Rychlý start: Vytvoření důvěrného virtuálního počítače na webu Azure Portal
Pomocí webu Azure Portal můžete rychle vytvořit důvěrný virtuální počítač založený na imagi Azure Marketplace. Amd a Intel s technologií AMD SEV-SNP a Intel nabízí několik důvěrných možností virtuálního počítače.
Požadavky
Předplatné Azure. Bezplatné zkušební účty nemají přístup k virtuálním počítačům používaným v tomto kurzu. Jednou z možností je použít předplatné s průběžnou platbou.
Pokud používáte důvěrný virtuální počítač založený na Linuxu, použijte prostředí BASH pro SSH nebo nainstalujte klienta SSH, například PuTTY.
Pokud je vyžadováno šifrování důvěrných disků pomocí klíče spravovaného zákazníkem, spusťte následující příkaz, kterým se přihlásíte k instančnímu objektu
Confidential VM Orchestrator
pro vašeho tenanta. Nainstalujte sadu Microsoft Graph SDK a spusťte následující příkazy.Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
Vytvoření důvěrného virtuálního počítače
Vytvoření důvěrného virtuálního počítače na webu Azure Portal pomocí image Azure Marketplace:
Přihlaste se k portálu Azure.
Vyberte nebo vyhledejte virtuální počítače.
V nabídce na stránce Virtuální počítače vyberte Vytvořit>virtuální počítač.
Na kartě Základy nakonfigurujte následující nastavení:
a. V části Project details (Podrobnosti o projektu) v části Subscription (Předplatné) vyberte předplatné Azure, které splňuje požadavky.
b. V části Skupina prostředků vyberte Vytvořit novou a vytvořte novou skupinu prostředků. Zadejte název a vyberte OK.
c. V části Podrobnosti o instanci zadejte název virtuálního počítače.
d. V části Oblast vyberte oblast Azure, ve které chcete virtuální počítač nasadit.
Poznámka:
Důvěrné virtuální počítače nejsou dostupné ve všech umístěních. V aktuálně podporovaných umístěních se podívejte, které produkty virtuálních počítačů jsou dostupné v jednotlivých oblastech Azure.
e. Pro možnosti dostupnosti vyberte Možnost Žádná redundance infrastruktury vyžadovaná pro jednotné virtuální počítače nebo škálovací sadu virtuálních počítačů pro více virtuálních počítačů.
f. Jako typ zabezpečení vyberte Důvěrné virtuální počítače.
g. Jako image vyberte image operačního systému, která se má použít pro váš virtuální počítač. Výběrem možnosti Zobrazit všechny image otevřete Azure Marketplace. Výběrem filtru Typ>zabezpečení Důvěrné zobrazíte všechny dostupné důvěrné image virtuálních počítačů.
h. Přepněte obrázky generace 2 . Důvěrné virtuální počítače běží jenom na imagích 2. generace. Pokud chcete zajistit, v části Image vyberte Konfigurovat generování virtuálních počítačů. V podokně Konfigurace generování virtuálního počítače vyberte pro generování virtuálního počítače 2. generace. Pak vyberte Použít.
Poznámka:
V případě řady NCCH100v5 se v současné době podporuje jenom image Ubuntu Serveru 22.04 LTS (důvěrné virtuální počítače ).
i. V části Velikost vyberte velikost virtuálního počítače. Další informace najdete v tématu podporované důvěrné rodiny virtuálních počítačů.
j. Pokud vytváříte virtuální počítač s Linuxem, jako typ ověřování vyberte veřejný klíč SSH. Pokud ještě nemáte klíče SSH, vytvořte pro virtuální počítače s Linuxem klíče SSH.
k. V části Účet správce zadejte uživatelské jméno správce pro váš virtuální počítač.
l. Pokud je to možné, zadejte veřejný klíč SSH.
m. V případě hesla a potvrzení hesla zadejte heslo správce.
n. V části Příchozí pravidla portů pro veřejné příchozí porty vyberte Povolit vybrané porty.
o. V části Vybrat příchozí porty vyberte příchozí porty z rozevírací nabídky. U virtuálních počítačů s Windows vyberte HTTP (80) a RDP (3389). U virtuálních počítačů s Linuxem vyberte SSH (22) a HTTP (80).
Poznámka:
Nedoporučuje se povolit porty RDP/SSH pro produkční nasazení.
Na kartě Disky nakonfigurujte následující nastavení:
V části Možnosti disku povolte šifrování disku důvěrného operačního systému, pokud chcete během vytváření zašifrovat disk s operačním systémem virtuálního počítače.
V části Správa klíčů vyberte typ klíče, který chcete použít.
Pokud je zaškrtnuté šifrování důvěrných disků pomocí klíče spravovaného zákazníkem, vytvořte před vytvořením důvěrného virtuálního počítače sadu důvěrných disků.
Pokud chcete šifrovat dočasný disk virtuálního počítače, projděte si následující dokumentaci.
(Volitelné) V případě potřeby je potřeba vytvořit sadu šifrování důvěrného disku následujícím způsobem.
Vytvořte službu Azure Key Vault s využitím cenové úrovně Premium , která zahrnuje podporu klíčů založených na HSM. Je také důležité povolit ochranu před vyprázdněním pro přidaná bezpečnostní opatření. Kromě toho pro konfiguraci přístupu použijte zásadu přístupu trezoru na kartě Konfigurace přístupu. Případně můžete vytvořit modul hardwarového zabezpečení (HSM) spravované službou Azure Key Vault.
Na webu Azure Portal vyhledejte a vyberte Sady šifrování disků.
Vyberte Vytvořit.
V části Předplatné vyberte, které předplatné Azure se má použít.
Pro skupinu prostředků vyberte nebo vytvořte novou skupinu prostředků, která se má použít.
Jako název sady šifrování disku zadejte název sady.
V oblasti vyberte dostupnou oblast Azure.
Jako typ šifrování vyberte Důvěrné šifrování disku s klíčem spravovaným zákazníkem.
V případě služby Key Vault vyberte trezor klíčů, který jste už vytvořili.
V části Key Vault vyberte Vytvořit nový a vytvořte nový klíč.
Poznámka:
Pokud jste dříve vybrali spravovaný HSM Azure, vytvořte místo toho nový klíč pomocí PowerShellu nebo Azure CLI.
Do pole Název zadejte název klíče.
Jako typ klíče vyberte RSA-HSM.
Vyberte velikost klíče.
n. V části Možnosti důvěrného klíče vyberte Exportovatelné a nastavte zásady důvěrných operací CVM jako zásady důvěrných operací CVM.
o. Výběrem možnosti Vytvořit dokončete vytváření klíče.
p. Vyberte Zkontrolovat a vytvořit novou sadu šifrování disku. Počkejte, až se vytvoření prostředku úspěšně dokončí.
q. Na webu Azure Portal přejděte k prostředku sady šifrování disků.
r. Když se zobrazí modrý informační banner, postupujte podle pokynů uvedených k udělení přístupu. Když narazíte na růžový banner, jednoduše ho vyberte, abyste udělili potřebná oprávnění ke službě Azure Key Vault.
Důležité
Chcete-li úspěšně vytvořit důvěrný virtuální počítač, musíte tento krok provést.
Podle potřeby proveďte změny nastavení na kartách Sítě, Správa, Konfigurace hosta a Značky.
Vyberte Zkontrolovat a vytvořit a ověřte konfiguraci.
Počkejte na ověření. V případě potřeby opravte všechny problémy s ověřením a pak znovu vyberte Zkontrolovat a vytvořit .
V podokně Zkontrolovat a vytvořit vyberte Vytvořit.
Připojení k důvěrnému virtuálnímu počítači
Existují různé metody připojení k důvěrným virtuálním počítačům s Windows a důvěrným virtuálním počítačům s Linuxem.
Připojení k virtuálním počítačům s Windows
Pokud se chcete připojit k důvěrnému virtuálnímu počítači s operačním systémem Windows, přečtěte si, jak se připojit k virtuálnímu počítači Azure s Windows a přihlásit se k němu.
Připojení k virtuálním počítačům s Linuxem
Pokud se chcete připojit k důvěrnému virtuálnímu počítači s operačním systémem Linux, přečtěte si pokyny pro operační systém vašeho počítače.
Než začnete, ujistěte se, že máte veřejnou IP adresu vašeho virtuálního počítače. Vyhledání IP adresy:
Přihlaste se k portálu Azure.
Vyberte nebo vyhledejte virtuální počítače.
Na stránce Virtuální počítače vyberte váš důvěrný virtuální počítač.
Na stránce s přehledem důvěrného virtuálního počítače zkopírujte veřejnou IP adresu.
Další informace o připojení k virtuálním počítačům s Linuxem najdete v tématu Rychlý start: Vytvoření virtuálního počítače s Linuxem na webu Azure Portal.
Otevřete klienta SSH, například PuTTY.
Zadejte veřejnou IP adresu vašeho virtuálního počítače.
Připojte se k virtuálnímu počítači. V PuTTY vyberte Otevřít.
Zadejte uživatelské jméno a heslo správce virtuálního počítače.
Poznámka:
Pokud používáte PuTTY, může se zobrazit výstraha zabezpečení, že klíč hostitele serveru není uložený v mezipaměti v registru. Pokud hostiteli důvěřujete, výběrem možnosti Ano přidejte klíč do mezipaměti PuTTY a pokračujte v připojování. Pokud se chcete připojit jen jednou, aniž byste klíč přidali, vyberte Ne. Pokud hostiteli nedůvěřujete, zrušte připojení výběrem možnosti Storno .
Vyčištění prostředků
Po dokončení tohoto rychlého startu můžete vyčistit důvěrný virtuální počítač, skupinu prostředků a další související prostředky.
Přihlaste se k portálu Azure.
Vyberte nebo vyhledejte Skupiny prostředků.
Na stránce Skupiny prostředků vyberte skupinu prostředků, kterou jste vytvořili pro účely tohoto rychlého startu.
V nabídce skupiny prostředků vyberte Odstranit skupinu prostředků.
V podokně upozornění potvrďte odstranění zadáním názvu skupiny prostředků.
Vyberte Odstranit.