Rövid útmutató: Bizalmas virtuális gép létrehozása az Azure Portalon
Az Azure Portal használatával gyorsan létrehozhat egy bizalmas virtuális gépet egy Azure Marketplace-rendszerkép alapján. Az AMD és az Intel több bizalmas virtuálisgép-beállítást is kínál az AMD SEV-SNP és az Intel TDX technológiával.
Előfeltételek
Azure-előfizetés. Az ingyenes próbaverziós fiókok nem férnek hozzá az oktatóanyagban használt virtuális gépekhez. Az egyik lehetőség a fizetés használata előfizetés közben.
Ha Linux-alapú bizalmas virtuális gépet használ, használjon BASH-rendszerhéjat SSH-hoz, vagy telepítsen egy SSH-ügyfelet, például a PuTTY-t.
Ha ügyfél által felügyelt kulccsal rendelkező bizalmas lemeztitkosításra van szükség, futtassa az alábbi parancsot a szolgáltatásnév
Confidential VM Orchestratorbérlőhöz való megadásához. Telepítse a Microsoft Graph SDK-t az alábbi parancsok végrehajtásához.Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
Bizalmas virtuális gép létrehozása
Bizalmas virtuális gép létrehozása az Azure Portalon egy Azure Marketplace-rendszerkép használatával:
Jelentkezzen be az Azure Portalra.
Virtuális gépek kiválasztása vagy keresése.
A Virtuális gépek lap menüjében válassza a Virtuális gép létrehozása lehetőséget>.
Az Alapok lapon konfigurálja a következő beállításokat:
a. A Project részletei területen válassza ki az előfizetéshez az előfeltételeknek megfelelő Azure-előfizetést.
b. Erőforráscsoport esetén válassza az Új létrehozása lehetőséget egy új erőforráscsoport létrehozásához. Adjon meg egy nevet, és válassza az OK gombot.
c. A Példány részletei területen adja meg az új virtuális gép nevét a virtuális gép neveként.
d. Régió esetén válassza ki azt az Azure-régiót, amelyben üzembe szeretné helyezni a virtuális gépet.
Feljegyzés
A bizalmas virtuális gépek nem minden helyen érhetők el. A jelenleg támogatott helyeken tekintse meg, hogy mely virtuálisgép-termékek érhetők el az Azure-régióban.
e. A rendelkezésre állási beállításoknál válassza a Nincs szükség infrastruktúra-redundanciára az egyes virtuális gépekhez vagy több virtuális gép virtuálisgép-méretezési csoportjához .
f. Biztonsági típus esetén válassza a Bizalmas virtuális gépek lehetőséget.
: A Rendszerkép beállításnál válassza ki a virtuális géphez használni kívánt operációsrendszer-lemezképet. Válassza az Összes rendszerkép megtekintése lehetőséget az Azure Marketplace megnyitásához. Válassza a Bizalmas biztonsági típus>szűrőt az összes elérhető bizalmas virtuálisgép-rendszerkép megjelenítéséhez.
h. 2. generációs képek váltása. A bizalmas virtuális gépek csak a 2. generációs rendszerképeken futnak. Annak biztosításához, hogy a Rendszerkép területen válassza a Virtuális gép generációjának konfigurálása lehetőséget. A virtuális gép generációjának konfigurálása panelen válassza a 2. generációt. Ezután válassza az Alkalmaz lehetőséget.
Feljegyzés
Az NCCH100v5 sorozat esetében jelenleg csak az Ubuntu Server 22.04 LTS (Bizalmas virtuális gép) rendszerképe támogatott.
i. Méret beállításhoz válasszon ki egy virtuálisgép-méretet. További információkért lásd a támogatott bizalmas virtuálisgép-családokat.
j. Hitelesítési típus esetén, ha Linux rendszerű virtuális gépet hoz létre, válassza az SSH nyilvános kulcsát. Ha még nem rendelkezik SSH-kulcsokkal, hozzon létre SSH-kulcsokat a Linux rendszerű virtuális gépekhez.
k. A Rendszergazdai fiók mezőben adja meg a virtuális gép rendszergazdai nevét a Felhasználónév mezőben.
l. SSH nyilvános kulcs esetén, ha van, adja meg az RSA nyilvános kulcsát.
m. A Jelszó és a Jelszó megerősítése mezőben adja meg a rendszergazdai jelszót, ha van ilyen.
n. A Bejövő portszabályok területen a nyilvános bejövő portok esetében válassza a Kijelölt portok engedélyezése lehetőséget.
o. Bejövő portok kiválasztása esetén válassza ki a bejövő portokat a legördülő menüből. Windows rendszerű virtuális gépek esetén válassza a HTTP (80) és az RDP (3389) lehetőséget. Linux rendszerű virtuális gépek esetén válassza az SSH (22) és a HTTP (80) lehetőséget.
Feljegyzés
Nem ajánlott RDP-/SSH-portokat engedélyezni éles környezetekhez.
A Lemezek lapon konfigurálja a következő beállításokat:
A Lemezbeállítások területen engedélyezze a bizalmas operációsrendszer-lemeztitkosítást, ha a virtuális gép operációsrendszer-lemezét a létrehozás során szeretné titkosítani.
A kulcskezeléshez válassza ki a használni kívánt kulcs típusát.
Ha az ügyfél által felügyelt kulccsal rendelkező bizalmas lemeztitkosítás van kiválasztva, hozzon létre egy bizalmas lemeztitkosítási csoportot a bizalmas virtuális gép létrehozása előtt.
Ha titkosítani szeretné a virtuális gép ideiglenes lemezét, tekintse meg az alábbi dokumentációt.
(Nem kötelező) Szükség esetén az alábbiak szerint kell létrehoznia egy bizalmas lemeztitkosítási csoportot .
Hozzon létre egy Azure Key Vaultot a prémium tarifacsomag használatával, amely támogatja a HSM által támogatott kulcsokat. Fontos továbbá a kiürítés elleni védelem engedélyezése a további biztonsági intézkedések esetében. Emellett a hozzáférési konfigurációhoz használja a "Tároló hozzáférési szabályzata" lehetőséget az "Access configuration" (Hozzáférési konfiguráció) lapon. Másik lehetőségként létrehozhat egy Azure Key Vault által felügyelt hardveres biztonsági modult (HSM).
Az Azure Portalon keresse meg és válassza ki a Lemeztitkosítási készletek elemet.
Válassza a Létrehozás lehetőséget.
Előfizetés esetén válassza ki a használni kívánt Azure-előfizetést.
Erőforráscsoport esetén válasszon vagy hozzon létre egy új, használni kívánt erőforráscsoportot.
A Lemeztitkosítási csoport neve mezőben adja meg a csoport nevét.
Régió esetén válasszon ki egy elérhető Azure-régiót.
Titkosítási típus esetén válassza a Bizalmas lemeztitkosítás lehetőséget egy ügyfél által felügyelt kulccsal.
A Key Vault esetében válassza ki a már létrehozott kulcstartót.
A Key Vault alatt válassza az Új létrehozása lehetőséget egy új kulcs létrehozásához.
Feljegyzés
Ha korábban kiválasztott egy Azure-beli felügyelt HSM-et, a PowerShell vagy az Azure CLI használatával hozza létre helyette az új kulcsot .
A Név mezőbe írja be a kulcs nevét.
A kulcstípushoz válassza az RSA-HSM lehetőséget
A kulcsméret kiválasztása
n. A Bizalmas kulcs beállításai területen válassza az Exportálható lehetőséget, és állítsa be a bizalmas műveleti szabályzatot CVM bizalmas üzemeltetési szabályzatként.
o. Kattintson a Létrehozás gombra a kulcs létrehozásának befejezéséhez.
p. Válassza a Véleményezés + létrehozás lehetőséget az új lemeztitkosítási csoport létrehozásához. Várja meg, amíg az erőforrás létrehozása sikeresen befejeződik.
q. Nyissa meg a lemeztitkosítási készlet erőforrását az Azure Portalon.
r. Ha kék információs szalagcím jelenik meg, kövesse a hozzáférés megadásához megadott utasításokat. Ha rózsaszín szalagcímet tapasztal, egyszerűen válassza ki, hogy megadja a szükséges engedélyeket az Azure Key Vaultnak.
Fontos
A bizalmas virtuális gép sikeres létrehozásához el kell végeznie ezt a lépést.
Szükség esetén módosítsa a beállításokat a Hálózatkezelés, a Felügyelet, a Vendégkonfiguráció és a Címkék lapfüleken.
A konfiguráció ellenőrzéséhez válassza a Véleményezés + létrehozás lehetőséget .
Várjon, amíg az ellenőrzés befejeződik. Ha szükséges, javítsa ki az érvényesítési problémákat, majd válassza a Véleményezés + létrehozás lehetőséget.
A Véleményezés + létrehozás panelen válassza a Létrehozás lehetőséget.
Csatlakozás bizalmas virtuális géphez
A Windows bizalmas virtuális gépekhez és a Linux rendszerű bizalmas virtuális gépekhez különböző módokon lehet csatlakozni.
Csatlakozás Windows rendszerű virtuális gépekhez
Ha windowsos operációs rendszerrel szeretne csatlakozni egy bizalmas virtuális géphez, olvassa el a Windowst futtató Azure-beli virtuális gépekhez való csatlakozást és bejelentkezést ismertető témakört.
Kapcsolódás Linux rendszerű virtuális gépekhez
Ha linuxos operációs rendszerrel szeretne csatlakozni egy bizalmas virtuális géphez, tekintse meg a számítógép operációs rendszerének utasításait.
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a virtuális gép nyilvános IP-címmel. Az IP-cím megkeresése:
Jelentkezzen be az Azure Portalra.
Virtuális gépek kiválasztása vagy keresése.
A Virtuális gépek lapon válassza ki a bizalmas virtuális gépet.
A bizalmas virtuális gép áttekintő lapján másolja ki a nyilvános IP-címet.
További információ a Linux rendszerű virtuális gépekhez való csatlakozásról: Rövid útmutató: Linux rendszerű virtuális gép létrehozása az Azure Portalon.
Nyissa meg az SSH-ügyfelet, például a PuTTY-t.
Adja meg a bizalmas virtuális gép nyilvános IP-címét.
Csatlakozzon a virtuális géphez. A PuTTY-ban válassza a Megnyitás lehetőséget.
Adja meg a virtuális gép rendszergazdájának felhasználónevét és jelszavát.
Feljegyzés
Ha PuTTY-t használ, biztonsági riasztást kaphat arról, hogy a kiszolgáló gazdagépkulcsa nem gyorsítótárazva van a beállításjegyzékben. Ha megbízik a gazdagépben, válassza az Igen lehetőséget , hogy hozzáadja a kulcsot a PuTTY gyorsítótárához, és folytassa a csatlakozást. Ha csak egyszer szeretne csatlakozni a kulcs hozzáadása nélkül, válassza a Nem lehetőséget. Ha nem bízik meg a gazdagépben, válassza a Mégse lehetőséget a kapcsolat megszakításához.
Az erőforrások eltávolítása
A rövid útmutató befejezése után törölheti a bizalmas virtuális gépet, az erőforráscsoportot és más kapcsolódó erőforrásokat.
Jelentkezzen be az Azure Portalra.
Válassza vagy keresse ki az Erőforrások lehetőséget.
Az Erőforráscsoportok lapon válassza ki a rövid útmutatóhoz létrehozott erőforráscsoportot.
Az erőforráscsoport menüjében válassza az Erőforráscsoport törlése lehetőséget.
A figyelmeztető panelen adja meg az erőforráscsoport nevét a törlés megerősítéséhez.
Válassza a Törlés lehetőséget.