مشاركة عبر

التشغيل السريع: إنشاء جهاز ظاهري سري في مدخل Microsoft Azure

  • مقالة

يمكنك استخدام مدخل Microsoft Azure لإنشاء جهاز ظاهري سري استنادا إلى صورة Azure Marketplace بسرعة. هناك العديد من خيارات الأجهزة الظاهرية السرية على AMD وIntel مع تقنية AMD SEV-SNP وIntel TDX.

المتطلبات الأساسية

  • اشتراك Azure. لا تتمتع حسابات الإصدار التجريبي المجانية بإمكانية الوصول إلى الأجهزة الظاهرية المستخدمة في هذا البرنامج التعليمي. أحد الخيارات هو استخدام اشتراك الدفع أثناء الاستخدام.

  • إذا كنت تستخدم جهازا ظاهريا سريا يستند إلى Linux، فاستخدم BASH shell ل SSH أو قم بتثبيت عميل SSH، مثل PuTTY.

  • إذا كان تشفير القرص السري باستخدام مفتاح مدار من قبل العميل مطلوبا، فيرجى تشغيل الأمر أدناه للاشتراك في كيان Confidential VM Orchestrator الخدمة للمستأجر الخاص بك. تثبيت Microsoft Graph SDK لتنفيذ الأوامر أدناه.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

إنشاء جهاز ظاهري سري

لإنشاء جهاز ظاهري سري في مدخل Microsoft Azure باستخدام صورة Azure Marketplace:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد الأجهزة الظاهرية أو ابحث عنها.

  3. في قائمة صفحة الأجهزة الظاهرية، حدد إنشاء>جهاز ظاهري.

  4. في علامة التبويب أساسيات، قم بتكوين الإعدادات التالية:

    أ. ضمن Project details، بالنسبة إلى Subscription، حدد اشتراك Azure الذي يلبي المتطلبات الأساسية.

    ب. بالنسبة إلى Resource Group، حدد Create new لإنشاء مجموعة موارد جديدة. أدخل اسما، وحدد موافق.

    جـ. ضمن تفاصيل المثيل، بالنسبة إلى اسم الجهاز الظاهري، أدخل اسما لجهازك الظاهري الجديد.

    د. بالنسبة للمنطقة، حدد منطقة Azure التي سيتم نشر الجهاز الظاهري فيها.

    إشعار

    الأجهزة الظاهرية السرية غير متوفرة في جميع المواقع. بالنسبة للمواقع المدعومة حاليا، راجع منتجات الجهاز الظاهري المتوفرة بواسطة منطقة Azure.

    هـ. بالنسبة لخيارات التوفر، حدد لا حاجة لتكرار البنية الأساسية للأجهزة الظاهرية المفردة أو مجموعة مقياس الجهاز الظاهري لأجهزة ظاهرية متعددة.

    و. بالنسبة ل Security Type، حدد Confidential virtual machines.

    ز. بالنسبة للصورة، حدد صورة نظام التشغيل لاستخدامها لجهازك الظاهري. حدد عرض جميع الصور لفتح Azure Marketplace. حدد عامل التصفية Security Type>Confidential لإظهار جميع صور الأجهزة الظاهرية السرية المتوفرة.

    ح. تبديل صور الجيل 2 . تعمل الأجهزة الظاهرية السرية فقط على صور الجيل 2. للتأكد، ضمن Image، حدد Configure VM generation. في الجزء Configure VM generation، ل VM generation، حدد Generation 2. ثم، حدد Apply.

    إشعار

    بالنسبة لسلسلة NCCH100v5، يتم حاليا دعم صورة Ubuntu Server 22.04 LTS (الجهاز الظاهري السري) فقط.

    1. بالنسبة إلى الحجم، حدد حجم الجهاز الظاهري. لمزيد من المعلومات، راجع عائلات الأجهزة الظاهرية السرية المدعومة.

    ي. بالنسبة لنوع المصادقة، إذا كنت تقوم بإنشاء جهاز ظاهري يعمل بنظام Linux، فحدد مفتاح SSH العام . إذا لم يكن لديك مفاتيح SSH بالفعل، فبادر بإنشاء مفاتيح SSH لأجهزة Linux الظاهرية.

    k. ضمن حساب المسؤول، لاسم المستخدم، أدخل اسم مسؤول لجهازك الظاهري.

    l. بالنسبة للمفتاح العام SSH، إذا كان ذلك ممكنا، أدخل مفتاح RSA العام.

    m. بالنسبة إلى كلمة المرور وتأكيد كلمة المرور، إذا كان ذلك ممكنا، أدخل كلمة مرور المسؤول.

    n. ضمن قواعد المنفذ الوارد، بالنسبة للمنافذ الواردة العامة، حدد السماح بالمنافذ المحددة.

    o. لتحديد المنافذ الواردة، حدد المنافذ الواردة من القائمة المنسدلة. بالنسبة لأجهزة Windows الظاهرية، حدد HTTP (80) وRDP (3389). بالنسبة لأجهزة Linux الظاهرية، حدد SSH (22) وHTTP (80).

    إشعار

    لا يوصى بالسماح بمنافذ RDP/SSH لنشر الإنتاج.

  5. في علامة التبويب Disks، قم بتكوين الإعدادات التالية:

    1. ضمن خيارات القرص، قم بتمكين تشفير قرص نظام التشغيل السري إذا كنت تريد تشفير قرص نظام التشغيل الخاص بالجهاز الظاهري أثناء الإنشاء.

    2. بالنسبة إلى إدارة المفاتيح، حدد نوع المفتاح الذي تريد استخدامه.

    3. إذا تم تحديد تشفير القرص السري باستخدام مفتاح مدار من قبل العميل، فقم بإنشاء مجموعة تشفير قرص سري قبل إنشاء الجهاز الظاهري السري الخاص بك.

    4. إذا كنت ترغب في تشفير القرص المؤقت للجهاز الظاهري الخاص بك، يرجى الرجوع إلى الوثائق التالية.

  6. (اختياري) إذا لزم الأمر، تحتاج إلى إنشاء مجموعة تشفير قرص سري كما يلي.

    1. إنشاء Azure Key Vault باستخدام مستوى التسعير المتميز الذي يتضمن دعم المفاتيح المدعومة من HSM. من المهم أيضا تمكين الحماية من التطهير لتدابير أمنية إضافية. بالإضافة إلى ذلك، لتكوين الوصول، استخدم "نهج الوصول إلى المخزن" ضمن علامة التبويب "تكوين الوصول". بدلا من ذلك، يمكنك إنشاء وحدة أمان الأجهزة (HSM) المدارة في Azure Key Vault.

    2. في مدخل Microsoft Azure، ابحث عن مجموعات تشفير القرص وحددها.

    3. حدد إنشاء.

    4. بالنسبة إلى Subscription، حدد اشتراك Azure الذي يجب استخدامه.

    5. بالنسبة لمجموعة الموارد، حدد أو أنشئ مجموعة موارد جديدة لاستخدامها.

    6. بالنسبة إلى اسم مجموعة تشفير القرص، أدخل اسما للمجموعة.

    7. بالنسبة للمنطقة، حدد منطقة Azure متوفرة.

    8. بالنسبة إلى نوع التشفير، حدد تشفير القرص السري باستخدام مفتاح مدار من قبل العميل.

    9. بالنسبة إلى Key Vault، حدد key vault الذي أنشأته بالفعل.

    10. ضمن Key Vault، حدد Create new لإنشاء مفتاح جديد.

      إشعار

      إذا قمت بتحديد HSM مدار من Azure مسبقا، فاستخدم PowerShell أو Azure CLI لإنشاء المفتاح الجديد بدلا من ذلك.

    11. بالنسبة إلى Name، أدخل اسما للمفتاح.

    12. بالنسبة لنوع المفتاح، حدد RSA-HSM

    13. تحديد حجم المفتاح

    n. ضمن "Confidential Key Options" حدد "Exportable" وقم بتعيين نهج العملية "Confidential" كنهج تشغيل سري ل CVM.

    o. حدد Create لإنهاء إنشاء المفتاح.

    p. حدد Review + create لإنشاء مجموعة تشفير قرص جديدة. انتظر حتى يكتمل إنشاء المورد بنجاح.

    q. انتقل إلى مورد مجموعة تشفير القرص في مدخل Microsoft Azure.

    r. عندما ترى شعار معلومات أزرق، يرجى اتباع الإرشادات المقدمة لمنح حق الوصول. عند مواجهة شعار وردي، ما عليك سوى تحديده لمنح الأذونات اللازمة ل Azure Key Vault.

    هام

    يجب تنفيذ هذه الخطوة لإنشاء الجهاز الظاهري السري بنجاح.

  7. حسب الحاجة، قم بإجراء تغييرات على الإعدادات ضمن علامات التبويب Networking و Management و Guest Config و Tags.

  8. حدد "Review + create" للتحقق من صحة الإعدادات.

  9. يُرجى الانتظار لحين انتهاء التحقق من الصحة. إذا لزم الأمر، قم بإصلاح أي مشكلات في التحقق من الصحة، ثم حدد Review + create مرة أخرى.

  10. من خلال صفحة المراجعة + الإنشاء، تحديد إنشاء.

الاتصال بالجهاز الظاهري السري

هناك طرق مختلفة للاتصال بالأجهزة الظاهرية السرية ل Windows والأجهزة الظاهرية السرية ل Linux.

الاتصال بالأجهزة الظاهرية ل Windows

للاتصال بجهاز ظاهري سري باستخدام نظام تشغيل Windows، راجع كيفية الاتصال بجهاز Azure الظاهري الذي يعمل بنظام التشغيل Windows وتسجيل الدخول إليه.

الاتصال بأجهزة Linux الظاهرية

للاتصال بجهاز ظاهري سري باستخدام نظام تشغيل Linux، راجع إرشادات نظام التشغيل الخاص بالكمبيوتر.

قبل البدء، تأكد من أن لديك عنوان IP العام للجهاز الظاهري الخاص بك. للعثور على عنوان IP:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد الأجهزة الظاهرية أو ابحث عنها.

  3. في صفحة الأجهزة الظاهرية، حدد الجهاز الظاهري السري الخاص بك.

  4. في صفحة نظرة عامة على الجهاز الظاهري السري، انسخ عنوان IP العام.

    لمزيد من المعلومات حول الاتصال ب Linux VMs، راجع التشغيل السريع: إنشاء جهاز ظاهري Linux في مدخل Microsoft Azure.

  5. افتح عميل SSH الخاص بك، مثل PuTTY.

  6. أدخل عنوان IP العام للجهاز الظاهري السري الخاص بك.

  7. الاتصال بالجهاز الظاهري. في PuTTY، حدد فتح.

  8. أدخل اسم المستخدم وكلمة المرور لمسؤول الجهاز الظاهري.

    إشعار

    إذا كنت تستخدم PuTTY، فقد تتلقى تنبيها أمنيا بعدم تخزين مفتاح مضيف الخادم مؤقتا في السجل. إذا كنت تثق بالمضيف، فحدد نعم لإضافة المفتاح إلى ذاكرة التخزين المؤقت ل PuTTY ومتابعة الاتصال. للاتصال مرة واحدة فقط، دون إضافة المفتاح، حدد لا. إذا كنت لا تثق بالمضيف، فحدد إلغاء للتخلي عن الاتصال.

تنظيف الموارد

بعد الانتهاء من التشغيل السريع، يمكنك تنظيف الجهاز الظاهري السري ومجموعة الموارد والموارد الأخرى ذات الصلة.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد "Resource groups" أو ابحث عنها.

  3. في صفحة مجموعات الموارد، حدد مجموعة الموارد التي أنشأتها لهذا التشغيل السريع.

  4. في قائمة مجموعة الموارد، حدد Delete resource group.

  5. في جزء التحذير، أدخل اسم مجموعة الموارد لتأكيد الحذف.

  6. حدد حذف.

الخطوات التالية

إنشاء جهاز ظاهري سري باستخدام قالب ARM