Inicio rápido: Creación de máquinas virtuales confidenciales en Azure Portal

  • Artículo

En Azure Portal se pueden crear en muy poco tiempo máquinas virtuales confidenciales mediante imágenes de Azure Marketplace. Hay varias opciones de máquinas virtuales confidenciales en AMD e Intel con las tecnologías AMD SEV-SNP e Intel TDX.

Requisitos previos

  • Suscripción a Azure. Las cuentas de evaluación gratuita no tienen acceso a las máquinas virtuales que se usan en este tutorial. Una opción es usar una suscripción de pago por uso.

  • Si usa una máquina virtual confidencial basada en Linux, use un shell de BASH para usar para SSH, o bien instale un cliente SSH, como PuTTY.

  • Si se requiere cifrado de disco confidencial con una clave administrada por el cliente, ejecute el comando siguiente para participar en la entidad de servicio Confidential VM Orchestrator del inquilino. Instale el SDK de Microsoft Graph para ejecutar los comandos siguientes.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

Creación de una máquina virtual confidencial

Para crear una máquina virtual confidencial en Azure Portal mediante una imagen de Azure Marketplace:

  1. Inicie sesión en Azure Portal.

  2. Seleccione o busque Máquinas virtuales.

  3. En la página Máquinas virtuales, seleccione Crear>Máquina virtual.

  4. En la pestaña Información básica, configure los siguientes valores:

    a. En Detalles del proyecto, en Suscripción, seleccione una suscripción de Azure que cumpla los requisitos previos.

    b. En Grupo de recursos, seleccione Crear nuevo para generar un nuevo grupo de recursos de Azure. Escriba un nombre y, a continuación, seleccione Aceptar.

    c. En Detalles de la instancia, en Nombre de la máquina virtual, escriba un nombre para la nueva máquina virtual.

    d. En Región, seleccione la región de Azure en la que se implementa la máquina virtual.

    Nota

    Las máquinas virtuales confidenciales no están disponibles en todas las ubicaciones. Para las ubicaciones admitidas actualmente, consulte qué productos de máquina virtual están disponibles en la región de Azure.

    e. En Opciones de disponibilidad, seleccione No se requiere redundancia de infraestructura si lo que desea es crear una sola máquina virtual o Conjunto de escalado de máquinas virtuales si quiere crear varias.

    f. En Tipo de seguridad, seleccione Máquinas virtuales confidenciales.

    g. En Imagen, seleccione la imagen del sistema operativo que se usará para la máquina virtual. Seleccione Ver todas las imágenes para abrir Azure Marketplace. Seleccione el filtro Tipo de seguridad>Confidencial para mostrar todas las imágenes de máquina virtual confidenciales disponibles.

    h. Alterne a imágenes de segunda generación. Las máquinas virtuales confidenciales solo se ejecutan en imágenes de segunda generación. Para asegurarse, en Imagen, seleccione Configure VM generation (Configurar generación de VM). En el panel Configure VM generation (Configurar generación de VM), en Generación de VM, seleccione Segunda generación. Luego, seleccione Aplicar.

    i. En Tamaño, seleccione un tamaño de VM. Para más información, consulte las familias de máquinas virtuales confidenciales admitidas.

    j. En Tipo de autenticación, si va a crear una máquina virtual Linux, seleccione Clave pública SSH. Si aún no tiene claves SSH, cree claves SSH para las máquinas virtuales Linux.

    k. En Cuenta de administrador, en Nombre de usuario, escriba un nombre de administrador para la máquina virtual.

    l. Si es aplicable, en Clave pública SSH, escriba la clave pública RSA.

    m. En Contraseña y Confirmar contraseña, si procede, escriba una contraseña de administrador.

    n. En Reglas de puerto de entrada, en Puertos de entrada públicos, seleccione Permitir los puertos seleccionados.

    o. En Seleccionar puertos de entrada, seleccione los puertos de entrada en el menú desplegable. En máquinas virtuales Windows, seleccione HTTP (80) y RDP (3389). En máquinas virtuales Linux, seleccione SSH (22) y HTTP (80).

    Nota

    No se recomienda permitir puertos RDP/SSH para implementaciones de producción.

  5. En la pestaña Discos, configure los siguientes valores:

    1. En Opciones de disco, habilite Cifrado de disco de sistema operativo confidencial si desea que el disco del sistema operativo de la máquina virtual se cifre durante la creación.

    2. En Administración de claves, seleccione el tipo de clave que se va a usar.

    3. Si se selecciona Cifrado de disco confidencial con una clave administrada por el cliente, cree un Conjunto de cifrado de disco confidencial antes de crear la máquina virtual confidencial.

    4. Si desea cifrar el disco temporal de la máquina virtual, consulte la siguiente documentación.

  6. (Opcional) Si es necesario, cree un Conjunto de cifrado de disco confidencial como se indica a continuación.

    1. Para crear una instancia de Azure Key Vault, seleccione el plan de tarifa Prémium que incluye compatibilidad con claves respaldadas por HSM y habilite la protección contra purga. Como alternativa, puede crear un módulo de seguridad de hardware (HSM) administrado de Azure Key Vault.

    2. En Azure Portal, busque y seleccione Conjunto de cifrado de disco.

    3. Seleccione Crear.

    4. En Suscripción, seleccione la suscripción de Azure que se va a usar.

    5. En Grupo de recursos, seleccione o cree el nuevo grupo de recursos que se va a usar.

    6. En Nombre del conjunto de cifrado de disco, escriba un nombre para el conjunto.

    7. En Región, seleccione una región de Azure disponible.

    8. En Tipo de cifrado, seleccione Cifrado de disco confidencial con una clave administrada por el cliente.

    9. En Almacén de claves, seleccione el almacén de claves que creó anteriormente.

    10. En Almacén de claves, seleccione Crear nuevo para crear una nueva clave.

      Nota

      Si seleccionó anteriormente un HSM administrado por Azure, use PowerShell o la CLI de Azure para crear la nueva clave en su lugar.

    11. En Nombre, escriba un nombre para la clave.

    12. Para el tipo de clave, seleccione RSA-HSM.

    13. Selección del tamaño de la clave

    n. En Opciones de clave confidenciales, seleccione Exportable y establezca la directiva de operación Confidencial como directiva de operaciones confidenciales de CVM.

    o. Seleccione Crear para terminar de crear la clave.

    p. Seleccione Revisar y crear para crear un nuevo conjunto de cifrado de disco. Espere a que finalice la creación del recurso.

    q. Vaya al recurso del conjunto de cifrado de disco en Azure Portal.

    r. Seleccione el banner rosa para conceder permisos a Azure Key Vault.

    Importante

    Debe realizar este paso para crear correctamente la máquina virtual confidencial.

  7. Según sea necesario, realice cambios en la configuración en las pestañas Redes, Administración, Configuración de invitado y Etiquetas.

  8. Seleccione Revisar y crear para validar la configuración.

  9. Espere a que se complete la validación. Si es necesario, corrija los problemas de validación y, a continuación, seleccione Revisar y crear de nuevo.

  10. En el panel Revisar + crear, seleccione Crear.

Conexión a una máquina virtual confidencial

Hay diferentes métodos para conectarse a máquinas virtuales confidenciales Windows y máquinas virtuales confidenciales Linux.

Conexión a máquinas virtuales Windows

Para conectarse a una máquina virtual con un sistema operativo Windows, consulte Conexión a una máquina virtual de Azure donde se ejecuta Windows e inicio de sesión en ella.

Conexión a máquinas virtuales Linux

Para conectarse a una máquina virtual confidencial con un sistema operativo Linux, consulte las instrucciones del sistema operativo del equipo.

Antes de empezar, asegúrese de que tiene la dirección IP pública de la máquina virtual. Para buscar la dirección IP:

  1. Inicie sesión en Azure Portal.

  2. Seleccione o busque Máquinas virtuales.

  3. En la página Máquinas virtuales, seleccione la máquina virtual confidencial.

  4. En la página de información general de la máquina virtual confidencial, copie la dirección IP pública.

    Para más información sobre cómo conectarse a máquinas virtuales Linux, consulte Inicio rápido: Creación de una máquina virtual Linux en Azure Portal.

  5. Abra el cliente SSH, como PuTTY.

  6. Escriba la dirección IP pública de la máquina virtual confidencial.

  7. Conéctese a la máquina virtual. En PuTTY, seleccione Abrir.

  8. Escriba el nombre de usuario y la contraseña de administrador de la máquina virtual.

    Nota

    Si usa PuTTY, es posible que reciba una alerta de seguridad de que la clave de host del servidor no está almacenada en caché en el registro. Si confía en este host, seleccione para agregar la clave a la caché de PuTTY y siga conectándose. Para conectarse una sola vez, sin agregar la clave, seleccione No. Si no confía en el host, seleccione Cancelar para abandonar la conexión.

Limpieza de recursos

Cuando haya terminado con el inicio rápido, puede limpiar la máquina virtual confidencial, el grupo de recursos y otros recursos relacionados.

  1. Inicie sesión en Azure Portal.

  2. Seleccione o busque Grupos de recursos.

  3. En la página Grupos de recursos, seleccione el grupo de recursos que creó para este inicio rápido.

  4. En el menú del grupo de recursos, seleccione Eliminar grupo de recursos.

  5. En el panel de advertencia, escriba el nombre del grupo de recursos para confirmar la eliminación.

  6. Seleccione Eliminar.

Pasos siguientes

Creación de una máquina virtual confidencial con una plantilla de ARM