Share via

Mulai cepat: Membuat VM rahasia di portal Azure

  • Artikel

Anda dapat menggunakan portal Azure untuk membuat VM rahasia berdasarkan gambar Marketplace Azure dengan cepat. Ada beberapa opsi VM rahasia pada AMD dan Intel dengan teknologi AMD SEV-SNP dan Intel TDX.

Prasyarat

  • Langganan Azure. Akun uji coba gratis tidak memiliki akses ke VM yang digunakan dalam tutorial ini. Salah satu opsinya adalah menggunakan langganan bayar sesuai pemakaian.

  • Jika Anda menggunakan VM rahasia berbasis Linux, gunakan shell BASH untuk SSH atau instal klien SSH, seperti PuTTY.

  • Jika Enkripsi disk rahasia dengan kunci yang dikelola pelanggan diperlukan, silakan jalankan perintah di bawah ini untuk memilih perwakilan Confidential VM Orchestrator layanan ke penyewa Anda. Instal Microsoft Graph SDK untuk menjalankan perintah di bawah ini.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

Membuat VM rahasia

Untuk membuat VM rahasia di portal Azure menggunakan gambar Marketplace Azure:

  1. Masuk ke portal Azure.

  2. Pilih atau cari Komputer virtual.

  3. Pada menu halaman Komputer virtual, pilih Buat>Komputer virtual.

  4. Pada tab Dasar-dasar, konfigurasikan pengaturan berikut:

    a. Di bawah Detail proyek, untuk Langganan, pilih langganan Azure yang memenuhi prasyarat.

    b. Untuk Grup Sumber Daya, pilih Buat baru untuk membuat grup sumber daya baru. Masukkan nama, dan pilih OK.

    c. Di bawah Detail instans, untuk Nama komputer virtual, masukkan nama untuk VM baru Anda.

    d. Untuk Wilayah, pilih wilayah Azure untuk menyebarkan VM Anda.

    Catatan

    VM rahasia tidak tersedia di semua lokasi. Untuk lokasi yang saat ini didukung, lihat produk VM mana yang tersedia oleh wilayah Azure.

    e. Untuk Opsi ketersediaan, pilih Tidak ada redundansi infrastruktur yang diperlukan untuk VM tunggal atau Set skala komputer virtual untuk beberapa VM.

    f. Untuk Jenis Keamanan, pilih Komputer virtual rahasia.

    g. Untuk Gambar, pilih gambar OS yang akan digunakan untuk VM Anda. Pilih Lihat semua gambar untuk membuka Marketplace Azure. Pilih filter Tipe>Keamanan Rahasia untuk menampilkan semua gambar VM rahasia yang tersedia.

    h. Alihkan gambar Generasi 2 . VM rahasia hanya berjalan pada gambar Generasi 2. Untuk memastikan, di bawah Gambar, pilih Konfigurasikan pembuatan VM. Di panel Konfigurasikan pembuatan VM, untuk pembuatan VM, pilih Generasi 2. Kemudian, pilih Terapkan.

    i. Untuk Ukuran, pilih ukuran VM. Untuk informasi selengkapnya, lihat keluarga VM rahasia yang didukung.

    j. Untuk Jenis autentikasi, jika Anda membuat VM Linux, pilih kunci umum SSH . Jika Anda belum memiliki kunci SSH, buat kunci SSH untuk VM Linux Anda.

    k. Di bawah Akun administrator, untuk Nama Pengguna, masukkan nama administrator untuk VM Anda.

    l. Untuk kunci umum SSH, jika berlaku, masukkan kunci umum RSA Anda.

    m. Untuk Kata Sandi dan Konfirmasi kata sandi, jika berlaku, masukkan kata sandi administrator.

    n. Di bawah Aturan port masuk, untuk Port masuk publik, pilih Izinkan port yang dipilih.

    O. Untuk Pilih port masuk, pilih port masuk Anda dari menu drop-down. Untuk VM Windows, pilih HTTP (80) dan RDP (3389). Untuk VM Linux, pilih SSH (22) dan HTTP (80).

    Catatan

    Tidak disarankan untuk mengizinkan port RDP/SSH untuk penyebaran produksi.

  5. Pada tab Disk, konfigurasikan pengaturan berikut:

    1. Di bawah Opsi disk, aktifkan enkripsi disk OS Rahasia jika Anda ingin mengenkripsi disk OS VM Anda selama pembuatan.

    2. Untuk Manajemen Kunci, pilih jenis kunci yang akan digunakan.

    3. Jika Enkripsi disk rahasia dengan kunci yang dikelola pelanggan dipilih, buat set enkripsi disk rahasia sebelum membuat VM rahasia Anda.

    4. Jika Anda ingin mengenkripsi disk sementara VM Anda, silakan lihat dokumentasi berikut.

  6. (Opsional) Jika perlu, Anda perlu membuat set enkripsi disk Rahasia sebagai berikut.

    1. Buat Azure Key Vault yang memilih tingkat harga Premium yang menyertakan dukungan untuk kunci yang didukung HSM dan aktifkan perlindungan penghapusan menyeluruh. Atau, Anda dapat membuat Modul Keamanan Perangkat Keras (HSM) terkelola Azure Key Vault.

    2. Di portal Azure, cari dan pilih Set Enkripsi Disk.

    3. Pilih Buat.

    4. Untuk Langganan, pilih langganan Azure mana yang akan digunakan.

    5. Untuk Grup sumber daya, pilih atau buat grup sumber daya baru untuk digunakan.

    6. Untuk Nama set enkripsi disk, masukkan nama untuk set.

    7. Untuk Wilayah, pilih wilayah Azure yang tersedia.

    8. Untuk Jenis enkripsi, pilih Enkripsi disk rahasia dengan kunci yang dikelola pelanggan.

    9. Untuk Key Vault, pilih brankas kunci yang sudah Anda buat.

    10. Di bawah Key Vault, pilih Buat baru untuk membuat kunci baru.

      Catatan

      Jika Anda memilih HSM terkelola Azure sebelumnya, gunakan PowerShell atau Azure CLI untuk membuat kunci baru sebagai gantinya.

    11. Untuk Nama, masukkan nama untuk kunci.

    12. Untuk jenis kunci, pilih RSA-HSM

    13. Pilih ukuran kunci Anda

    n. Di bawah Opsi Kunci Rahasia pilih Dapat Diekspor dan tetapkan kebijakan operasi Rahasia sebagai kebijakan operasi rahasia CVM.

    O. Pilih Buat untuk menyelesaikan pembuatan kunci.

    P. Pilih Tinjau + buat untuk membuat set enkripsi disk baru. Tunggu hingga pembuatan sumber daya berhasil diselesaikan.

    T. Buka sumber daya set enkripsi disk di portal Azure.

    r. Pilih banner merah muda untuk memberikan izin ke Azure Key Vault.

    Penting

    Anda harus melakukan langkah ini agar berhasil membuat VM rahasia.

  7. Jika diperlukan, buat perubahan pada pengaturan di bawah tab Jaringan, Manajemen, Konfigurasi Tamu, dan Tag.

  8. Pilih Tinjau + buat untuk memvalidasi konfigurasi Anda.

  9. Tunggu sampai pengoperasian selesai. Jika perlu, perbaiki masalah validasi apa pun, lalu pilih Tinjau + buat lagi.

  10. Di panel Tinjau + buat, pilih Buat.

Koneksi ke VM rahasia

Ada berbagai metode untuk terhubung ke VM rahasia Windows dan VM rahasia Linux.

Koneksi ke VM Windows

Untuk menyambungkan ke VM rahasia dengan OS Windows, lihat Cara menyambungkan dan masuk ke komputer virtual Azure yang menjalankan Windows.

Menyambungkan ke komputer virtual Linux

Untuk menyambungkan ke VM rahasia dengan OS Linux, lihat instruksi untuk OS komputer Anda.

Sebelum memulai, pastikan Anda memiliki alamat IP publik VM Anda. Untuk menemukan alamat IP:

  1. Masuk ke portal Azure.

  2. Pilih atau cari Komputer virtual.

  3. Pada halaman Komputer virtual, pilih VM rahasia Anda.

  4. Pada halaman gambaran umum VM rahasia Anda, salin alamat IP Publik.

    Untuk informasi selengkapnya tentang menyambungkan ke VM Linux, lihat Mulai Cepat: Membuat komputer virtual Linux di portal Azure.

  5. Buka klien SSH Anda, seperti PuTTY.

  6. Masukkan alamat IP publik VM rahasia Anda.

  7. Sambungkan ke VM. Di PuTTY, pilih Buka.

  8. Masukkan nama pengguna dan kata sandi administrator VM Anda.

    Catatan

    Jika Anda menggunakan PuTTY, Anda mungkin menerima pemberitahuan keamanan bahwa kunci host server tidak di-cache di registri. Jika Anda mempercayai host, pilih Ya untuk menambahkan kunci ke cache PuTTY dan lanjutkan menyambungkan. Untuk menyambungkan sekali saja, tanpa menambahkan kunci, pilih Tidak. Jika Anda tidak mempercayai host, pilih Batal untuk mengabaikan koneksi Anda.

Membersihkan sumber daya

Setelah selesai dengan mulai cepat, Anda dapat membersihkan VM rahasia, grup sumber daya, dan sumber daya terkait lainnya.

  1. Masuk ke portal Azure.

  2. Pilih atau cari Grup sumber daya.

  3. Pada halaman Grup sumber daya, pilih grup sumber daya yang Anda buat untuk mulai cepat ini.

  4. Pada menu grup sumber daya, pilih Hapus grup sumber daya.

  5. Di panel peringatan, masukkan nama grup sumber daya untuk mengonfirmasi penghapusan.

  6. Pilih Hapus.

Langkah berikutnya

Membuat VM rahasia dengan templat ARM