Rövid útmutató: Bizalmas virtuális gép üzembe helyezése Azure Compute Gallery-rendszerképből az Azure Portal használatával
Az Azure bizalmas virtuális gépei támogatják az egyéni rendszerképek létrehozását és megosztását az Azure Compute Gallery használatával. A rendszerkép biztonsági típusai alapján kétféle rendszerképet hozhat létre:
- A bizalmas virtuálisgép-rendszerképek
ConfidentialVM
olyan képek, amelyekben a forrás már rendelkezik a virtuális gép vendégállapot-információival. Ez a képtípus a bizalmas lemeztitkosítást is engedélyezheti. - A bizalmas virtuális gépek által támogatott (
ConfidentialVMSupported
) rendszerképek olyan képek , amelyekben a forrás nem rendelkezik virtuálisgép-vendégállapot-információkkal, és a bizalmas lemeztitkosítás nincs engedélyezve.
Bizalmas virtuálisgép-rendszerképek
A következő képforrások esetében a képdefiníció biztonsági típusát úgy kell beállítani, hogy ConfidentialVM
a rendszerképforrás már rendelkezik virtuálisgép-vendégállapot-információkkal , és engedélyezve lehet a bizalmas lemeztitkosítás is:
- Bizalmas virtuálisgép-rögzítés
- Felügyelt operációsrendszer-lemez
- Felügyelt operációsrendszer-lemez pillanatképe
Az eredményként kapott képverzió csak bizalmas virtuális gépek létrehozásához használható.
Ez a képverzió replikálható a forrásrégióban , de jelenleg nem replikálható másik régióba vagy előfizetések között.
Megjegyzés:
Ha olyan windowsos, bizalmas virtuális gépről szeretne lemezképet létrehozni, amely platform által felügyelt kulccsal vagy ügyfél által felügyelt kulccsal engedélyezett bizalmas számítási lemeztitkosítással rendelkezik, csak speciális rendszerképet hozhat létre. Ez a korlátozás azért létezik, mert előfordulhat, hogy az általánosítási eszköz (sysprep) nem tudja általánosítani a titkosított képforrást. Ez a korlátozás az operációsrendszer-lemezre vonatkozik, amely implicit módon jön létre a Windows bizalmas virtuális géppel együtt, valamint az operációsrendszer-lemezről létrehozott pillanatképre.
Bizalmas virtuálisgép-típuskép létrehozása bizalmas virtuálisgép-rögzítéssel
- Jelentkezzen be az Azure Portalra.
- Nyissa meg a Virtuális gépek szolgáltatást.
- Nyissa meg a rendszerképforrásként használni kívánt bizalmas virtuális gépet.
- Ha általánosított lemezképet szeretne létrehozni, a rendszerkép létrehozása előtt távolítsa el a gépspecifikus információkat .
- Válassza a Rögzítés lehetőséget.
- A megnyíló kép létrehozása lapon hozza létre a képdefiníciót és a verziót.
- A rendszerkép virtuálisgép-rendszerkép-verzióként való megosztásának engedélyezése az Azure Compute Galleryben. A felügyelt rendszerképek nem támogatottak a bizalmas virtuális gépek esetében.
- Hozzon létre egy új katalógust, vagy válasszon ki egy meglévő katalógust.
- Az operációs rendszer állapota esetén a használati esettől függően válassza az Általános vagy a Specializált lehetőséget.
- Hozzon létre egy képdefiníciót egy név, közzétevő, ajánlat és termékváltozat adatainak megadásával. Győződjön meg arról, hogy a biztonsági típus Bizalmas értékre van állítva.
- Adja meg a rendszerkép verziószámát.
- Replikáció esetén szükség esetén módosítsa a replikák számát.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- Ha a rendszerkép érvényesítése sikeres, a Létrehozás gombra kattintva fejezze be a kép létrehozását.
- Válassza ki a képverziót az erőforrás közvetlen eléréséhez. Vagy a képverziót a képdefiníción keresztül is megnyithatja. A képdefiníció a titkosítás típusát is megjeleníti, így ellenőrizheti, hogy a rendszerkép és a forrás virtuális gép egyezik-e.
- A képverzió lapján válassza a Virtuális gép létrehozása lehetőséget.
Most létrehozhat egy bizalmas virtuális gépet az egyéni rendszerképből.
Bizalmas virtuálisgép-típuskép létrehozása felügyelt lemezről vagy pillanatképből
- Jelentkezzen be az Azure Portalra.
- Ha általánosított lemezképet szeretne létrehozni, a rendszerkép létrehozása előtt távolítsa el a lemez vagy a pillanatkép gépspecifikus adatait .
- Keresse meg és válassza ki a virtuálisgép-rendszerképverziókat a keresősávon.
- Válassza a Létrehozás elemet
- A Virtuális gép lemezképének verziószámánaklétrehozása lap Alapszintű beállítások lapján:
- Válasszon ki egy Azure-előfizetést.
- Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy új erőforráscsoportot.
- Válassza ki a kívánt Azure-régiót.
- Adja meg a kép verziószámát.
- Forrásként válassza a Lemezek és/vagy a Pillanatképek lehetőséget.
- Operációsrendszer-lemez esetén válasszon egy felügyelt lemezt vagy egy felügyelt lemez pillanatképét.
- Az Azure-beli céltárhoz válassza ki vagy hozzon létre egy katalógust a rendszerkép megosztásához.
- Az operációs rendszer állapota esetén válassza az Általános vagy a Specializált lehetőséget a használati esettől függően.
- A cél virtuálisgép-rendszerkép definíciója esetében válassza az Új létrehozása lehetőséget.
- A virtuális gép képdefiníciójának létrehozása panelen adja meg a definíció nevét. Győződjön meg arról, hogy a biztonsági típusbizalmas. Adja meg a közzétevő, az ajánlat és az termékváltozat adatait. Ezután válassza az OK gombot.
- A Titkosítás lapon győződjön meg arról, hogy a bizalmas számítási titkosítás típusa megegyezik a forráslemez vagy a pillanatkép típusával.
- Válassza a Véleményezés + Létrehozás lehetőséget a beállítások áttekintéséhez.
- A beállítások érvényesítése után válassza a Létrehozás lehetőséget a képverzió létrehozásának befejezéséhez.
- A képverzió sikeres létrehozása után válassza a Virtuális gép létrehozása lehetőséget.
Most létrehozhat egy bizalmas virtuális gépet az egyéni rendszerképből.
Bizalmas virtuális gép által támogatott rendszerképek
A következő képforrások esetében a rendszerképdefiníció biztonsági típusát úgy kell beállítani, hogy ConfidentialVMSupported
a rendszerképforrás ne rendelkezzen virtuálisgép-vendégállapot-információkkal és bizalmas lemeztitkosítással:
- Operációsrendszer-lemez VHD-je
- Gen2 felügyelt rendszerkép
Az eredményül kapott rendszerkép-verzió azure Gen2 virtuális gépek vagy bizalmas virtuális gépek létrehozására használható.
Ez a rendszerkép replikálható a forrásrégióban és a különböző célrégiókban.
Megjegyzés:
Az operációsrendszer-lemez VHD-jének vagy felügyelt lemezképének olyan lemezképből kell létrejönnie, amely kompatibilis a bizalmas virtuális géppel. A VHD vagy a felügyelt rendszerkép mérete 32 GB-nál kisebb lehet
Bizalmas virtuális gép által támogatott típuskép létrehozása
- Jelentkezzen be az Azure Portalra.
- Virtuálisgép-rendszerkép-verziók keresése és kiválasztása a keresősávon
- A virtuális gép lemezképeinek verziói lapon válassza a Létrehozás lehetőséget.
- A virtuális gép lemezképének verziószámának létrehozása lapon, az Alapszintű beállítások lapon:
- Válassza ki az Azure-előfizetést.
- Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy új erőforráscsoportot.
- Válassza ki az Azure-régiót.
- Adja meg a kép verziószámát.
- Forrásként válassza a Tárolóblobok (VHD) vagy a Felügyelt rendszerkép lehetőséget.
- Ha a Tárolóblobok (VHD) lehetőséget választotta, adjon meg egy operációsrendszer-lemez vHD-ját (a virtuális gép vendégállapota nélkül). Győződjön meg arról, hogy Gen 2 VHD-t használ.
- Ha a Felügyelt rendszerkép lehetőséget választotta, válassza ki a Gen 2 virtuális gép meglévő felügyelt rendszerképét.
- Az Azure-beli céltár esetében válasszon vagy hozzon létre egy katalógust a rendszerkép megosztásához.
- Az operációs rendszer állapota esetén válassza az Általános vagy a Specializált lehetőséget a használati esettől függően. Ha egy felügyelt rendszerképet használ forrásként, mindig válassza az Általánosított lehetőséget. Ha tárolóblobot (VHD-t) használ, és az Általánosított lehetőséget szeretné választani, a folytatás előtt kövesse a linuxos virtuális merevlemez általánosításához vagy a Windows VHD általánosításához szükséges lépéseket.
- A cél virtuálisgép-képdefinícióhoz válassza az Új létrehozása lehetőséget.
- A virtuális gép képdefiníciójának létrehozása panelen adja meg a definíció nevét. Győződjön meg arról, hogy a biztonsági típus bizalmasan támogatott. Adja meg a közzétevő, az ajánlat és a termékváltozat adatait. Ezután válassza az OK gombot.
- A Replikáció lapon adja meg a replikák számát és a lemezképreplikációs célrégióokat, ha szükséges.
- A Titkosítás lapon adja meg az S Standard kiadás titkosítással kapcsolatos információkat, ha szükséges.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- A konfiguráció sikeres érvényesítése után a Létrehozás gombra kattintva fejezze be a rendszerkép létrehozását.
- A képverzió létrehozása után válassza a Virtuális gép létrehozása lehetőséget.
Bizalmas virtuális gép létrehozása katalógusképből
Most, hogy sikeresen létrehozott egy lemezképet, ezzel a lemezképpel létrehozhat egy bizalmas virtuális gépet.
- A Virtuális gép létrehozása lapon konfigurálja az Alapszintű beállítások lapot:
- A Projekt részletei csoportban hozzon létre egy új erőforráscsoportot, vagy válasszon ki egy meglévő erőforráscsoportot.
- A Példány részletei csoportban adja meg a virtuális gép nevét, és válasszon ki egy olyan régiót, amely támogatja a bizalmas virtuális gépeket. További információkért keresse meg a régiónként elérhető virtuálisgép-termékek táblázatában található bizalmas virtuálisgép-sorozatokat.
- Bizalmas rendszerkép használata esetén a biztonsági típus bizalmas virtuális gépekre van állítva, és nem módosítható. Ha bizalmasan támogatott rendszerképet használ, a biztonsági típust bizalmas virtuális gépekként kell kiválasztania a Standardból.
- A vTPM alapértelmezés szerint engedélyezve van, és nem módosítható.
- A biztonságos rendszerindítás alapértelmezés szerint engedélyezve van. A beállítás módosításához használja a Biztonsági funkciók konfigurálása lehetőséget. A biztonságos rendszerindítás a bizalmas számítási titkosítás használatához szükséges.
- A Lemezek lapon szükség esetén konfigurálja a titkosítási beállításokat.
- Bizalmas rendszerkép használata esetén a bizalmas számítási titkosítás és a bizalmas lemeztitkosítási csoport (ha ügyfél által felügyelt kulcsokat használ) a rendszer a kiválasztott rendszerképverzió alapján tölti ki, és nem módosítható.
- Ha bizalmasan támogatott rendszerképet használ, szükség esetén kiválaszthatja a bizalmas számítási titkosítást. Ezután adjon meg egy bizalmas lemeztitkosítási csoportot, ha ügyfél által felügyelt kulcsokat szeretne használni.
- Adja meg a rendszergazdai fiók adatait.
- Konfigurálja a bejövő portszabályokat.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- Az érvényesítési oldalon tekintse át a virtuális gép részleteit.
- Miután az ellenőrzés sikeres volt, válassza a Létrehozás lehetőséget a virtuális gép létrehozásának befejezéséhez.
További lépések
A bizalmas számítástechnikával kapcsolatos további információkért tekintse meg a Bizalmas számítástechnika áttekintő oldalát.