Dela via


Så här skapar du en anpassad avbildning för konfidentiella virtuella Azure-datorer

Gäller för: ✔️ Virtuella Linux-datorer

Den här instruktionen visar hur du använder Azure-kommandoradsgränssnittet (Azure CLI) för att skapa en anpassad avbildning för din konfidentiella virtuella dator (konfidentiell virtuell dator) i Azure. Azure CLI används för att skapa och hantera Azure-resurser via antingen kommandoraden eller skripten.

När du skapar en anpassad avbildning kan du förkonfigurera din konfidentiella virtuella dator med specifik programvara, inställningar och säkerhetsåtgärder som uppfyller dina krav. Om du vill ta med en Ubuntu-avbildning som inte är kompatibel med en konfidentiell virtuell dator kan du följa stegen nedan för att se vad minimikraven är för din avbildning.

Förutsättningar

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt Azure-konto innan du börjar.

Starta Azure Cloud Shell

Azure Cloud Shell är ett kostnadsfritt interaktivt gränssnitt som du kan använda för att köra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto.

Om du vill öppna Cloud Shell väljer du bara Prova från det övre högra hörnet i ett kodblock. Du kan också öppna Cloud Shell på en separat webbläsarflik genom att gå till https://shell.azure.com/bash. Välj Kopiera för att kopiera kodblocken, klistra in det i Cloud Shell och välj Retur för att köra det.

Om du föredrar att installera och använda detta CLI lokalt måste du köra Azure CLI version 2.0.30 eller senare. Kör az --version för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI.

Skapa en resursgrupp

Skapa en resursgrupp med kommandot az group create. En Azure-resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.

Kommentar

Konfidentiella virtuella datorer är inte tillgängliga på alla platser. För platser som stöds för närvarande, se vilka VM-produkter som är tillgängliga per Azure-region.

az group create --name $resourceGroupName --location eastus

Skapa en anpassad avbildning för konfidentiella virtuella Azure-datorer

  1. Skapa en virtuell dator med en Ubuntu-avbildning från listan över Azure-avbildningar som stöds.

  2. Kontrollera att kernelversionen är minst 5.15.0-1037-azure. Du kan använda "uname -r" när du har anslutit till den virtuella datorn för att kontrollera kernelversionen. Här kan du lägga till ändringar i bilden som du vill.

  3. Frigör den virtuella datorn.

    az vm deallocate --name $vmname --resource-group $resourceGroupName
    
  4. Skapa en delad åtkomsttoken (SAS-token) för OS-disken och lagra den i en variabel. Observera att den här OS-disken inte behöver finnas i samma resursgrupp som den konfidentiella virtuella datorn.

    disk_name=$(az vm show --name $vmname --resource-group $resourceGroupName | jq -r .storageProfile.osDisk.name)
    disk_url=$(az disk grant-access --duration-in-seconds 3600 --name $disk_name --resource-group $resourceGroupName | jq -r .accessSas)
    

Skapa ett lagringskonto för att lagra den exporterade disken

  1. Skapa ett lagringskonto.
    az storage account create --resource-group ${resourceGroupName} --name ${storageAccountName} --location $region --sku "Standard_LRS"
    
  2. Skapa en container i lagringskontot.
    az storage container create --name $storageContainerName --account-name $storageAccountName --resource-group $resourceGroupName
    
  3. Generera en sas-token (read shared access token) till lagringscontainern och spara den i en variabel.
    container_sas=$(az storage container generate-sas --name $storageContainerName --account-name $storageAccountName --auth-mode key --expiry 2024-01-01 --https-only --permissions dlrw -o tsv)
    
  4. Kopiera OS-disken till lagringscontainern med azcopy.
     blob_url="https://${storageAccountName}.blob.core.windows.net/$storageContainerName/$referenceVHD"
     azcopy copy "$disk_url" "${blob_url}?${container_sas}"
    

Skapa en konfidentiell avbildning som stöds

  1. Skapa ett delat bildgalleri.
    az sig create --resource-group $resourceGroupName --gallery-name $galleryName
    
  2. Skapa en delad avbildningsgalleridefinition (SIG) med konfidentiell virtuell dator som stöds. Ange nya namn för galleribilddefinition, SIG-utgivare och SKU.
    az sig image-definition create --resource-group  $resourceGroupName --location $region --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --publisher $sigPublisherName --offer ubuntu --sku $sigSkuName --os-type Linux --os-state specialized --hyper-v-generation V2  --features SecurityType=ConfidentialVMSupported
    
  3. Hämta lagringskontots ID.
    storageAccountId=$(az storage account show --name $storageAccountName --resource-group $resourceGroupName | jq -r .id)
    
  4. Skapa en SIG-avbildningsversion.
    az sig image-version create --resource-group $resourceGroupName --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --os-vhd-storage-account $storageAccountId --os-vhd-uri $blob_url
    
  5. Lagra ID:t för SIG-avbildningsversionen som skapades i föregående steg.
    galleryImageId=$(az sig image-version show --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --gallery-name $galleryName --resource-group $resourceGroupName | jq -r .id)
    

Skapa en konfidentiell virtuell dator

  1. Skapa en virtuell dator med kommandot az vm create. Mer information finns i säker start och vTPM. Mer information om diskkryptering finns i konfidentiell os-diskkryptering. För närvarande har konfidentiella virtuella datorer stöd för VM-storlekar i DC-serien och EC-serien .
    az vm create \
    --resource-group $resourceGroupName \
    --name $cvmname \
    --size Standard_DC4as_v5 \
    --enable-vtpm true \
    --enable-secure-boot true \
    --image $galleryImageId \
    --public-ip-sku Standard \
    --security-type ConfidentialVM \
    --os-disk-security-encryption-type VMGuestStateOnly \
    --specialized
    

Nästa steg