Virtuális gép üzembe helyezése engedélyezett megbízható indítással

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok

A megbízható indítás a 2. generációs virtuális gépek biztonságának javítására szolgáló módszer. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen az olyan infrastruktúra-technológiák kombinálásával, mint a vTPM és a biztonságos rendszerindítás.

Előfeltételek

• Ha még nem tette meg, fel kell vennie az előfizetését Felhőhöz készült Microsoft Defender. Felhőhöz készült Microsoft Defender ingyenes szinttel rendelkezik, amely nagyon hasznos megállapításokat nyújt a különböző Azure- és hibrid erőforrásokhoz. A megbízható indítás Felhőhöz készült Defender használ a virtuális gép állapotával kapcsolatos több javaslat felszínre hozásához.

• Azure-szabályzatok kezdeményezéseinek hozzárendelése az előfizetéshez. Ezeket a házirend-kezdeményezéseket előfizetésenként csak egyszer kell hozzárendelni. Ez automatikusan telepíti az összes szükséges bővítményt az összes támogatott virtuális gépre.

  • Konfigurálja a vendégigazolás engedélyezésének előfeltételeit a megbízható indítású virtuális gépeken.

  • Konfigurálja a gépeket az Azure Monitor és az Azure Security-ügynökök virtuális gépekre való automatikus telepítéséhez.

• Az AzureAttestation szolgáltatáscímke engedélyezése NSG kimenő szabályokban a Microsoft Azure-igazolás forgalmának engedélyezéséhez. Tekintse meg a virtuális hálózati szolgáltatás címkéinek hivatkozását.

• Győződjön meg arról, hogy a tűzfalszabályzatok engedélyezik a hozzáférést.*.attest.azure.net

Megjegyzés:

Ha Linux rendszerképet használ, és arra számít, hogy a virtuális gép kernelillesztői aláíratlanok vagy a Linux disztribúciós szállító által nem aláírtak, érdemes lehet kikapcsolni a biztonságos rendszerindítást. Az Azure Portalon a "Biztonsági típus" paraméter "Virtuális gép létrehozása" lapjának "Megbízható virtuális gépek indítása" elemének kiválasztásával kattintson a "Biztonsági funkciók konfigurálása" elemre, és törölje a jelet a "Biztonságos rendszerindítás engedélyezése" jelölőnégyzetből. A parancssori felületen, a PowerShellben vagy az SDK-ban állítsa a biztonságos rendszerindítási paramétert hamisra.

Megbízható indítású virtuális gép üzembe helyezése

Hozzon létre egy virtuális gépet, amelyen engedélyezve van a megbízható indítás. Válasszon az alábbi lehetőségek közül:

Portál

1. Jelentkezzen be az Azure Portalra.
2. Virtuális gépek keresése.
3. A Szolgáltatások területen válassza a Virtuális gépek lehetőséget.
4. A Virtuális gépek lapon válassza a Hozzáadás, majd a Virtuális gép lehetőséget.
5. A Project részletei csoportban győződjön meg arról, hogy a megfelelő előfizetés van kiválasztva.
6. Az Erőforráscsoport területen válassza az Új létrehozása lehetőséget, és írja be az erőforráscsoport nevét, vagy válasszon ki egy meglévő erőforráscsoportot a legördülő listából.
7. A Példány részletei csoportban írja be a virtuális gép nevét, és válasszon egy régiót, amely támogatja a megbízható indítást.
8. Biztonsági típus esetén válassza a Megbízható indítású virtuális gépek lehetőséget. Ezzel további három lehetőség jelenik meg : biztonságos rendszerindítás, vTPM és integritásfigyelés . Válassza ki a megfelelő beállításokat az üzembe helyezéshez. További információ a megbízható indításra képes biztonsági funkciókról.
9. A Rendszerkép csoportban válasszon ki egy képet a Megbízható indítással kompatibilis 2. generációs ajánlott rendszerképekből. A lista megtekintéséhez tekintse meg a megbízható indítást.

   Tipp.

   Ha nem látja a kívánt kép Gen 2-es verzióját a legördülő menüben, válassza az Összes lemezkép megtekintése lehetőséget, majd módosítsa a Biztonsági típus szűrőt megbízható indításra.

10. Válasszon ki egy virtuálisgép-méretet, amely támogatja a megbízható indítást. Tekintse meg a támogatott méretek listáját.
11. Adja meg a Rendszergazda istrator-fiók adatait, majd a bejövő portszabályokat.
12. A lap alján válassza a Véleményezés + Létrehozás lehetőséget
13. A Virtuális gép létrehozása lapon láthatja az üzembe helyezni kívánt virtuális gép részleteit. Ha az ellenőrzés sikeresnek látszik, válassza a Létrehozás lehetőséget.

A virtuális gép üzembe helyezése eltarthat néhány percig.

Parancssori felület

Győződjön meg arról, hogy az Azure CLI legújabb verzióját futtatja

Jelentkezzen be az Azure-ba a .az login

az login 

Hozzon létre egy virtuális gépet megbízható indítással.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Meglévő virtuális gépek esetén engedélyezheti vagy letilthatja a biztonságos rendszerindítási és vTPM-beállításokat. A virtuális gép biztonságos rendszerindítási és vTPM-beállításokkal való frissítése automatikus újraindítást vált ki.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

A rendszerindítási integritás monitorozásának vendégigazolási bővítményen keresztül történő telepítéséről további információt a Rendszerindítási integritás című témakörben talál.

PowerShell

Ahhoz, hogy egy virtuális gépet megbízható indítással kiépíteni lehessen, először engedélyezni kell azt a TrustedLaunchSet-AzVmSecurityProfile parancsmag használatával. Ezután a Set-AzVmUefi parancsmaggal beállíthatja a vTPM és a SecureBoot konfigurációját. Első lépésként használja az alábbi kódrészletet, és ne felejtse el lecserélni a példában szereplő értékeket a sajátjára.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Sablon

A megbízható indítású virtuális gépeket gyorsútmutató-sablonnal helyezheti üzembe:

Linux

Windows

Megbízható indítású virtuális gép üzembe helyezése Azure Compute Gallery-rendszerképből

Az Azure megbízható indítású virtuális gépei támogatják az egyéni rendszerképek létrehozását és megosztását az Azure Compute Gallery használatával. A rendszerkép biztonsági típusai alapján kétféle rendszerképet hozhat létre:

• Az ajánlottmegbízható indítású virtuális gépek által támogatott (TrustedLaunchSupported) rendszerképek olyan képek, amelyekben a forrás nem rendelkezik virtuális gép vendégállapot-információival, és 2. generációs virtuális gépek vagy megbízható indítású virtuális gépek létrehozására használható.
• A megbízható indítású virtuálisgép-rendszerképekTrustedLaunch olyan képek, amelyekben a forrás általában virtuálisgép-vendégállapot-információkkal rendelkezik, és csak megbízható indítású virtuális gépek létrehozására használható.

A virtuális gép megbízható indítása által támogatott rendszerképek

A következő képforrások esetében a képdefiníció biztonsági típusát a következő értékre TrustedLaunchsupportedkell állítani:

• Gen2 OS Disk VHD
• Gen2 felügyelt rendszerkép
• Gen2 katalógus képverziója

A rendszerkép forrása nem tartalmaz virtuálisgép-vendégállapot-információt.

Az eredményül kapott rendszerképverzió azure Gen2 virtuális gépek vagy megbízható indítású virtuális gépek létrehozására használható.

Ezek a képek megoszthatók az Azure Compute Gallery – Közvetlen megosztott katalógus és az Azure Compute Gallery – Közösségi katalógus használatával

Megjegyzés:

Az operációsrendszer-lemez VHD-jének, felügyelt lemezképének vagy katalógusképének verzióját olyan Gen2-lemezképből kell létrehozni, amely kompatibilis a megbízható indítású virtuális gépekkel.

Portál

1. Jelentkezzen be az Azure Portalra.
2. Virtuálisgép-rendszerkép-verziók keresése és kiválasztása a keresősávon
3. A virtuális gép lemezképeinek verziói lapon válassza a Létrehozás lehetőséget.
4. A virtuális gép lemezképének verziószámának létrehozása lapon, az Alapszintű beállítások lapon:
   1. Válassza ki az Azure-előfizetést.
   2. Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy új erőforráscsoportot.
   3. Válassza ki az Azure-régiót.
   4. Adja meg a kép verziószámát.
   5. Forrásként válassza a Tárolóblobok (VHD) vagy a Felügyelt rendszerkép vagy egy másik virtuálisgép-rendszerkép verziója lehetőséget
   6. Ha a Tárolóblobok (VHD) lehetőséget választotta, adjon meg egy operációsrendszer-lemez vHD-ját (a virtuális gép vendégállapota nélkül). Győződjön meg arról, hogy Gen 2 VHD-t használ.
   7. Ha a Felügyelt rendszerkép lehetőséget választotta, válassza ki a Gen 2 virtuális gép meglévő felügyelt rendszerképét.
   8. Ha a virtuálisgép-rendszerképverziót választotta, válassza ki a Gen2 virtuális gép meglévő katalógusképverzióját.
   9. Az Azure-beli céltár esetében válasszon vagy hozzon létre egy katalógust a rendszerkép megosztásához.
   10. Az operációs rendszer állapota esetén válassza az Általános vagy a Specializált lehetőséget a használati esettől függően. Ha egy felügyelt rendszerképet használ forrásként, mindig válassza az Általánosított lehetőséget. Ha tárolóblobot (VHD-t) használ, és az Általánosított lehetőséget szeretné választani, a folytatás előtt kövesse a linuxos virtuális merevlemez általánosításához vagy a Windows VHD általánosításához szükséges lépéseket. Ha meglévő virtuálisgép-rendszerkép-verziót használ, válassza az Általános vagy a Specializált lehetőséget a forrás virtuálisgép-rendszerkép definíciója alapján.
   11. A cél virtuálisgép-képdefinícióhoz válassza az Új létrehozása lehetőséget.
   12. A virtuális gép képdefiníciójának létrehozása panelen adja meg a definíció nevét. Győződjön meg arról, hogy a biztonsági típus a Megbízhatóan támogatott értékre van állítva. Adja meg a közzétevő, az ajánlat és a termékváltozat adatait. Ezután válassza az OK gombot.
5. A Replikáció lapon adja meg a replikák számát és a lemezképreplikációs célrégióokat, ha szükséges.
6. A Titkosítás lapon adja meg az S Standard kiadás titkosítással kapcsolatos információkat, ha szükséges.
7. Válassza a Felülvizsgálat és létrehozás lehetőséget.
8. A konfiguráció sikeres érvényesítése után a Létrehozás gombra kattintva fejezze be a rendszerkép létrehozását.
9. A képverzió létrehozása után válassza a Virtuális gép létrehozása lehetőséget.
10. A Virtuális gép létrehozása lap Erőforráscsoport csoportjában válassza az Új létrehozása lehetőséget, és írja be az erőforráscsoport nevét, vagy válasszon ki egy meglévő erőforráscsoportot a legördülő listából.
11. A Példány részletei csoportban írja be a virtuális gép nevét, és válasszon egy régiót, amely támogatja a megbízható indítást.
12. Biztonsági típusként válassza a Megbízható indítású virtuális gépek lehetőséget. A Biztonságos rendszerindítás és a vTPM jelölőnégyzet alapértelmezés szerint engedélyezve van.
13. Adja meg a Rendszergazda istrator-fiók adatait, majd a bejövő portszabályokat.
14. Az érvényesítési oldalon tekintse át a virtuális gép részleteit.
15. Miután az ellenőrzés sikeres volt, válassza a Létrehozás lehetőséget a virtuális gép létrehozásának befejezéséhez.

Parancssori felület

Győződjön meg arról, hogy az Azure CLI legújabb verzióját futtatja

Jelentkezzen be az Azure-ba a .az login

az login 

Képdefiníció létrehozása biztonsági típussal TrustedLaunchSupported

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Rendszerképverzió létrehozása operációsrendszer-lemez VHD-jének használatával. Győződjön meg arról, hogy a Linux VHD általánosítva lett, mielőtt feltöltené az Azure Storage-fiók blobjába az itt ismertetett lépések végrehajtásával

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Megbízható indítású virtuális gép létrehozása a fenti képverzióból

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Képdefiníció létrehozása biztonsági típussal TrustedLaunchSupported

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Képverzió létrehozásához használhatunk egy meglévő Gen2 Katalógus képverziót, amely a létrehozás során általánosított volt.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Megbízható indítású virtuális gép létrehozása a fenti képverzióból

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Virtuálisgép-rendszerképek megbízható indítása

A következő képforrások esetében a képdefiníció biztonsági típusát a következő értékre TrustedLaunchkell állítani:

• Megbízható indítású virtuális gép rögzítése
• Felügyelt operációsrendszer-lemez
• Felügyelt operációsrendszer-lemez pillanatképe

Az eredményként kapott rendszerképverzió csak Azure Megbízható indítású virtuális gépek létrehozásához használható.

Portál

1. Jelentkezzen be az Azure Portalra.
2. Azure Compute Gallery-rendszerkép virtuális gépről való létrehozásához nyisson meg egy meglévő megbízható indítású virtuális gépet, és válassza a Rögzítés lehetőséget.
3. Az alábbi Kép létrehozása lapon engedélyezze a rendszerkép megosztását a katalógusban virtuálisgép-rendszerkép-verzióként. A felügyelt rendszerképek létrehozása nem támogatott a megbízható indítású virtuális gépek esetében.
4. Hozzon létre egy új cél Azure Compute Galleryt, vagy válasszon ki egy meglévő katalógust.
5. Válassza ki az operációs rendszer állapotát általános vagyspecializáltként. Ha általánosított lemezképet szeretne létrehozni, a beállítás kiválasztása előtt győződjön meg arról, hogy általánosítja a virtuális gépet a gépspecifikus adatok eltávolításához. Ha a Bitlocker-alapú titkosítás engedélyezve van a Megbízható indítású Windows rendszerű virtuális gépen, előfordulhat, hogy nem tudja általánosítani ugyanezt.
6. Hozzon létre egy új képdefiníciót egy név, közzétevő, ajánlat és termékváltozat adatainak megadásával. A rendszerképdefiníció biztonsági típusát már megbízható indításra kell beállítani.
7. Adjon meg egy verziószámot a képverzióhoz.
8. Szükség esetén módosítsa a replikációs beállításokat.
9. A Kép létrehozása lap alján válassza a Véleményezés + Létrehozás lehetőséget, és ha az ellenőrzés megfeleltetve jelenik meg, válassza a Létrehozás lehetőséget.
10. A képverzió létrehozása után lépjen közvetlenül a képverzióra. Másik lehetőségként a képdefiníción keresztül navigálhat a szükséges képverzióra.
11. A virtuális gép lemezképének verziószámlapján válassza a + Virtuális gép létrehozása lehetőséget a virtuális gép létrehozása lapra való leszálláshoz.
12. A Virtuális gép létrehozása lap Erőforráscsoport csoportjában válassza az Új létrehozása lehetőséget, és írja be az erőforráscsoport nevét, vagy válasszon ki egy meglévő erőforráscsoportot a legördülő listából.
13. A Példány részletei csoportban írja be a virtuális gép nevét, és válasszon egy régiót, amely támogatja a megbízható indítást.
14. A rendszerkép és a biztonsági típus már ki van töltve a kiválasztott képverzió alapján. A Biztonságos rendszerindítás és a vTPM jelölőnégyzet alapértelmezés szerint engedélyezve van.
15. Adja meg a Rendszergazda istrator-fiók adatait, majd a bejövő portszabályokat.
16. A lap alján válassza a Véleményezés + Létrehozás lehetőséget
17. Az érvényesítési oldalon tekintse át a virtuális gép részleteit.
18. Miután az ellenőrzés sikeres volt, válassza a Létrehozás lehetőséget a virtuális gép létrehozásának befejezéséhez.

Ha felügyelt lemezt vagy felügyelt lemez pillanatképét szeretné használni a rendszerképverzió forrásaként (megbízható indítású virtuális gép helyett), kövesse az alábbi lépéseket

1. Bejelentkezés a portálra
2. Virtuálisgép-rendszerképverziók keresése és a Létrehozás gomb kiválasztása
3. Adja meg az előfizetés, az erőforráscsoport, a régió és a rendszerkép verziószámát
4. Válassza ki a forrást lemezek és/vagy pillanatképekként
5. Válassza ki az operációsrendszer-lemezt felügyelt lemezként vagy felügyelt lemez pillanatképeként a legördülő listából
6. Válassza ki a cél Azure Compute Galleryt a rendszerkép létrehozásához és megosztásához. Ha nincs katalógus, hozzon létre egy új katalógust.
7. Válassza ki az operációs rendszer állapotát általános vagyspecializáltként. Ha általánosított lemezképet szeretne létrehozni, győződjön meg arról, hogy általánosítja a lemezt vagy a pillanatképet a gépspecifikus információk eltávolításához.
8. A cél virtuálisgép-lemezképdefiníciónál válassza az Új létrehozása lehetőséget. A megnyíló ablakban válassza ki a képdefiníció nevét, és győződjön meg arról, hogy a biztonság típusa megbízható indításra van állítva. Adja meg a közzétevő, az ajánlat és az termékváltozat adatait, és válassza az OK gombot.
9. A Replikáció lap használatával szükség esetén beállíthatja a replikák számát és a célrégióokat a képreplika-replikációhoz.
10. A Titkosítás lap az S Standard kiadás titkosítással kapcsolatos információk megadására is használható, ha szükséges.
11. Válassza a Létrehozás lehetőséget a Véleményezés + létrehozás lapon a kép létrehozásához
12. A képverzió sikeres létrehozása után válassza a + Virtuális gép létrehozása lehetőséget a virtuális gép létrehozása lapra való leszálláshoz.
13. A korábban említett 12–18. lépést követve hozzon létre megbízható indítású virtuális gépet ezzel a rendszerképverzióval

Parancssori felület

Győződjön meg arról, hogy az Azure CLI legújabb verzióját futtatja

Jelentkezzen be az Azure-ba a .az login

az login 

Képdefiníció létrehozása biztonsági típussal TrustedLaunch

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Képverzió létrehozásához rögzíthetünk egy meglévő Linux-alapú megbízható indítású virtuális gépet. A rendszerképverzió létrehozása előtt általánosítsa a megbízható indítású virtuális gépet .

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Ha egy felügyelt lemezt vagy egy felügyelt lemez pillanatképét kell használni a képverzió képforrásaként, cserélje le a fenti parancs --managed-image elemét --os-snapshotra, és adja meg a lemezt vagy a pillanatkép-erőforrás nevét

Megbízható indítású virtuális gép létrehozása a fenti képverzióból

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Képdefiníció létrehozása biztonsági típussal TrustedLaunch

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Képverzió létrehozásához rögzíthetünk egy meglévő Windows-alapú megbízható indítású virtuális gépet. A rendszerképverzió létrehozása előtt általánosítsa a megbízható indítású virtuális gépet .

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Megbízható indítású virtuális gép létrehozása a fenti képverzióból

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

A beállítások ellenőrzése vagy frissítése

A megbízható indítással létrehozott virtuális gépek esetében a megbízható indítási konfigurációt az Azure Portal virtuális gépének Áttekintés lapján tekintheti meg. A Tulajdonságok lap a Megbízható indítási funkciók állapotát jeleníti meg:

A megbízható indítási konfiguráció módosításához a bal oldali menü Gépház szakaszában válassza a Konfiguráció lehetőséget. A Biztonsági típus szakaszban engedélyezheti vagy letilthatja a biztonságos rendszerindítást, a vTPM-et és az integritásfigyelést. Ha elkészült, válassza a Mentés lehetőséget a lap tetején.

Ha a virtuális gép fut, egy üzenet jelenik meg arról, hogy a virtuális gép újraindul. Válassza az Igen lehetőséget, majd várja meg, amíg a virtuális gép újraindul, amíg a módosítások érvénybe lépnek.

Következő lépések

További információ a megbízható indítási és rendszerindítási integritás monitorozásáról.