Démarrage rapide : Déployer une machine virtuelle confidentielle à partir d’une image Azure Compute Gallery à l’aide du Portail Azure

Les machines virtuelles confidentielles Azure prennent en charge la création et le partage d’images personnalisées à l’aide d’Azure Compute Gallery. Vous pouvez créer deux types d’images, en fonction des types de sécurité de l’image :

• Les images de machine virtuelle confidentielle (ConfidentialVM) sont des images où la source contient déjà les informations d’état invité de la machine virtuelle. Le chiffrement de disque confidentiel peut également être activé sur ce type d’image.
• Les images prises en charge par les machines virtuelles confidentielles (ConfidentialVMSupported) sont des images où la source n’a pas d’informations d’état invité de machine virtuelle et où le chiffrement de disque confidentiel n’est pas activé.

Images de machine virtuelle confidentielle

Pour les sources d’images suivantes, le type de sécurité sur la définition d’image doit être défini sur ConfidentialVM, car la source de l’image comporte déjà les informations d’état invité de machine virtuelle, et le chiffrement de disque confidentiel peut également y être activé :

• Capture de machine virtuelle confidentielle
• Disque de système d’exploitation managé
• Capture instantanée de disque de système d’exploitation managé

La version d’image obtenue ne peut être utilisée que pour créer des machines virtuelles confidentielles.

Cette version d’image peut être répliquée dans la région source, mais elle ne peut pas être répliquée dans une autre région ou dans des abonnements actuellement.

Notes

Si vous souhaitez créer une image à partir d’une machine virtuelle confidentielle Windows dont le chiffrement de disque de calcul confidentiel est activé avec une clé gérée par la plateforme ou une clé gérée par le client, vous ne pouvez créer qu’une image spécialisée. Cette limitation existe, car l’outil de généralisation (sysprep) peut ne pas être en mesure de généraliser la source d’image chiffrée. Cette limitation s’applique au disque du système d’exploitation, qui est créé implicitement avec la machine virtuelle confidentielle Windows, et à la capture instantanée créée à partir de ce disque de système d’exploitation.

Créer une image de type machine virtuelle confidentielle à l’aide d’une capture de machine virtuelle confidentielle

1. Connectez-vous au portail Azure.
2. Accédez au service Machines virtuelles.
3. Ouvrez la machine virtuelle confidentielle que vous souhaitez utiliser comme source d’image.
4. Si vous souhaitez créer une image généralisée, supprimez les informations spécifiques à la machine avant de créer l’image.
5. Sélectionnez Capturer.
6. Dans la page Créer une image qui s’ouvre, créez votre définition et votre version d’image.
   1. Autorisez le partage de l’image dans Azure Compute Gallery en tant que version d’image de machine virtuelle. Les images managées ne sont pas prises en charge pour les machines virtuelles confidentielles.
   2. Créez une galerie ou sélectionnez-en une qui existe déjà.
   3. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé, selon votre cas d’usage.
   4. Créez une définition d’image en fournissant un nom, un éditeur, une offre et des détails de référence SKU. Vérifiez que le type de sécurité est défini sur Confidentiel.
   5. Indiquez un numéro de version pour l’image.
   6. Pour Réplication, modifiez le nombre de réplicas, si nécessaire.
   7. Sélectionnez Vérifier + créer.
   8. Une fois la validation de l’image réussie, sélectionnez Créer pour terminer la création de l’image.
7. Sélectionnez la version de l’image pour accéder directement à la ressource. Vous pouvez également accéder à la version de l’image par l’intermédiaire de sa définition. La définition de l’image indique également le type de chiffrement. Vous pouvez donc vérifier que l’image et la machine virtuelle source correspondent.
8. Sur la page de version de l’image, sélectionnez Créer une machine virtuelle.

Vous pouvez alors créer une machine virtuelle confidentielle à partir de votre image personnalisée.

Créer une image de type Machine virtuelle confidentielle à partir d’un disque managé ou d’une capture instantanée

1. Connectez-vous au portail Azure.
2. Si vous souhaitez créer une image généralisée, supprimez les informations spécifiques à la machine du disque ou de la capture instantanée avant de créer l’image.
3. Dans la barre de recherche, recherchez et sélectionnez Versions d’image de machine virtuelle.
4. Sélectionnez Créer
5. Sous l’onglet Informations de base de la page Créer une version d’image de machine virtuelle :
   1. Sélectionnez un abonnement Azure.
   2. Sélectionnez ou créez un groupe de ressources.
   3. Sélectionnez une région Azure.
   4. Entrez un numéro de version pour l’image.
   5. Pour Source, sélectionnez Disques et/ou captures instantanées.
   6. Pour Disque du système d’exploitation, sélectionnez un disque managé ou une capture instantanée de disque managé.
   7. Pour Azure Compute Gallery cible, sélectionnez ou créez une galerie dans laquelle partager l’image.
   8. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé, selon votre cas d’usage.
   9. Pour Définition d’image de machine virtuelle cible, sélectionnez Créer nouveau.
   10. Dans le volet Créer une définition d’image de machine virtuelle, entrez un nom pour la définition. Vérifiez que Type de sécurité est sur Confidentiel. Entrez les informations sur l’éditeur, l’offre et la référence SKU. Ensuite, sélectionnez OK.
6. Sous l’onglet Chiffrement, vérifiez que Type de chiffrement de calcul confidentiel correspond au type du disque source ou de la capture instantanée.
7. Sélectionnez Vérifier + Créer pour passer en revue vos paramètres.
8. Une fois les paramètres validés, sélectionnez Créer pour terminer la création de la version de l’image.
9. Une fois la version de l’image créée, sélectionnez Créer une machine virtuelle.

Vous pouvez alors créer une machine virtuelle confidentielle à partir de votre image personnalisée.

Images prises en charge par les machines virtuelles confidentielles

Pour les sources d’images suivantes, le type de sécurité sur la définition d’image doit être défini sur ConfidentialVMSupported, car la source de l’image ne comporte pas les informations d’état invité de machine virtuelle ni le chiffrement de disque confidentiel :

• Disque dur virtuel du système d’exploitation
• Image managée Gen2

La version d’image obtenue peut être utilisée pour créer des machines virtuelles Azure Gen2 ou des machines virtuelles confidentielles.

Cette image peut être répliquée dans la région source et dans différentes régions cibles.

Notes

Le disque dur virtuel du système d’exploitation ou l’image managée doivent être créés à partir d’une image compatible avec une machine virtuelle confidentielle. La taille du disque dur virtuel ou de l’image managée doit être inférieure à 32 Go

Créer une image de type pris en charge par les machines virtuelles confidentielles

1. Connectez-vous au portail Azure.
2. Dans la barre de recherche, recherchez et sélectionnez Versions d’image de machine virtuelle
3. Sur la page Versions d’image de machine virtuelle, sélectionnez Créer.
4. Sur la page Créer une version d’image de machine virtuelle, sous l’onglet De base :
   1. Sélectionnez l’abonnement Azure.
   2. Sélectionnez ou créez un groupe de ressources.
   3. Sélectionnez la région Azure.
   4. Entrez un numéro de version d’image.
   5. Pour Source, sélectionnez Blobs de stockage (VHD) ou Image managée.
   6. Si vous avez sélectionné Blobs de stockage (VHD),, entrez un disque dur virtuel de système d’exploitation (sans l’état invité de machine virtuelle). Veillez à utiliser un disque dur virtuel de deuxième génération.
   7. Si vous avez sélectionné Image managée, sélectionnez une image managée existante d’une machine virtuelle de deuxième génération.
   8. Pour Azure Compute Gallery cible, sélectionnez ou créez une galerie pour partager l’image.
   9. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé, selon votre cas d’usage. Si vous utilisez une image managée comme source, sélectionnez toujours Généralisé. Si vous utilisez un objet blob de stockage (VHD) et que vous souhaitez sélectionner Généralisé, suivez la procédure pour généraliser un disque dur virtuel Linux ou généraliser un disque dur virtuel Windows avant de continuer.
   10. Pour Définition d’image de machine virtuelle cible, sélectionnez Créer nouveau.
   11. Dans le volet Créer une définition d’image de machine virtuelle, entrez un nom pour la définition. Vérifiez que le type de sécurité est défini sur Confidentiel pris en charge. Entrez les informations sur l’éditeur, l’offre et la référence SKU. Ensuite, sélectionnez OK.
5. Sous l’onglet Réplication, entrez le nombre de réplicas et les régions cibles pour la réplication d’images, si besoin.
6. Sous l’onglet Chiffrement, entrez les informations relatives au chiffrement SSE, si nécessaire.
7. Sélectionnez Vérifier + créer.
8. Une fois la configuration validée, sélectionnez Créer pour terminer la création de l’image.
9. Une fois la version de l’image créée, sélectionnez Créer une machine virtuelle.

Créer une machine virtuelle confidentielle à partir d’une image de la galerie

Maintenant que vous avez créé une image, vous pouvez utiliser cette image pour créer une machine virtuelle confidentielle.

1. Dans la page Créer une machine virtuelle, configurez l’onglet Informations de base :
   1. Sous Détails du projet, pour Groupe de ressources, créez un groupe de ressources ou sélectionnez-en un qui existe déjà.
   2. Sous Détails de l’instance, entrez un nom de machine virtuelle et sélectionnez une région qui prend en charge les machines virtuelles confidentielles. Pour obtenir davantage d’informations, recherchez la série de machines virtuelles confidentielles dans le tableau des produits de machine virtuelle disponibles par région.
   3. Si vous utilisez une image confidentielle, le type de sécurité est défini sur Machines virtuelles confidentielles et ne peut pas être modifié. Si vous utilisez une image confidentielle prise en charge, vous devez sélectionner le type de sécurité Machines virtuelles confidentielles dans Standard.
   4. Le paramètre vTPM est activé par défaut et ne peut pas être modifié.
   5. Le démarrage sécurisé est activé par défaut. Pour modifier le paramètre, utilisez Configurer les fonctionnalités de sécurité. Le démarrage sécurisé est requis pour utiliser le chiffrement de calcul confidentiel.
2. Sous l’onglet Disques, configurez vos paramètres de chiffrement, si nécessaire.
   1. Si vous utilisez une image confidentielle, le chiffrement de calcul confidentiel et le jeu de chiffrement de disque confidentiel (si vous utilisez des clés gérées par le client) sont renseignés en fonction de la version d’image sélectionnée, et ne peuvent pas être modifiés.
   2. Si vous utilisez une image confidentielle prise en charge, vous pouvez sélectionner le chiffrement de calcul confidentiel, si nécessaire. Ensuite, fournissez un jeu de chiffrement de disque confidentiel, si vous souhaitez utiliser des clés gérées par le client.
3. Entrez les informations du compte administrateur.
4. Configurez les éventuelles règles de port de trafic entrant.
5. Sélectionnez Vérifier + créer.
6. Sur la page de validation, vérifiez les détails de la machine virtuelle.
7. Après la réussite de la validation de l’image, sélectionnez Créer pour terminer la création de l’image.

Étapes suivantes

Pour obtenir davantage d’informations sur l’informatique confidentielle, consultez la page Présentation de l’informatique confidentielle .