstawowe:
- W obszarze Szczegóły projektu w polu Grupa zasobów utwórz nową grupę zasobów lub wybierz istniejącą grupę zasobów.
- W obszarze Szczegóły wystąpienia wprowadź nazwę maszyny wirtualnej i wybierz region obsługujący poufne maszyny wirtualne. Aby uzyskać więcej informacji, znajdź serię poufnych maszyn wirtualnych w tabeli produktów maszyn wirtualnych dostępnych według regionów.
- Jeśli używasz obrazu Poufne , typ zabezpieczeń jest ustawiony na Poufne maszyny wirtualne i nie można go modyfikować. Jeśli używasz obrazu Poufne obsługiwane , musisz wybrać typ zabezpieczeń jako Poufne maszyny wirtualne w warstwie Standardowa.
- Program vTPM jest domyślnie włączony i nie można go modyfikować.
- Bezpieczny rozruch jest domyślnie włączona. Aby zmodyfikować to ustawienie, użyj opcji Konfiguruj funkcje zabezpieczeń. Bezpieczny rozruch jest wymagany do korzystania z poufnego szyfrowania obliczeniowego.
- Na karcie Dyski skonfiguruj ustawienia szyfrowania w razie potrzeby.
- Jeśli używasz obrazu poufnego , poufne szyfrowanie obliczeniowe i zestaw szyfrowania dysków poufnych (jeśli używasz kluczy zarządzanych przez klienta) są wypełniane na podstawie wybranej wersji obrazu i nie można ich modyfikować.
- Jeśli używasz obrazu obsługiwanego przez poufne, w razie potrzeby możesz wybrać poufne szyfrowanie obliczeniowe. Następnie podaj zestaw szyfrowania dysków poufnych, jeśli chcesz używać kluczy zarządzanych przez klienta.
- Wprowadź informacje o koncie administratora.
- Skonfiguruj wszystkie reguły portów wejściowych.
- Wybierz pozycję Przejrzyj i utwórz.
- Na stronie walidacji przejrzyj szczegóły maszyny wirtualnej.
- Po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz , aby zakończyć tworzenie maszyny wirtualnej.
Następne kroki
Aby uzyskać więcej informacji na temat poufnego przetwarzania, zobacz stronę Omówienie poufnego przetwarzania.