Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: ✔️ Virtuální počítače s Linuxem
V tomto postupu se dozvíte, jak pomocí rozhraní Azure Command-Line (Azure CLI) vytvořit vlastní image pro váš důvěrný virtuální počítač (důvěrný virtuální počítač) v Azure. Azure CLI slouží k vytváření a správě prostředků Azure prostřednictvím příkazového řádku nebo skriptů.
Vytvoření vlastní image umožňuje předem nakonfigurovat důvěrný virtuální počítač pomocí konkrétních softwarových, nastavení a bezpečnostních opatření, která splňují vaše požadavky. Pokud chcete přenést Ubuntu image, která není kompatibilní s důvěrným VM, můžete postupovat podle následujících kroků a zjistit, jaké jsou minimální požadavky na váš image.
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure , než začnete.
Spuštění služby Azure Cloud Shell
Azure Cloud Shell je bezplatné interaktivní prostředí, které můžete použít ke spuštění kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem.
Pokud chcete otevřít Cloud Shell, vyberte položku Vyzkoušet v pravém horním rohu bloku kódu. Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/bash. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte ho do Cloud Shellu a stisknutím klávesy Enter ho spusťte.
Pokud chcete rozhraní příkazového řádku nainstalovat a používat lokálně, je požadována Azure CLI verze 2.0.30 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalovat nebo upgradovat, podívejte se na Install Azure CLI.
Vytvoření skupiny zdrojů
Vytvořte skupinu prostředků s využitím příkazu az group create. Skupina prostředků Azure je logický kontejner, do kterého se nasazují a spravují prostředky Azure.
Poznámka:
Důvěrné virtuální počítače nejsou dostupné ve všech umístěních. Podívejte se, které produkty virtuálních počítačů jsou dostupné podle regionů Azure v aktuálně podporovaných umístěních.
az group create --name $resourceGroupName --location eastus
Vytvoření vlastní image pro důvěrné virtuální počítače Azure
Ze seznamu podporovaných imagí Azurevytvořte virtuální počítač s vybranou imagí Ubuntu.
Ujistěte se, že verze jádra je minimálně 5.15.0-1037-azure. Po připojení k virtuálnímu počítači můžete použít "uname -r" a zkontrolovat verzi jádra. Tady můžete přidat jakékoli změny obrázku podle potřeby.
Uvolněte virtuální počítač.
az vm deallocate --name $vmname --resource-group $resourceGroupNameVytvořte sdílený přístupový token (token SAS) pro disk s operačním systémem a uložte ho do proměnné. Mějte na paměti, že tento disk s operačním systémem nemusí být ve stejné skupině prostředků jako důvěrný virtuální počítač.
disk_name=$(az vm show --name $vmname --resource-group $resourceGroupName | jq -r .storageProfile.osDisk.name) disk_url=$(az disk grant-access --duration-in-seconds 3600 --name $disk_name --resource-group $resourceGroupName | jq -r .accessSas)
Vytvoření účtu úložiště pro uložení exportovaného disku
- Vytvořte si účet úložiště.
az storage account create --resource-group ${resourceGroupName} --name ${storageAccountName} --location $region --sku "Standard_LRS" - Vytvořte kontejner v rámci účtu úložiště.
az storage container create --name $storageContainerName --account-name $storageAccountName --resource-group $resourceGroupName - Vygenerujte sdílený přístupový token pro čtení (token SAS) kontejneru úložiště a uložte ho do proměnné.
container_sas=$(az storage container generate-sas --name $storageContainerName --account-name $storageAccountName --auth-mode key --expiry 2024-01-01 --https-only --permissions dlrw -o tsv) - Pomocí příkazu azcopy zkopírujte disk s operačním systémem do kontejneru úložiště.
blob_url="https://${storageAccountName}.blob.core.windows.net/$storageContainerName/$referenceVHD" azcopy copy "$disk_url" "${blob_url}?${container_sas}"
Vytvořte důvěrný podporovaný obraz
- Vytvořte sdílenou galerii imagí.
az sig create --resource-group $resourceGroupName --gallery-name $galleryName - Vytvořte definici sdílené galerie obrázků (SIG) podporující důvěrný virtuální počítač. Nastavte nové názvy pro definici obrázku galerie, vydavatele SIG a SKU.
az sig image-definition create --resource-group $resourceGroupName --location $region --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --publisher $sigPublisherName --offer ubuntu --sku $sigSkuName --os-type Linux --os-state specialized --hyper-v-generation V2 --features SecurityType=ConfidentialVMSupported - Získejte ID účtu úložiště.
storageAccountId=$(az storage account show --name $storageAccountName --resource-group $resourceGroupName | jq -r .id) - Vytvořte verzi obrázku SIG.
az sig image-version create --resource-group $resourceGroupName --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --os-vhd-storage-account $storageAccountId --os-vhd-uri $blob_url - Uložte ID verze image SIG vytvořené v předchozím kroku.
galleryImageId=$(az sig image-version show --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --gallery-name $galleryName --resource-group $resourceGroupName | jq -r .id)
Vytvoření důvěrného virtuálního počítače
- Vytvořte virtuální počítač pomocí příkazu az vm create . Další informace najdete v tématu Secure Boot a vTPM. Další informace o šifrování disků najdete v tématu Důvěrné šifrování disku s operačním systémem. V současné době důvěrné virtuální počítače podporují velikosti virtuálních počítačů řady DC a EC series .
az vm create \ --resource-group $resourceGroupName \ --name $cvmname \ --size Standard_DC4as_v5 \ --enable-vtpm true \ --enable-secure-boot true \ --image $galleryImageId \ --public-ip-sku Standard \ --security-type ConfidentialVM \ --os-disk-security-encryption-type VMGuestStateOnly \ --specialized