Rövid útmutató: Bizalmas virtuális gép létrehozása az Azure Portalon

  • Cikk

Az Azure Portal használatával gyorsan létrehozhat egy bizalmas virtuális gépet egy Azure Marketplace-rendszerkép alapján. Az AMD és az Intel több bizalmas virtuálisgép-beállítást is kínál az AMD Standard kiadás V-SNP és Intel TDX technológiával.

Előfeltételek

  • Azure-előfizetés. Az ingyenes próbaverziós fiókok nem férnek hozzá az oktatóanyagban használt virtuális gépekhez. Az egyik lehetőség a fizetés használata előfizetés közben.

  • Ha Linux-alapú bizalmas virtuális gépet használ, használjon BASH-rendszerhéjat SSH-hoz, vagy telepítsen egy SSH-ügyfelet, például a PuTTY-t.

  • Ha ügyfél által felügyelt kulccsal rendelkező bizalmas lemeztitkosításra van szükség, futtassa az alábbi parancsot a szolgáltatásnév Confidential VM Orchestrator bérlőhöz való megadásához. Telepítse a Microsoft Graph SDK-t az alábbi parancsok végrehajtásához.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

Bizalmas virtuális gép létrehozása

Bizalmas virtuális gép létrehozása az Azure Portalon egy Azure Marketplace-rendszerkép használatával:

  1. Jelentkezzen be az Azure Portalra.

  2. Virtuális gépek kiválasztása vagy keresése.

  3. A Virtuális gépek lap menüjében válassza a Virtuális gép létrehozása lehetőséget>.

  4. Az Alapok lapon konfigurálja a következő beállításokat:

    a. A Project részletei területen válassza ki az előfizetéshez az előfeltételeknek megfelelő Azure-előfizetést.

    b. Erőforráscsoport esetén válassza az Új létrehozása lehetőséget egy új erőforráscsoport létrehozásához. Adjon meg egy nevet, és válassza az OK gombot.

    c. A Példány részletei területen adja meg az új virtuális gép nevét a virtuális gép neveként.

    d. Régió esetén válassza ki azt az Azure-régiót, amelyben üzembe szeretné helyezni a virtuális gépet.

    Feljegyzés

    A bizalmas virtuális gépek nem minden helyen érhetők el. A jelenleg támogatott helyeken tekintse meg, hogy mely virtuálisgép-termékek érhetők el az Azure-régióban.

    e. A rendelkezésre állási beállításoknál válassza a Nincs szükség infrastruktúra-redundanciára az egyes virtuális gépekhez vagy több virtuális gép virtuálisgép-méretezési csoportjához .

    f. Biztonsági típus esetén válassza a Bizalmas virtuális gépek lehetőséget.

    : A Rendszerkép beállításnál válassza ki a virtuális géphez használni kívánt operációsrendszer-lemezképet. Válassza az Összes rendszerkép megtekintése lehetőséget az Azure Marketplace megnyitásához. Válassza a Bizalmas biztonsági típus>szűrőt az összes elérhető bizalmas virtuálisgép-rendszerkép megjelenítéséhez.

    h. 2. generációs képek váltása. A bizalmas virtuális gépek csak a 2. generációs rendszerképeken futnak. Annak biztosításához, hogy a Rendszerkép területen válassza a Virtuális gép generációjának konfigurálása lehetőséget. A virtuális gép generációjának konfigurálása panelen válassza a 2. generációt. Ezután válassza az Alkalmaz lehetőséget.

    i. Méret beállításhoz válasszon ki egy virtuálisgép-méretet. További információkért lásd a támogatott bizalmas virtuálisgép-családokat.

    j. Hitelesítési típus esetén, ha Linux rendszerű virtuális gépet hoz létre, válassza az SSH nyilvános kulcsát. Ha még nem rendelkezik SSH-kulcsokkal, hozzon létre SSH-kulcsokat a Linux rendszerű virtuális gépekhez.

    k. A Rendszergazda istrator fiók felhasználónév mezőben adja meg a virtuális gép rendszergazdai nevét.

    l. SSH nyilvános kulcs esetén, ha van, adja meg az RSA nyilvános kulcsát.

    m. A Jelszó és a Jelszó megerősítése mezőben adja meg a rendszergazdai jelszót, ha van ilyen.

    n. A Bejövő portszabályok területen a nyilvános bejövő portok esetében válassza a Kijelölt portok engedélyezése lehetőséget.

    O. Bejövő portok kiválasztása esetén válassza ki a bejövő portokat a legördülő menüből. Windows rendszerű virtuális gépek esetén válassza a HTTP (80) és az RDP (3389) lehetőséget. Linux rendszerű virtuális gépek esetén válassza az SSH (22) és a HTTP (80) lehetőséget.

    Feljegyzés

    Nem ajánlott RDP-/SSH-portokat engedélyezni éles környezetekhez.

  5. A Lemezek lapon konfigurálja a következő beállításokat:

    1. A Lemezbeállítások területen engedélyezze a bizalmas operációsrendszer-lemeztitkosítást, ha a virtuális gép operációsrendszer-lemezét a létrehozás során szeretné titkosítani.

    2. A kulcskezeléshez válassza ki a használni kívánt kulcs típusát.

    3. Ha az ügyfél által felügyelt kulccsal rendelkező bizalmas lemeztitkosítás van kiválasztva, hozzon létre egy bizalmas lemeztitkosítási csoportot a bizalmas virtuális gép létrehozása előtt.

    4. Ha titkosítani szeretné a virtuális gép ideiglenes lemezét, tekintse meg az alábbi dokumentációt.

  6. (Nem kötelező) Szükség esetén az alábbiak szerint kell létrehoznia egy bizalmas lemeztitkosítási csoportot .

    1. Hozzon létre egy Azure Key Vaultot , amely kiválasztja a prémium tarifacsomagot, amely támogatja a HSM által támogatott kulcsokat, és engedélyezi a törlés elleni védelmet. Másik lehetőségként létrehozhat egy Azure Key Vault által felügyelt hardveres biztonsági modult (HSM).

    2. Az Azure Portalon keresse meg és válassza ki a Lemeztitkosítási készletek elemet.

    3. Válassza a Létrehozás lehetőséget.

    4. Előfizetés esetén válassza ki a használni kívánt Azure-előfizetést.

    5. Erőforráscsoport esetén válasszon vagy hozzon létre egy új, használni kívánt erőforráscsoportot.

    6. A Lemeztitkosítási csoport neve mezőben adja meg a csoport nevét.

    7. Régió esetén válasszon ki egy elérhető Azure-régiót.

    8. Titkosítási típus esetén válassza a Bizalmas lemeztitkosítás lehetőséget egy ügyfél által felügyelt kulccsal.

    9. A Key Vault esetében válassza ki a már létrehozott kulcstartót.

    10. A Key Vault alatt válassza az Új létrehozása lehetőséget egy új kulcs létrehozásához.

      Feljegyzés

      Ha korábban kiválasztott egy Azure-beli felügyelt HSM-et, a PowerShell vagy az Azure CLI használatával hozza létre helyette az új kulcsot .

    11. A Név mezőbe írja be a kulcs nevét.

    12. A kulcstípushoz válassza az RSA-HSM lehetőséget

    13. A kulcsméret kiválasztása

    n. A Bizalmas kulcs beállításai területen válassza az Exportálható lehetőséget, és állítsa be a bizalmas műveleti szabályzatot CVM bizalmas üzemeltetési szabályzatként.

    O. Kattintson a Létrehozás gombra a kulcs létrehozásának befejezéséhez.

    P. Válassza a Véleményezés + létrehozás lehetőséget az új lemeztitkosítási csoport létrehozásához. Várja meg, amíg az erőforrás létrehozása sikeresen befejeződik.

    K. Nyissa meg a lemeztitkosítási készlet erőforrását az Azure Portalon.

    R. Válassza ki a rózsaszín szalagcímet az Azure Key Vault engedélyeinek megadásához.

    Fontos

    A bizalmas virtuális gép sikeres létrehozásához el kell végeznie ezt a lépést.

  7. Szükség esetén módosítsa a beállításokat a Hálózatkezelés, a Felügyelet, a Vendégkonfiguráció és a Címkék lapfüleken.

  8. A konfiguráció ellenőrzéséhez válassza a Véleményezés + létrehozás lehetőséget .

  9. Várjon, amíg az ellenőrzés befejeződik. Ha szükséges, javítsa ki az érvényesítési problémákat, majd válassza a Véleményezés + létrehozás lehetőséget.

  10. A Véleményezés + létrehozás panelen válassza a Létrehozás lehetőséget.

Csatlakozás bizalmas virtuális gépre

A Windows bizalmas virtuális gépekhez és a Linux rendszerű bizalmas virtuális gépekhez különböző módokon lehet csatlakozni.

Csatlakozás Windows rendszerű virtuális gépekre

Ha windowsos operációs rendszerrel szeretne csatlakozni egy bizalmas virtuális géphez, olvassa el a Windowst futtató Azure-beli virtuális gépekhez való csatlakozást és bejelentkezést ismertető témakört.

Kapcsolódás Linux rendszerű virtuális gépekhez

Ha linuxos operációs rendszerrel szeretne csatlakozni egy bizalmas virtuális géphez, tekintse meg a számítógép operációs rendszerének utasításait.

Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a virtuális gép nyilvános IP-címmel. Az IP-cím megkeresése:

  1. Jelentkezzen be az Azure Portalra.

  2. Virtuális gépek kiválasztása vagy keresése.

  3. A Virtuális gépek lapon válassza ki a bizalmas virtuális gépet.

  4. A bizalmas virtuális gép áttekintő lapján másolja ki a nyilvános IP-címet.

    További információ a Linux rendszerű virtuális gépekhez való csatlakozásról: Rövid útmutató: Linux rendszerű virtuális gép létrehozása az Azure Portalon.

  5. Nyissa meg az SSH-ügyfelet, például a PuTTY-t.

  6. Adja meg a bizalmas virtuális gép nyilvános IP-címét.

  7. Csatlakozzon a virtuális géphez. A PuTTY-ban válassza a Megnyitás lehetőséget.

  8. Adja meg a virtuális gép rendszergazdájának felhasználónevét és jelszavát.

    Feljegyzés

    Ha PuTTY-t használ, biztonsági riasztást kaphat arról, hogy a kiszolgáló gazdagépkulcsa nem gyorsítótárazva van a beállításjegyzékben. Ha megbízik a gazdagépben, válassza az Igen lehetőséget , hogy hozzáadja a kulcsot a PuTTY gyorsítótárához, és folytassa a csatlakozást. Ha csak egyszer szeretne csatlakozni a kulcs hozzáadása nélkül, válassza a Nem lehetőséget. Ha nem bízik meg a gazdagépben, válassza a Mégse lehetőséget a kapcsolat megszakításához.

Az erőforrások eltávolítása

A rövid útmutató befejezése után törölheti a bizalmas virtuális gépet, az erőforráscsoportot és más kapcsolódó erőforrásokat.

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza vagy keresse ki az Erőforrások lehetőséget.

  3. Az Erőforráscsoportok lapon válassza ki a rövid útmutatóhoz létrehozott erőforráscsoportot.

  4. Az erőforráscsoport menüjében válassza az Erőforráscsoport törlése lehetőséget.

  5. A figyelmeztető panelen adja meg az erőforráscsoport nevét a törlés megerősítéséhez.

  6. Válassza a Törlés lehetőséget.

Következő lépések

Bizalmas virtuális gép létrehozása ARM-sablonnal