نشر جهاز ظاهري مع تمكين "التشغيل الموثوق به"

ينطبق على: ✔️ مجموعات مقياس موحدة لأجهزة ✔️ Linux الظاهرية ✔️ التي تعمل بنظام Windows VMs ✔️ المرن.

التشغيل الموثوق به هو طريقة لتحسين أمان الأجهزة الظاهرية من الجيل 2 (VMs). يحمي التشغيل الموثوق به من تقنيات الهجوم المتقدمة والمستمرة من خلال الجمع بين تقنيات البنية الأساسية مثل الوحدة النمطية للنظام الأساسي الموثوق به الظاهري (vTPM) والتمهيد الآمن.

المتطلبات الأساسية

• نوصي بإلحاق اشتراكك في Microsoft Defender for Cloud إذا لم يكن موجودا بالفعل. يحتوي Defender for Cloud على مستوى مجاني، والذي يقدم رؤى مفيدة لمختلف موارد Azure والموارد المختلطة. مع عدم وجود Defender for Cloud، لا يمكن لمستخدمي الجهاز الظاهري الموثوق بهم تشغيل مراقبة تكامل تمهيد الجهاز الظاهري.

• تعيين مبادرات نهج Azure لاشتراكك. يجب تعيين مبادرات السياسة هذه مرة واحدة فقط لكل اشتراك. ستساعد النهج في نشر الأجهزة الظاهرية الموثوق بها وتدقيعها أثناء تثبيت جميع الملحقات المطلوبة تلقائيا على جميع الأجهزة الظاهرية المدعومة.

  • تكوين مبادرة النهج المضمنة ل Trusted Launch VMs.
  • تكوين المتطلبات الأساسية لتمكين Guest Attestation على الأجهزة الظاهرية الموثوق بها التي تدعم التشغيل.
  • تكوين الأجهزة لتثبيت عوامل Azure Monitor وAzure Security تلقائيا على الأجهزة الظاهرية.

• اسمح بعلامة AzureAttestation الخدمة في القواعد الصادرة لمجموعة أمان الشبكة للسماح بنسبة استخدام الشبكة ل Azure Attestation. لمزيد من المعلومات، راجع علامات خدمة الشبكة الظاهرية.

• تأكد من أن نهج جدار الحماية تسمح بالوصول إلى *.attest.azure.net.

إشعار

إذا كنت تستخدم صورة Linux وتتوقع أن الجهاز الظاهري قد يحتوي على برامج تشغيل kernel إما غير موقعة أو غير موقعة من قبل مورد توزيعة Linux، فقد تحتاج إلى التفكير في إيقاف تشغيل التمهيد الآمن. في مدخل Microsoft Azure، في صفحة Create a virtual machine للمعلمة Security type مع تحديد Trusted Launch Virtual Machines ، حدد Configure security features وقم بإلغاء تحديد خانة الاختيار Enable secure boot . في Azure CLI أو PowerShell أو SDK، قم بتعيين معلمة التمهيد الآمن إلى false.

نشر جهاز ظاهري لإطلاق موثوق به

إنشاء جهاز ظاهري مع تمكين التشغيل الموثوق به. اختر أحد الخيارات التالية.

بوابة

1. قم بتسجيل الدخول إلى بوابة Azure.

2. ابحث عن الأجهزة الظاهرية.

3. ضمن الخدمات، حدد الأجهزة الظاهرية.

4. في صفحة Virtual machines ، حدد Add، ثم حدد Virtual machine.

5. أسفل Project details، تأكد من تحديد الاشتراك الصحيح.

6. ضمن ⁧⁩Resource group⁦⁩⁧⁩، اختر ⁧⁩Create new⁧⁩. أدخل اسما لمجموعة الموارد الخاصة بك أو حدد مجموعة موارد موجودة من القائمة المنسدلة.

7. ضمن تفاصيل المثيل، أدخل اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.

8. بالنسبة إلى Security type، حدد Trusted launch virtual machines. عند ظهور الخيارات Secure boot وvTPM و Integrity Monitoring، حدد الخيارات المناسبة للتوزيع الخاص بك. لمزيد من المعلومات، راجع ميزات الأمان الموثوق بها التي تدعم التشغيل.

   

9. ضمن صورة، حدد صورة من صور Gen 2 الموصى بها المتوافقة مع التشغيل الموثوق به. للحصول على قائمة، راجع التشغيل الموثوق به.

   تلميح

   إذا لم تتمكن من رؤية إصدار Gen2 للصورة التي تريدها في القائمة المنسدلة، فحدد مشاهدة جميع الصور. ثم قم بتغيير عامل تصفية Security type إلى Trusted Launch.

10. حدد حجم الجهاز الظاهري الذي يدعم التشغيل الموثوق به. لمزيد من المعلومات، راجع قائمة الأحجام المدعومة.

11. املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.

12. في أسفل الصفحة، حدد Review + Create.

13. في صفحة إنشاء جهاز ظاهري، يمكنك مشاهدة المعلومات حول الجهاز الظاهري الذي أنت على وشك نشره. بعد أن يظهر التحقق من الصحة كما تم تمريره، حدد إنشاء.

يستغرق توزيع الجهاز الظاهري بضع دقائق.

المبادره القطريه

تأكد من تشغيل أحدث إصدار من Azure CLI.

1. سجل الدخول إلى Azure باستخدام az login.

   az login 
   

2. إنشاء جهاز ظاهري باستخدام Trusted Launch.

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. بالنسبة إلى الأجهزة الظاهرية الموجودة، يمكنك تمكين إعدادات التمهيد الآمن و vTPM أو تعطيلها. يؤدي تحديث الجهاز الظاهري مع التمهيد الآمن وإعدادات vTPM إلى إعادة التشغيل التلقائي.

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

لمزيد من المعلومات حول تثبيت مراقبة تكامل التمهيد من خلال ملحق Guest Attestation، راجع تكامل التمهيد.

بوويرشيل

لتوفير جهاز ظاهري مع Trusted Launch، يجب أولا تمكينه مع المعلمة TrustedLaunch باستخدام Set-AzVmSecurityProfile cmdlet. ثم يمكنك استخدام Set-AzVmUefi cmdlet لتعيين تكوين vTPM وSecure Boot. استخدم القصاصة البرمجية التالية كبداية سريعة. تذكر استبدال القيم الموجودة في هذا المثال بالقيم الخاصة بك.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

القالب

يمكنك نشر Trusted Launch VMs باستخدام قالب التشغيل السريع.

Linux

Windows

نشر جهاز ظاهري لإطلاق موثوق به من صورة معرض حوسبة Azure

تدعم أجهزة Azure Trusted Launch الظاهرية إنشاء الصور المخصصة ومشاركتها باستخدام Azure Compute Gallery. هناك نوعان من الصور التي يمكنك إنشاؤها، استنادا إلى أنواع الأمان للصورة:

• مستحسن: الصور المعتمدة لتشغيل الجهاز الظاهري الموثوق به (TrustedLaunchSupported) هي صور لا يحتوي فيها المصدر على معلومات حالة ضيف الجهاز الظاهري ويمكن استخدامه لإنشاء أجهزة ظاهرية من الجيل 2 أو أجهزة ظاهرية موثوق بها.
• صور Trusted Launch VM (TrustedLaunch) هي صور حيث يحتوي المصدر عادة على معلومات حالة ضيف الجهاز الظاهري ويمكن استخدامه لإنشاء أجهزة ظاهرية موثوق بها فقط.

الصور المعتمدة لتشغيل الجهاز الظاهري الموثوق به

بالنسبة لمصادر الصور التالية، يجب تعيين نوع الأمان على تعريف الصورة إلى TrustedLaunchsupported:

• قرص نظام التشغيل Gen2 (OS) VHD
• صورة مدارة من Gen2
• إصدار صورة معرض Gen2

لا يمكن تضمين معلومات حالة ضيف الجهاز الظاهري في مصدر الصورة.

يمكنك استخدام إصدار الصورة الناتج لإنشاء إما أجهزة Azure Gen2 الظاهرية أو أجهزة ظاهرية لإطلاق موثوق بها.

يمكن مشاركة هذه الصور باستخدام معرض الحوسبة Azure - المعرض المشترك المباشر ومعرض حوسبة Azure - معرض المجتمع.

إشعار

يجب إنشاء قرص نظام التشغيل VHD أو صورة مدارة أو إصدار صورة المعرض من صورة Gen2 متوافقة مع أجهزة التشغيل الظاهرية الموثوق بها.

بوابة

1. قم بتسجيل الدخول إلى بوابة Azure.
2. ابحث عن إصدارات صور الجهاز الظاهري وحددها في شريط البحث.
3. في صفحة VM image versions ، حدد Create.
4. في صفحة Create VM image version ، في علامة التبويب Basics :
   1. حدد اشتراك Azure.
   2. قم بتحديد مجموعة موارد موجودة أو أنشئ مجموعة موارد جديدة.
   3. حدد منطقة Azure.
   4. أدخل رقم إصدار الصورة.
   5. بالنسبة إلى المصدر، حدد إما Storage Blobs (VHD) أو Managed Image أو إصدار صورة جهاز ظاهري آخر.
   6. إذا حددت Storage Blobs (VHD)، أدخل قرص نظام التشغيل VHD (بدون حالة ضيف الجهاز الظاهري). تأكد من استخدام Gen2 VHD.
   7. إذا حددت صورة مدارة، فحدد صورة مدارة موجودة لجهاز ظاهري Gen2.
   8. إذا قمت بتحديد VM Image Version، فحدد إصدار صورة المعرض الحالي من الجهاز الظاهري Gen2.
   9. بالنسبة إلى معرض حساب Azure الهدف، حدد أو أنشئ معرضا لمشاركة الصورة.
   10. بالنسبة لحالة نظام التشغيل، حدد إما عام أو متخصص وفقا لحالة الاستخدام الخاصة بك. إذا كنت تستخدم صورة مدارة كمصدر، فحدد "Generalized" دائما. إذا كنت تستخدم كائن ثنائي كبير الحجم للتخزين (VHD) وتريد تحديد عام، فاتبع الخطوات لتعميم Linux VHD أو تعميم Windows VHD قبل المتابعة. إذا كنت تستخدم إصدار صورة جهاز ظاهري موجود، فحدد إما عام أو متخصص استنادا إلى ما يتم استخدامه في تعريف صورة الجهاز الظاهري المصدر.
   11. بالنسبة إلى Target VM Image Definition، حدد Create new.
   12. في جزء Create a VM image definition ، أدخل اسما للتعريف. تأكد من تعيين نوع الأمان إلى Trustedlaunch Supported. أدخل معلومات الناشر والعرض وSKU. ثم حدد موافق.
5. في علامة التبويب Replication ، أدخل عدد النسخ المتماثلة والمناطق المستهدفة للنسخ المتماثل للصور، إذا لزم الأمر.
6. في علامة التبويب Encryption ، أدخل معلومات متعلقة بتشفير SSE، إذا لزم الأمر.
7. حدد "استعراض + إنشاء".
8. بعد التحقق من صحة التكوين بنجاح، حدد Create لإنهاء إنشاء الصورة.
9. بعد إنشاء إصدار الصورة، حدد Create VM.
10. في صفحة Create a virtual machine ، ضمن Resource group، حدد Create new. أدخل اسما لمجموعة الموارد الخاصة بك أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
11. ضمن تفاصيل المثيل، أدخل اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
12. بالنسبة إلى Security type، حدد Trusted launch virtual machines. يتم تمكين خانتي الاختيار التمهيد الآمن وvTPM بشكل افتراضي.
13. املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
14. في صفحة التحقق من الصحة، راجع تفاصيل الجهاز الظاهري.
15. بعد نجاح التحقق من الصحة، حدد Create لإنهاء إنشاء الجهاز الظاهري.

المبادره القطريه

تأكد من تشغيل أحدث إصدار من Azure CLI.

1. سجل الدخول إلى Azure باستخدام az login.

   az login 
   

2. إنشاء تعريف صورة باستخدام TrustedLaunchSupported نوع الأمان.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. استخدم قرص نظام التشغيل VHD لإنشاء إصدار صورة. تأكد من تعميم Linux VHD قبل تحميله إلى كائن ثنائي كبير الحجم لحساب Azure Storage باستخدام الخطوات الواردة في إعداد Linux للتصوير في Azure.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. أنشئ جهازا ظاهريا موثوقا به لبدء التشغيل من إصدار الصورة السابق.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

بوويرشيل

1. إنشاء تعريف صورة باستخدام TrustedLaunchSupported نوع الأمان.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. لإنشاء إصدار صورة، يمكنك استخدام إصدار صورة معرض Gen2 موجود، والذي تم تعميمه أثناء الإنشاء.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. أنشئ جهازا ظاهريا موثوقا به لبدء التشغيل من إصدار الصورة السابق.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

صور التشغيل الموثوق به للجهاز الظاهري

يجب تعيين نوع الأمان في تعريف الصورة إلى TrustedLaunchلمصادر الصور التالية:

• التقاط جهاز ظاهري موثوق به للتشوير
• قرص نظام التشغيل المدار
• لقطة قرص نظام التشغيل المدار

يمكنك استخدام إصدار الصورة الناتج لإنشاء Azure Trusted Launch VMs فقط.

بوابة

1. قم بتسجيل الدخول إلى بوابة Azure.
2. لإنشاء صورة معرض حوسبة Azure من جهاز ظاهري، افتح جهازا ظاهريا لإطلاق موثوق به موجود وحدد التقاط.
3. في صفحة إنشاء صورة ، اسمح بمشاركة الصورة إلى المعرض كإصدار صورة جهاز ظاهري. إنشاء الصور المدارة غير مدعوم لأجهزة التشغيل الظاهرية الموثوق بها.
4. يمكنك إنشاء معرض الحساب في Azure الهدف الجديد أو تحديد معرض موجود.
5. حدد حالة نظام التشغيل إما معممة أو مخصصة. إذا كنت ترغب في إنشاء صورة معممة، فتأكد من تعميم الجهاز الظاهري لإزالة المعلومات الخاصة بالجهاز قبل تحديد هذا الخيار. إذا تم تمكين التشفير المستند إلى Bitlocker على جهاز Windows VM الموثوق به، فقد لا تتمكن من تعميم نفسه.
6. إنشاء تعريف صورة جديد من خلال توفير اسم وناشر وعرض وتفاصيل SKU. يجب تعيين نوع الأمان لتعريف الصورة بالفعل إلى Trusted launch.
7. وفّر رقم إصدار لإصدار الصورة.
8. تعديل خيارات النسخ المتماثل، إذا لزم الأمر.
9. في أسفل صفحة إنشاء صورة ، حدد Review + Create. بعد أن يظهر التحقق من الصحة كما تم تمريره، حدد إنشاء.
10. بعد إنشاء إصدار الصورة، انتقل إلى إصدار الصورة مباشرة. بدلا من ذلك، يمكنك الانتقال إلى إصدار الصورة المطلوب من خلال تعريف الصورة.
11. في صفحة إصدار صورة الجهاز الظاهري، حدد + إنشاء جهاز ظاهري للانتقال إلى صفحة إنشاء جهاز ظاهري.
12. في صفحة Create a virtual machine ، ضمن Resource group، حدد Create new. أدخل اسما لمجموعة الموارد الخاصة بك أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
13. ضمن تفاصيل المثيل، أدخل اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
14. يتم ملء الصورة ونوع الأمان بالفعل استنادًا إلى إصدار الصورة المحدد. يتم تمكين خانتي الاختيار التمهيد الآمن وvTPM بشكل افتراضي.
15. املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
16. في أسفل الصفحة، حدد Review + Create.
17. في صفحة التحقق من الصحة، راجع تفاصيل الجهاز الظاهري.
18. بعد نجاح التحقق من الصحة، حدد Create لإنهاء إنشاء الجهاز الظاهري.

إذا كنت تريد استخدام قرص مدار أو لقطة قرص مدارة كمصدر لإصدار الصورة (بدلا من جهاز ظاهري لإطلاق موثوق به)، فاتبع الخطوات التالية.

1. قم بتسجيل الدخول إلى بوابة Azure.
2. ابحث عن VM Image Versions وحدد Create.
3. قم بتوفير الاشتراك ومجموعة الموارد والمنطقة ورقم إصدار الصورة.
4. حدد المصدر كأقراص و/أو لقطات.
5. حدد قرص نظام التشغيل كقرص مدار أو لقطة قرص مدارة من القائمة المنسدلة.
6. حدد معرض الحساب في Azure المستهدف لإنشاء الصورة ومشاركتها. في حالة عدم وجود معرض، قم بإنشاء معرض جديد.
7. حدد حالة نظام التشغيل إما معممة أو مخصصة. إذا كنت تريد إنشاء صورة معممة، فتأكد من تعميم القرص أو اللقطة لإزالة المعلومات الخاصة بالجهيز.
8. بالنسبة إلى Target VM Image Definition ، حدد Create new. في النافذة التي تفتح، حدد اسم تعريف صورة وتأكد من تعيين نوع الأمان إلى Trusted launch. قم بتوفير معلومات الناشر والعرض وSKU وحدد موافق.
9. يمكن استخدام علامة تبويب النسخ المتماثل لتعيين عدد النسخ المتماثلة والمناطق المستهدفة لنسخ الصورة، إذا لزم الأمر.
10. يمكن أيضا استخدام علامة التبويب Encryption لتوفير معلومات متعلقة بتشفير SSE، إذا لزم الأمر.
11. حدد إنشاء في علامة التبويب مراجعة + إنشاء لإنشاء الصورة.
12. بعد إنشاء إصدار الصورة بنجاح، حدد + Create VM للانتقال إلى صفحة Create a virtual machine .
13. اتبع الخطوات من 12 إلى 18 كما ذكر سابقا لإنشاء جهاز ظاهري موثوق به لتشغيل باستخدام إصدار الصورة هذا.

المبادره القطريه

تأكد من تشغيل أحدث إصدار من Azure CLI.

1. سجل الدخول إلى Azure باستخدام az login.

   az login 
   

2. إنشاء تعريف صورة باستخدام TrustedLaunch نوع الأمان.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. لإنشاء إصدار صورة، يمكنك التقاط جهاز ظاهري قائم على Linux Trusted Launch. قم بتعميم Trusted Launch VM قبل إنشاء إصدار الصورة.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   إذا كان يجب استخدام قرص مدار أو لقطة قرص مدارة كمصدر صورة لإصدار الصورة، استبدل --managed-image في الأمر --os-snapshot السابق مع وقدم القرص أو اسم مورد اللقطة.

4. أنشئ جهازا ظاهريا موثوقا به لبدء التشغيل من إصدار الصورة السابق.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

بوويرشيل

1. إنشاء تعريف صورة باستخدام TrustedLaunch نوع الأمان.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. لإنشاء إصدار صورة، يمكنك التقاط جهاز ظاهري قائم على Windows يعمل بنظام التشغيل الموثوق به. قم بتعميم Trusted Launch VM قبل إنشاء إصدار الصورة.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. أنشئ جهازا ظاهريا موثوقا به لبدء التشغيل من إصدار الصورة السابق.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

نهج التشغيل الموثوق به المضمنة

لمساعدة المستخدمين على اعتماد Trusted Launch، تتوفر نهج Azure لمساعدة مالكي الموارد على اعتماد Trusted Launch. الهدف الرئيسي هو المساعدة في تحويل أجهزة ظاهرية من الجيل 1 و2 يمكن تشغيلها بشكل موثوق به.

يجب أن يكون لدى الجهاز الظاهري نهج واحد ممكن عليه تشغيل موثوق به يتحقق مما إذا كان الجهاز الظاهري ممكنا حاليا مع تكوينات أمان Trusted Launch. يتحقق كل من الأقراص ونظام التشغيل المدعومان لنهج التشغيل الموثوق به ما إذا كانت الأجهزة الظاهرية التي تم إنشاؤها مسبقا لديها نظام التشغيل والجهاز الظاهري من الجيل 2 القادرة لنشر جهاز ظاهري موثوق به.

يجتمع هذان النهجان معا لجعل مبادرة نهج الإطلاق الموثوق به. تمكنك هذه المبادرة من تجميع العديد من تعريفات النهج ذات الصلة لتبسيط التعيينات وموارد الإدارة لتضمين تكوين Trusted Launch.

لمعرفة المزيد وبدء النشر، راجع نهج التشغيل الموثوق به المضمنة.

---

التحقق من الإعدادات أو تحديثها

بالنسبة إلى الأجهزة الظاهرية التي تم إنشاؤها باستخدام تمكين التشغيل الموثوق به، يمكنك عرض تكوين التشغيل الموثوق به عن طريق الانتقال إلى صفحة نظرة عامة للجهاز الظاهري في مدخل Microsoft Azure. تعرض علامة التبويب Properties حالة ميزات "التشغيل الموثوق به".

لتغيير تكوين Trusted Launch، في القائمة اليمنى، ضمن Settings، حدد Configuration. في قسم Security type، يمكنك تمكين أو تعطيل Secure Boot وvTPM ومراقبة التكامل. حدد حفظ في أعلى الصفحة عند الانتهاء.

إذا كان الجهاز الظاهري قيد التشغيل، فستتلقى رسالة تفيد بإعادة تشغيل الجهاز الظاهري. حدد نعم ثم انتظر حتى يتم إعادة تشغيل الجهاز الظاهري حتى تسري التغييرات.

المحتوى ذو الصلة

تعرف على المزيد حول الأجهزة الظاهرية لمراقبة تكامل التشغيل والتمهيد الموثوق بها.