Início Rápido: Implantar uma VM confidencial de uma imagem da Galeria de Computação do Azure usando o portal do Azure
As máquinas virtuais confidenciais do Azure dão suporte à criação e ao compartilhamento de imagens personalizadas usando a Galeria de Computação do Azure. Há dois tipos de imagens que você pode criar, com base nos tipos de segurança da imagem:
- Imagens de VM confidencial (
ConfidentialVM
) são imagens em que a origem já tem as informações de estado de convidado da VM. Esse tipo de imagem também pode ter a criptografia de disco confidencial habilitada. - Imagens de VM confidencial com suporte (
ConfidentialVMSupported
) são imagens em que a origem não tem informações de estado de convidado da VM e a criptografia de disco confidencial não está habilitada.
Imagens de VM confidenciais
Para as seguintes fontes de imagem, o tipo de segurança na definição de imagem deve ser definido como a ConfidentialVM
origem da imagem já tem informações de Estado convidado da VM e também pode ter a criptografia de disco confidencial habilitada:
- Captura de VM confidencial
- Discos gerenciados do sistema operacional
- Instantâneo de disco do sistema operacional gerenciado
A versão da imagem resultante só pode ser usada para criar VMs confidenciais.
Essa versão da imagem pode ser replicada dentro da região de origem, mas não pode ser replicada para uma região diferente ou entre assinaturas atualmente.
Observação
Se você quiser criar uma imagem de uma VM confidencial do Windows que tenha criptografia de disco de computação confidencial habilitada com uma chave gerenciada pela plataforma ou uma chave gerenciada pelo cliente, você só poderá criar uma imagem especializada. Essa limitação existe porque a ferramenta de generalização (sysprep) pode não ser capaz de generalizar a fonte de imagem criptografada. Essa limitação se aplica ao disco do sistema operacional, que é criado implicitamente junto com a VM confidencial do Windows e o instantâneo criado a partir desse disco do sistema operacional.
Criar uma imagem de tipo de VM confidencial usando a captura de VM confidencial
- Entre no portal do Azure.
- Vá para o serviço de Máquinas Virtuais.
- Abra a VM confidencial que você deseja usar como fonte de imagem.
- Se você quiser criar uma imagem generalizada, remova informações específicas do computador antes de criar a imagem.
- Selecione Capturar.
- Na página Criar uma imagem que é aberta, crie a definição e a versão da imagem.
- Permitir que a imagem seja compartilhada na Galeria de Computação do Azure como uma versão de imagem de VM. Não há suporte para imagens gerenciadas para VMs confidenciais.
- Crie uma nova galeria ou selecione uma galeria existente.
- Para o estado do sistema operacional, selecione Generalizado ou Especializado, dependendo do caso de uso.
- Crie uma definição de imagem fornecendo um nome, um editor, uma oferta e detalhes de SKU. Verifique se o tipo de segurança está definido como Confidencial.
- Forneça um número de versão para a imagem.
- Para Replicação, modifique a contagem de réplicas, se necessário.
- Selecione Examinar + criar.
- Quando a validação da imagem for bem-sucedida, selecione Criar para concluir a criação da imagem.
- Selecione a versão da imagem para ir diretamente para o recurso. Ou você pode ir para a versão da imagem pela definição da imagem. A definição da imagem também mostra o tipo de criptografia, para que você possa verificar se a imagem e a VM de origem correspondem.
- Na página de versão da imagem, selecione Criar VM.
Agora, você pode criar uma VM confidencial a partir da imagem personalizada.
Criar uma imagem de tipo de VM confidencial do disco gerenciado ou instantâneo
- Entre no portal do Azure.
- Se você quiser criar uma imagem generalizada, remova informações específicas do computador antes de para o disco ou instantâneo antes de criar a imagem.
- Na barra de pesquisa, pesquise e selecione Versões de imagem de VM.
- Escolha Criar
- Na guia Noções básicas da página Criar imagem da VM:
- Selecione uma assinatura do Azure.
- Selecione um grupo de recursos existente ou crie um grupo de recursos.
- Selecione uma região do Azure.
- Forneça um número de versão para a imagem.
- Para Fonte, selecione Discos e/ou Instantâneos.
- Para o disco do sistema operacional, selecione um disco gerenciado ou um instantâneo de disco gerenciado.
- Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
- Para o estado do sistema operacional, selecione Generalizado ou Especializado, dependendo do caso de uso.
- Para a definição de imagem de VM de destino, selecione Criar novo.
- No painel Criar uma definição de imagem de VM, insira um nome para a definição. Verifique se o tipo de segurança é Confidencial. Forneça as informações de editor, oferta e SKU. Em seguida, selecione OK.
- Na guia Criptografia, verifique se o tipo de criptografia de computação confidencial corresponde ao tipo de disco de origem ou instantâneo.
- Para revisar as configurações, selecione Revisar + criar.
- Depois que as configurações forem validadas, selecione Criar para concluir a criação da versão da imagem.
- Depois que a versão da imagem for criada com êxito, selecione Criar VM.
Agora, você pode criar uma VM confidencial a partir da imagem personalizada.
Imagens confidenciais com suporte de VM
Para as seguintes fontes de imagem, o tipo de segurança na definição de imagem deve ser definido ConfidentialVMSupported
, como a origem da imagem não tem informações de estado de convidado da VM e criptografia de disco confidencial:
- VHD do disco do sistema operacional
- Imagem gerenciada Gen2
A versão da imagem resultante pode ser usada para criar VMs do Azure Gen2 ou VMs confidenciais.
Essa imagem pode ser replicada na região de origem e em diferentes regiões de destino.
Observação
O VHD do disco do sistema operacional ou a Imagem Gerenciada devem ser criados a partir de uma imagem compatível com a VM confidencial. O tamanho do VHD ou da imagem gerenciada deve ser menor que 32 GB
Criar uma imagem de tipo com suporte de VM confidencial
- Entre no portal do Azure.
- Na barra de pesquisa, pesquise e selecione Versões de imagem de VM
- Na página de versões de imagem da VM, selecione Criar.
- Na página Criar versão da imagem da VM, na guia Noções básicas:
- Selecione a Assinatura do Azure.
- Selecione um grupo de recursos existente ou crie um grupo de recursos.
- Selecione uma região do Azure.
- Insira um número de versão da imagem.
- Para a Fonte, selecione Blobs de Armazenamento (VHD) ou Imagem Gerenciada.
- Se você selecionou Blobs de Armazenamento (VHD), insira um VHD de disco do sistema operacional (sem o estado convidado da VM). Certifique-se de usar um VHD Gen 2.
- Se você selecionou a Imagem Gerenciada, selecione uma imagem gerenciada existente de uma VM Gen 2.
- Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
- Para o estado do sistema operacional, selecione Generalizado ou Especializado, dependendo do caso de uso. Se você estiver usando uma imagem gerenciada como a origem, sempre selecione Generalizado. Se você estiver usando um VHD (blob de armazenamento) e quiser selecionar Generalizado, siga as etapas para generalizar um VHD do Linux ou generalizar um VHD do Windows antes de continuar.
- Para a definição de imagem de VM de destino, selecione Criar novo.
- No painel Criar uma definição de imagem de VM, insira um nome para a definição. Verifique se o tipo de segurança está definido como Confidencial com suporte. Forneça as informações de editor, oferta e SKU. Em seguida, selecione OK.
- A guia Replicação pode ser usada para definir a contagem de réplicas e as regiões de destino para replicação da imagem, se necessário.
- Na guia Criptografia, insira informações relacionadas à criptografia SSE, se necessário.
- Selecione Examinar + criar.
- Depois que a configuração for validada com êxito, selecione Criar para concluir a criação da imagem.
- Depois que a versão da imagem for criada, selecione Criar VM.
Criar uma VM Confidencial com base na imagem da galeria
Agora que você criou uma imagem com êxito, agora pode usar essa imagem para criar uma VM confidencial.
- Na página Criar uma máquina virtual, configure a guia Noções básicas:
- Nos detalhes do projeto, para o grupo de recursos, crie um novo grupo de recursos ou selecione um grupo de recursos existente.
- Nos detalhes da instância, insira um nome de VM e selecione uma região que dê suporte a VMs confidenciais. Para obter mais informações, localize a série de VM confidencial na tabela de produtos de VM disponíveis por região.
- Se você estiver usando uma imagem confidencial, o tipo de segurança será definido como máquinas virtuais confidenciais e não poderá ser modificado. Se você estiver usando uma imagem com suporte confidencial, deverá selecionar o tipo de segurança como máquinas virtuais confidenciais do Standard.
- O vTPM está habilitado por padrão e não pode ser modificado.
- A Inicialização Segura está habilitada por padrão. Para modificar a configuração, use Configurar recursos de segurança. A Inicialização Segura é necessária para usar a criptografia de computação confidencial.
- Na guia Discos, defina as configurações de criptografia, se necessário.
- Se você estiver usando uma imagem confidencial, a criptografia de computação confidencial e o conjunto de criptografia de disco confidencial (se você estiver usando chaves gerenciadas pelo cliente) serão populados com base na versão da imagem selecionada e não poderão ser modificados.
- Se você estiver usando uma imagem com suporte confidencial, poderá selecionar a criptografia de computação confidencial, se necessário. Em seguida, forneça um conjunto de criptografia de disco confidencial, se você quiser usar chaves gerenciadas pelo cliente.
- Insira as informações da conta de administrador.
- Configure todas as regras de porta de entrada.
- Selecione Examinar + criar.
- Na página de validação, examine os detalhes da VM.
- Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.
Próximas etapas
Para obter mais informações sobre computação confidencial, consulte a página Visão geral da Computação Confidencial.