Freigeben über


Schnellstart: Erstellen einer vertraulichen VM im Azure-Portal

Sie können das Azure-Portal verwenden, um schnell eine vertrauliche VM basierend auf einem Azure Marketplace-Image zu erstellen. Es gibt mehrere vertrauliche VM-Optionen auf AMD und Intel mit AMD SEV-SNP und Intel TDX-Technologie.

Voraussetzungen

  • Ein Azure-Abonnement. Kostenlose Testkonten haben keinen Zugriff auf die in diesem Tutorial verwendeten virtuellen Computer. Eine Option besteht darin, ein Abonnement mit nutzungsbasierter Bezahlung zu verwenden.

  • Wenn Sie eine Linux-basierte vertrauliche VM verwenden, verwenden Sie eine BASH-Shell für SSH, oder installieren Sie einen SSH-Client wiePuTTY.

  • Wenn vertrauliche Datenträgerverschlüsselung mit einem kundenseitig verwalteten Schlüssel erforderlich ist, führen Sie den unten stehenden Befehl aus, um den Dienstprinzipal Confidential VM Orchestrator für Ihren Mandanten zu registrieren. Installieren Sie das Microsoft Graph SDK, um die folgenden Befehle auszuführen.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
    New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
    

Erstellen eines vertraulichen virtuellen Computers

So erstellen Sie eine vertrauliche VM im Azure-Portal mit einem Azure Marketplace-Image

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Virtuelle Computer aus, oder suchen Sie danach.

  3. Wählen Sie im Seitenmenü Virtuelle Computer die Option Erstellen>Virtueller Computer aus.

  4. Konfigurieren Sie auf der Registerkarte Grundlegende Einstellungen die folgenden Einstellungen:

    a. Wählen Sie unter Projektdetails für Abonnement ein Azure-Abonnement aus, das die Voraussetzungen erfüllt.

    b. Wählen Sie für Ressourcengruppe die Option Neu erstellen aus, um eine neue Ressourcengruppe zu erstellen. Geben Sie einen Namen ein, und wählen Sie OK aus.

    c. Geben Sie unter Instanzdetails für Name des virtuellen Computers einen Namen für Ihre neue VM ein.

    d. Wählen Sie für Region die Azure-Region aus, in der Ihre VM bereitgestellt werden soll.

    Hinweis

    Vertrauliche VMs sind nicht an allen Standorten verfügbar. Informationen zu den derzeit unterstützten Standorten finden Sie unter Verfügbarkeit von VM-Produkten nach Azure-Region.

    e. Wählen Sie für Verfügbarkeitsoptionen Keine Infrastrukturredundanz erforderlich aus, für einzelne VMs oder VM-Skalierungsgruppe für mehrere VMs.

    f. Wählen Sie als Sicherheitstyp die Option Vertrauliche virtuelle Computer aus.

    g. Wählen Sie für Image das Betriebssystemimage aus, das für Ihre VM verwendet werden soll. Wählen Sie Alle Images anzeigen aus, um Azure Marketplace zu öffnen. Wählen Sie den Filter Sicherheitstyp>Vertraulich aus, um alle verfügbaren vertraulichen VM-Images anzuzeigen.

    h. Schalten Sie Images der Generation 2 um. Vertrauliche VMs können nur auf Images der Generation 2 ausgeführt werden. Wählen Sie zur Sicherstellung unter Image die Option VM-Generation konfigurieren aus. Wählen Sie im Bereich VM-Generation konfigurieren für VM-Generation die Option Generation 2 aus. Wählen Sie dann Übernehmen aus.

    Hinweis

    Für NCCH100v5-Serie wird derzeit nur das Ubuntu Server 22.04 LTS (Vertraulicher virtueller Computer) Image unterstützt.

    i. Wählen Sie als Größe eine VM-Größe aus. Weitere Informationen finden Sie unter Unterstützte vertrauliche VM-Familien.

    j. Wählen Sie, wenn Sie eine Linux-VM erstellen, als Authentifizierungstyp die Option Öffentlicher SSH-Schlüssel aus. Wenn Sie noch nicht über SSH-Schlüssel verfügen, erstellen Sie SSH-Schlüssel für Ihre Linux-VMs.

    k. Geben Sie unter Administratorkonto als Benutzername einen Administratornamen für Ihre VM ein.

    l. Geben Sie als Öffentlichen SSH-Schlüssel Ihren öffentlichen RSA-Schlüssel ein (falls zutreffend).

    m. Geben Sie in Kennwort und in Kennwort bestätigen ein Administratorkennwort ein (falls zutreffend).

    n. Wählen Sie unter Regeln für eingehende Ports für Öffentliche Eingangsports die Option Ausgewählte Ports zulassen aus.

    o. Wählen Sie im Dropdownmenü für Eingangsports auswählen Ihre Eingangsports aus. Wählen Sie für Windows-VMs HTTP (80) und RDP (3389) aus. Wählen Sie für Linux-VMs SSH (22) und HTTP (80) aus.

    Hinweis

    Es wird nicht empfohlen, RDP-/SSH-Ports für Produktionsbereitstellungen zuzulassen.

  5. Konfigurieren Sie auf der Registerkarte Datenträger die folgenden Einstellungen:

    1. Aktivieren Sie unter Datenträgeroptionen die Option Verschlüsselung vertraulicher Betriebssystemdatenträger, wenn Sie den Betriebssystemdatenträger Ihrer VM während der Erstellung verschlüsseln möchten.

    2. Wählen Sie für Schlüsselverwaltung den zu verwendenden Schlüsseltyp aus.

    3. Wenn Vertrauliche Datenträgerverschlüsselung mit kundenseitig verwaltetem Schlüssel ausgewählt ist, erstellen Sie einen vertraulichen Datenträgerverschlüsselungssatz, bevor Sie Ihre vertrauliche VM erstellen.

    4. Wenn Sie den temporären Datenträger Ihrer VM verschlüsseln möchten, lesen Sie bitte die folgenden Dokumentation.

  6. (Optional) Erstellen Sie bei Bedarf einen Vertraulichen Datenträgerverschlüsselungssatz wie folgt.

    1. Erstellen Sie ein Azure Key Vault, indem Sie den Tarif Premium mit der Unterstützung für HSM-gestützte Schlüssel verwenden. Außerdem ist es wichtig, den Bereinigungsschutz als zusätzliche Sicherheitsmaßnahme zu aktivieren. Verwenden Sie für die Zugriffskonfiguration auch die Option „Zugriffsrichtlinie für den Tresor“ auf der Registerkarte „Zugriffskonfiguration“. Alternativ können Sie ein Azure Key Vault Managed Hardware Security Module (HSM) erstellen.

    2. Suchen Sie im Azure-Portal nach Datenträgerverschlüsselungssätzen, und wählen Sie sie aus.

    3. Klicken Sie auf Erstellen.

    4. Wählen Sie unter Abonnement das zu verwendende Azure-Abonnement aus.

    5. Wählen Sie unter Ressourcengruppe eine Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.

    6. Geben Sie unter Name des Datenträgerverschlüsselungssatzes einen Namen für den Satz ein.

    7. Wählen Sie unter Region eine verfügbare Azure-Region aus.

    8. Wählen Sie unter Verschlüsselungstyp die Option Vertrauliche Datenträgerverschlüsselung mit kundenseitig verwaltetem Schlüssel aus.

    9. Wählen Sie unter Schlüsseltresor den Schlüsseltresor aus, den Sie zuvor erstellt haben.

    10. Wählen Sie unter Schlüsseltresor die Option Neu erstellen aus, um einen neuen Schlüssel zu erstellen.

      Hinweis

      Wenn Sie zuvor ein verwaltetes Azure-HSM ausgewählt haben, verwenden Sie PowerShell oder die Azure CLI, um stattdessen den neuen Schlüssel zu erstellen.

    11. Geben Sie unter Lab-Name einen Namen für das Lab ein.

    12. Wählen Sie als Schlüsseltyp RSA-HSM aus.

    13. Auswählen der Schlüsselgröße

    n. Wählen Sie unter „Optionen für vertrauliche Schlüssel“ die Option Exportierbar aus, und legen Sie die Richtlinie für vertrauliche Vorgänge auf CVM-Richtlinie für vertrauliche Vorgänge fest.

    o. Wählen Sie Erstellen aus, um das Erstellen des Schlüssels abzuschließen.

    p. Wählen Sie Überprüfen und Erstellen aus, um einen neuen Datenträgerverschlüsselungssatz zu erstellen. Warten Sie, bis die Ressourcenerstellung erfolgreich abgeschlossen wurde.

    q. Wechseln Sie zur Datenträgerverschlüsselungssatz-Ressource im Azure-Portal.

    r. Wenn ein blaues Infobanner angezeigt wird, folgen Sie den Anweisungen, um Zugriff zu gewähren. Sollte ein rosa Banner angezeigt werden, wählen Sie es einfach aus, um Azure Key Vault die erforderlichen Berechtigungen zu erteilen.

    Wichtig

    Sie müssen diesen Schritt ausführen, um die vertrauliche VM erfolgreich zu erstellen.

  7. Nehmen Sie nach Bedarf Änderungen an Einstellungen auf folgenden Registerkarten vor: Netzwerk, Verwaltung, Gastkonfiguration und Tags.

  8. Wählen Sie Überprüfen und erstellen aus, um Ihre Konfiguration zu überprüfen.

  9. Warten Sie, bis die Validierung abgeschlossen ist. Beheben Sie bei Bedarf alle Validierungsprobleme, und wählen Sie dann erneut Überprüfen und erstellen aus.

  10. Klicken Sie im Bereich Bewerten + erstellen auf Erstellen.

Herstellen einer Verbindung mit einem vertraulichen virtuellen Computer

Es gibt verschiedene Methoden, um eine Verbindung mit vertraulichen Windows-VMs sowie mit vertraulichen Linux-VMs herzustellen.

Herstellen einer Verbindung mit virtuellen Windows-Computern

Informationen zum Herstellen einer Verbindung mit einer vertraulichen Windows-VM mit einem Windows-Betriebssystem finden Sie unter Herstellen einer Verbindung mit einem virtuellen Azure-Computer unter Windows und Anmelden auf diesem Computer.

Herstellen einer Verbindung mit virtuellen Linux-Computern

Informationen zum Herstellen einer Verbindung mit einer vertraulichen VM mit einem Linux-Betriebssystem finden Sie in den Anweisungen für das Betriebssystem Ihres Computers.

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die öffentliche IP-Adresse Ihres virtuellen Computers verfügen. So können Sie die IP-Adresse ermitteln

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Virtuelle Computer aus, oder suchen Sie danach.

  3. Wählen Sie auf der Seite Virtuelle Computer Ihre vertrauliche VM aus.

  4. Kopieren Sie die Öffentliche IP-Adresse von der Übersichtsseite Ihres vertraulichen virtuellen Computers.

    Weitere Informationen zum Herstellen einer Verbindung mit Linux-VMs finden Sie unter Schnellstart: Erstellen eines virtuellen Linux-Computers im Azure-Portal.

  5. Öffnen Sie Ihren SSH-Client, z. B. PuTTY.

  6. Geben Sie die öffentliche IP-Adresse Ihrer vertraulichen VM ein.

  7. Stellen Sie eine Verbindung zur VM her. Wählen Sie in PuTTY Öffnen aus.

  8. Geben Sie den Benutzernamen und das Kennwort des Administrator Ihres virtuellen Computers ein.

    Hinweis

    Wenn Sie PuTTY verwenden, erhalten Sie möglicherweise eine Sicherheitswarnung, dass der Hostschlüssel des Servers nicht in der Registrierung zwischengespeichert wird. Wenn Sie dem Host vertrauen, wählen Sie Ja aus, um den Schlüssel dem Cache von PuTTy hinzuzufügen und die Verbindungsherstellung fortzusetzen. Um nur einmal eine Verbindung herzustellen, ohne den Schlüssel hinzuzufügen, wählen Sie Nein aus. Wenn Sie dem Host nicht vertrauen, wählen Sie Abbrechen aus, um Ihre Verbindung abzubrechen.

Bereinigen von Ressourcen

Nachdem Sie die Schnellstartanleitung abgeschlossen haben, können Sie die vertrauliche VM, die Ressourcengruppe sowie andere zugehörige Ressourcen bereinigen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Ressourcengruppen, oder suchen Sie nach dieser Option.

  3. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe aus, die Sie für diese Schnellstartanleitung erstellt haben.

  4. Wählen Sie im Menü der Ressourcengruppe Ressourcengruppe löschen aus.

  5. Geben Sie im Warnungsbereich den Namen der Ressourcengruppe ein, um den Löschvorgang zu bestätigen.

  6. Klicken Sie auf Löschen.

Nächste Schritte