通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:使用 Azure 门户从 Azure Compute Gallery 映像部署机密 VM

  • 项目

Azure 机密虚拟机支持使用 Azure Compute Gallery 创建和共享自定义映像。 可以根据映像的安全类型创建两种类型的映像:

机密 VM 映像

对于以下映像源,映像定义上的安全类型应设置为 ConfidentialVM,因为映像源已具有 VM 来宾状态信息,并且可能还启用了机密磁盘加密:

  • 机密 VM 捕获
  • 托管 OS 磁盘
  • 托管 OS 磁盘快照

生成的映像版本只能用于创建机密 VM。

此映像版本可以在源区域中复制,但当前不能复制到其他区域或跨订阅复制。

注意

如果要从使用平台管理的密钥或客户管理的密钥启用了机密计算磁盘加密的 Windows 机密 VM 创建映像,则只能创建专用映像。 存在此限制,因为通用化工具 (sysprep) 可能无法通用化加密映像源。 此限制适用于与 Windows 机密 VM 一起隐式创建的 OS 磁盘,以及从此 OS 磁盘创建的快照。

使用机密 VM 捕获创建机密 VM 类型映像

  1. 登录 Azure 门户
  2. 转到“虚拟机”服务。
  3. 打开要用作映像源的机密 VM。
  4. 如果要创建通用映像,请在创建映像之前删除特定于计算机的信息
  5. 选择“捕获”。
  6. 在打开的“创建映像”页中,创建映像定义和版本
    1. 允许映像作为 VM 映像版本共享到 Azure Compute Gallery。 机密 VM 不支持托管映像。
    2. 创建新库,或选择现有库。
    3. 对于“操作系统状态”,选择“通用”或“专用”,具体取决于你的用例。
    4. 通过提供名称、发布者、产品/服务和 SKU 详细信息创建映像定义。 确保安全类型设置为“机密”。
    5. 提供映像的版本号。
    6. 对于“复制”,根据需要修改副本计数。
    7. 选择“查看 + 创建” 。
    8. 映像验证成功后,选择“创建”以完成映像创建。
  7. 选择映像版本以直接转到资源。 或者,可以通过映像定义转到映像版本。 映像定义还显示加密类型,因此可以检查映像和源 VM 是否匹配。
  8. 在映像版本页上,选择“创建 VM”。

现在,可以从自定义映像创建机密 VM

从托管磁盘或快照创建机密 VM 类型映像

  1. 登录 Azure 门户
  2. 如果要创建通用映像,请在创建映像之前删除磁盘或快照的特定于计算机的信息
  3. 在搜索栏中搜索并选择“VM 映像版本”。
  4. 选择“创建”
  5. 在“创建 VM 映像版本”页的“基本信息”选项卡上:
    1. 选择 Azure 订阅。
    2. 选择现有资源组或创建新资源组。
    3. 选择一个 Azure 区域。
    4. 输入映像的版本号。
    5. 对于“源”,选择“磁盘和/或快照”。
    6. 对于“OS 磁盘”,选择托管磁盘或托管磁盘快照。
    7. 对于“目标 Azure Compute Gallery”,选择或创建用于共享映像的库。
    8. 对于“操作系统状态”,选择“通用”或“专用”,具体取决于你的用例。
    9. 对于“目标 VM 映像定义”,选择“新建”。
    10. 在“创建 VM 映像定义”窗格中,输入定义的名称。 确保“安全类型”为“机密”。 输入发布者、产品/服务和 SKU 信息。 然后选择“确定”。
  6. 在“加密”选项卡上,确保“机密计算加密类型”与源磁盘或快照的类型匹配。
  7. 选择“查看 + 创建”以查看设置。
  8. 验证设置后,选择“创建”以完成映像版本创建。
  9. 成功创建映像版本后,选择“创建 VM”。

现在,可以从自定义映像创建机密 VM

支持机密 VM 映像

对于以下映像源,映像定义上的安全类型应设置为 ConfidentialVMSupported,因为映像源没有 VM 来宾状态信息和机密磁盘加密:

  • OS 磁盘 VHD
  • Gen2 托管映像

生成的映像版本可用于创建 Azure Gen2 VM 或机密 VM。

此映像可以在源区域中复制到不同的目标区域。

注意

应从与机密 VM 兼容的映像创建 OS 磁盘 VHD 或托管映像。 VHD 或托管映像的大小应小于 32 GB

创建“支持机密 VM”类型映像

  1. 登录 Azure 门户
  2. 在搜索栏中搜索并选择“VM 映像版本”
  3. 在“VM 映像版本”页上,选择“创建”。
  4. 在“创建 VM 映像版本”页上的“基本信息”选项卡上:
    1. 选择 Azure 订阅。
    2. 选择现有资源组或创建新资源组。
    3. 选择 Azure 区域。
    4. 输入映像版本号。
    5. 对于“源”,选择“存储 Blob (VHD)”或“托管映像”。
    6. 如果选择“存储 Blob (VHD)”,请输入 OS 磁盘 VHD(不包含 VM 来宾状态)。 请确保使用第 2 代 VHD。
    7. 如果选择“托管映像”,请选择第 2 代 VM 的现有托管映像。
    8. 对于“目标 Azure Compute Gallery”,选择或创建用于共享映像的库。
    9. 对于“操作系统状态”,选择“通用”或“专用”,具体取决于你的用例。 如果使用托管映像作为源,请始终选择“通用”。 如果使用存储 blob (VHD) 且想要选择“通用”,请按照步骤通用化 Linux VHD通用化 Windows VHD,然后再继续操作。
    10. 对于“目标 VM 映像定义”,选择“新建”。
    11. 在“创建 VM 映像定义”窗格中,输入定义的名称。 确保安全类型设置为“支持机密”。 输入发布者、产品/服务和 SKU 信息。 然后选择“确定”。
  5. 在“复制”选项卡上,根据需要输入映像复制的副本计数和目标区域。
  6. 在“加密”选项卡上,根据需要输入与 SSE 加密相关的信息。
  7. 选择“查看 + 创建” 。
  8. 成功验证配置后,选择“创建”以完成映像创建。
  9. 创建映像版本后,选择“创建 VM”。

成功创建映像后,现在便可以使用该映像创建机密 VM。

  1. 在“创建虚拟机”页上,配置“基本信息”选项卡:
    1. 在“项目详细信息”下,对于“资源组”,创建新资源组或选择现有资源组。
    2. 在“实例详细信息”下,输入 VM 名称并选择支持机密 VM 的区域。 有关详细信息,请查找可用 VM 产品(按区域)的表中的机密 VM 系列。
    3. 如果使用“机密”映像,则安全类型设置为“机密虚拟机”,并且无法修改。 如果使用“支持机密”映像,则必须从“标准”中选择“机密虚拟机”作为安全类型。
    4. vTPM 默认处于启用状态,并且无法修改。
    5. 默认情况下,安全启动处于启用状态。 若要修改设置,请使用“配置安全功能”。 使用机密计算加密时需要安全启动。
  2. 在“磁盘”选项卡上,根据需要配置加密设置。
    1. 如果使用“机密”映像,则机密计算加密和机密磁盘加密集(如果使用客户管理的密钥)会根据所选映像版本填充,并且无法修改。
    2. 如果使用“支持机密”映像,则可以根据需要选择机密计算加密。 然后,如果要使用客户管理的密钥,请提供机密磁盘加密集。
  3. 输入管理员帐户信息。
  4. 配置任何入站端口规则。
  5. 选择“查看 + 创建” 。
  6. 在验证页上,查看 VM 的详细信息。
  7. 验证成功后,选择“创建”以完成 VM 创建。

后续步骤

有关机密计算的详细信息,请参阅机密计算概述页。