你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:在 Azure 门户中创建机密 VM

可使用 Azure 市场根据 Azure 市场映像快速创建机密 VMAMD 和 Intel 上有多个机密 VM 选项,它们采用 AMD SEV-SNP 和 Intel TDX 技术。

先决条件

  • Azure 订阅。 免费试用帐户无法访问本教程中使用的 VM。 一种选择是使用即用即付订阅

  • 如果使用的是基于 Linux 的机密 VM,请使用用于 SSH 的 BASH shell,或安装 PuTTY 之类的 SSH 客户端。

  • 如果需要使用客户管理的密钥进行机密磁盘加密,请运行以下命令,以选择加入租户的服务主体 Confidential VM Orchestrator安装 Microsoft Graph SDK 以执行以下命令。

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
    New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
    

创建机密 VM

若要使用 Azure 市场映像在 Azure 门户中创建机密 VM,请执行以下操作:

  1. 登录 Azure 门户

  2. 选择或搜索“虚拟机”。

  3. 在“虚拟机”页面菜单中,选择“创建”>“虚拟机”。

  4. 在“基本信息”选项卡上配置以下设置:

    a. 在“项目详细信息”下,对于“订阅”,请选择符合先决条件的 Azure 订阅。

    b. 对于“资源组”,请选择“新建”以创建新的资源组。 输入名称,然后选择“确定”。

    c. 在“实例详细信息”下,对于“虚拟机名称”,请输入新 VM 的名称。

    d. 对于“区域”,请选择部署 VM 的 Azure 区域。

    注意

    机密 VM 并非在所有位置都可用。 有关当前支持的位置,请参阅可用的 VM 产品(按 Azure 区域)

    e. 对于“可用性选项”,请选择“不需要基础结构冗余”(适合单一 VM)或“虚拟机规模集”(适合多个 VM)。

    f. 对于“安全类型”,请选择“机密虚拟机”。

    g. 对于“映像”,请选择你的 VM 使用的 OS 映像。 选择“查看所有映像”以打开 Azure 市场。 选择筛选器“安全类型”>“机密”显示所有可用的机密 VM 映像。

    h.如果该值不存在,请单击“添加行”。 切换第 2 代映像。 机密 VM 只能在第 2 代映像上运行。 为确保这一点,请在“映像”下选择“配置 VM 代系”。 在“配置 VM 代系”窗格中,对于“VM 代系”,请选择“第 2 代”。 然后选择“应用”。

    注意

    对于 NCCH100v5 系列,目前仅支持 Ubuntu Server 22.04 LTS(机密 VM)映像。

    i. 对于“大小”,请选择一种 VM 大小。 有关详细信息,请参阅支持的机密 VM 系列

    j. 对于“身份验证类型”,如果你要创建 Linux VM,请选择“SSH 公钥”。 如果没有 SSH 密钥,请创建 Linux VM 的 SSH 密钥

    k. 在“管理员帐户”下,对于“用户名”,请输入 VM 的管理员名称。

    l. 对于“SSH 公钥”,请输入 RSA 公钥(如果适用)。

    m. 对于“密码”和“确认密码”,请输入管理员密码(如果适用)。

    n. 在“入站端口规则”下,对于 “公共入站端口” ,请选择“允许所选端口”。

    o. 对于“选择入站端口”,请从下拉菜单中选择入站端口。 对于 Windows VM,请选择“HTTP (80)”和“RDP (3389)”。 对于 Linux VM,请选择“SSH (22)”和“HTTP (80)”。

    注意

    不建议将 RDP/SSH 端口用于生产部署。

  5. 在“磁盘”选项卡上配置以下设置:

    1. 如果你希望在创建期间加密 VM 的 OS 磁盘,请在“磁盘选项”下启用“机密 OS 磁盘加密”。

    2. 对于“密钥管理”,请选择要使用的密钥类型。

    3. 如果选择“使用客户管理的密钥进行机密磁盘加密”,请在创建机密 VM 之前创建“机密磁盘加密集”。

    4. 要加密 VM 的临时磁盘,请参阅以下文档

  6. (可选)如有必要,需要按如下所示创建“机密磁盘加密集”。

    1. 使用支持 HSM 支持的密钥的高级定价层创建 Azure 密钥保管库。 启用清除保护来增强安全措施也很重要。 此外,对于访问配置,请使用“访问配置”选项卡下的“保管库访问策略”。或者,可以创建 Azure 密钥保管库托管硬件安全模块 (HSM)

    2. 在 Azure 门户中,搜索并选择“磁盘加密集”。

    3. 选择“创建”。

    4. 对于“订阅”,选择要使用的 Azure 订阅。

    5. 对于“资源组”,选择或创建要使用的新资源组。

    6. 对于“磁盘加密集名称”,输入集的名称。

    7. 对于“区域”,选择可用 Azure 区域。

    8. 对于“加密类型”,选择“使用客户管理的密钥进行机密磁盘加密”。

    9. 对于“密钥保管库”,选择已创建的密钥保管库。

    10. 在“密钥保管库”下,选择“新建”以创建新密钥。

      注意

      如果以前选择了 Azure 托管 HSM,请改为使用 PowerShell 或 Azure CLI 创建新密钥

    11. 对于“名称”,输入密钥的名称。

    12. 对于密钥类型,选择“RSA-HSM”

    13. 选择密钥大小

    n. 在“机密密钥选项”下,选择“可导出”,并将机密操作策略设置为“CVM 机密操作策略”。

    o. 选择“创建”完成创建密钥。

    p. 选择“审阅 + 创建”以创建新磁盘加密集。 等待资源创建成功完成。

    q。 转到 Azure 门户中的磁盘加密集资源。

    r. 看到蓝色信息横幅时,请按照提供的说明授予访问权限。 遇到粉红色横幅时,只需选择它即可向 Azure Key Vault 授予必要的权限。

    重要

    必须执行此步骤才能成功创建机密 VM。

  7. 根据需要,对“网络”、“管理”、“来宾配置”和“标记”选项卡下的设置进行更改。

  8. 选择“查看 + 创建”,验证你的配置。

  9. 等待验证完成。 根据需要解决任何验证问题,然后再次选择“查看 + 创建”。

  10. 在“查看 + 创建”窗格中,选择“创建”。

连接到机密 VM

可通过不同的方法连接到 Windows 机密 VMLinux 机密 VM

连接到 Windows VM

若要连接到运行 Windows OS 的机密 VM,请参阅如何连接和登录到运行 Windows 的 Azure 虚拟机

连接到 Linux VM

若要连接到运行 Linux OS 的机密 VM,请参阅计算机 OS 的说明。

在开始之前,请确保已准备好 VM 的公共 IP 地址。 若要查找 IP 地址,请执行以下操作:

  1. 登录 Azure 门户

  2. 选择或搜索“虚拟机”。

  3. 在“虚拟机”页上,选择你的机密 VM。

  4. 在机密 VM 的概述页上,复制“公共 IP 地址”。

    有关连接到 Linux VM 的详细信息,请参阅快速入门:在 Azure 门户中创建 Linux 虚拟机

  5. 打开 SSH 客户端(例如 PuTTY)。

  6. 输入机密 VM 的公共 IP 地址。

  7. 连接到 VM。 在 PuTTY 中选择“打开”。

  8. 输入 VM 管理员用户名和密码。

    注意

    如果使用的是 PuTTY,你可能会收到一条安全警报,指出服务器的主机密钥未在注册表中缓存。 如果你信任此主机,请选择“是”将密钥添加到 PuTTY 缓存并继续连接。 若要仅连接一次而不添加密钥,请选择“否”。 如果你不信任此主机,请选择“取消”以放弃连接。

清理资源

完成本快速入门后,可以清理机密 VM、资源组和其他相关资源。

  1. 登录 Azure 门户

  2. 选择或搜索“资源组”。

  3. 在“资源组”页上,选择为本快速入门创建的资源组。

  4. 在该资源组的菜单中,选择“删除资源组”。

  5. 在警告窗格中,输入该资源组的名称以确认删除。

  6. 选择“删除”。

后续步骤