Menyebarkan komputer virtual dengan Peluncuran Tepercaya diaktifkan

Berlaku untuk: ✔️ VM Linux VM ✔️ Windows VMs ✔️ Set skala fleksibel Set ✔️ skala seragam.

Peluncuran Tepercaya adalah cara untuk meningkatkan keamanan komputer virtual (VM) Generasi 2 . Peluncuran Tepercaya melindungi dari teknik serangan tingkat lanjut dan persisten dengan menggabungkan teknologi infrastruktur seperti Modul Platform Tepercaya (vTPM) virtual dan boot aman.

Prasyarat

• Kami menyarankan agar Anda melakukan onboarding langganan anda ke Microsoft Defender untuk Cloud jika belum. Defender untuk Cloud memiliki tingkat gratis, yang menawarkan wawasan yang berguna untuk berbagai sumber daya Azure dan hibrid. Dengan tidak adanya Defender untuk Cloud, pengguna VM Peluncuran Tepercaya tidak dapat memantau integritas boot VM.

• Tetapkan inisiatif kebijakan Azure ke langganan Anda. Inisiatif kebijakan ini perlu ditetapkan hanya sekali pada setiap langganan. Kebijakan akan membantu menyebarkan dan mengaudit untuk VM Peluncuran Tepercaya sambil menginstal semua ekstensi yang diperlukan secara otomatis pada semua VM yang didukung.

  • Konfigurasikan inisiatif kebijakan bawaan VM Peluncuran Tepercaya.
  • Konfigurasikan prasyarat untuk mengaktifkan Pengesahan Tamu pada VM yang didukung Peluncuran Tepercaya.
  • Konfigurasikan komputer untuk menginstal agen Azure Monitor dan Azure Security secara otomatis di VM.

• Izinkan tag AzureAttestation layanan dalam aturan keluar grup keamanan jaringan untuk mengizinkan lalu lintas untuk Azure Attestation. Untuk informasi selengkapnya, lihat Tag layanan jaringan virtual.

• Pastikan bahwa kebijakan firewall mengizinkan akses ke *.attest.azure.net.

Catatan

Jika Anda menggunakan gambar Linux dan mengantisipasi bahwa VM mungkin memiliki driver kernel yang tidak ditandatangani atau tidak ditandatangani oleh vendor distro Linux, Anda mungkin ingin mempertimbangkan untuk menonaktifkan boot aman. Di portal Azure, pada halaman Buat komputer virtual untuk Security type parameter dengan Mesin Virtual Peluncuran Tepercaya dipilih, pilih Konfigurasikan fitur keamanan dan kosongkan kotak centang Aktifkan boot aman. Di Azure CLI, PowerShell, atau SDK, atur parameter boot aman ke false.

Menyebarkan VM Peluncuran Tepercaya

Buat VM dengan Peluncuran Tepercaya diaktifkan. Pilih salah satu opsi berikut.

Portal

1. Masuk ke portal Azure.

2. Mencari Virtual Machines.

3. Pada Layanan, pilih Mesin virtual.

4. Pada halaman Komputer virtual, pilih Tambahkan, lalu pilih Komputer virtual.

5. Di bawah Detail proyek, pastikan memilih langganan yang benar.

6. Pada Grup Sumber Daya, pilih Buat baru. Masukkan nama untuk grup sumber daya Anda atau pilih grup sumber daya yang sudah ada dari daftar dropdown.

7. Di bawah Detail instans, masukkan nama untuk nama VM dan pilih wilayah yang mendukung Peluncuran Tepercaya.

8. Untuk Jenis keamanan, pilih Komputer virtual peluncuran tepercaya. Saat opsi Boot aman, vTPM, dan Pemantauan Integritas muncul, pilih opsi yang sesuai untuk penyebaran Anda. Untuk informasi selengkapnya, lihat Fitur keamanan dengan dukungan Peluncuran Tepercaya.

   

9. Di bawah Gambar, pilih gambar dari gambar Gen 2 yang Direkomendasikan yang kompatibel dengan Peluncuran tepercaya. Untuk daftar, lihat Peluncuran Tepercaya.

   Tip

   Jika Anda tidak melihat versi Gambar Gen2 yang Anda inginkan di daftar dropdown, pilih Lihat semua gambar. Kemudian ubah filter Jenis keamanan menjadi Peluncuran Tepercaya.

10. Pilih ukuran VM yang mendukung Peluncuran Tepercaya. Untuk informasi selengkapnya, lihat daftar ukuran yang didukung.

11. Isi informasi Akun administrator, lalu Aturan port masuk.

12. Di bagian bawah halaman, pilih Tinjau + Buat.

13. Pada halaman Buat komputer virtual, Anda dapat melihat informasi tentang VM yang akan Anda sebarkan. Setelah validasi ditampilkan sebagai lulus, pilih Buat.

Dibutuhkan beberapa menit agar VM Anda disebarkan.

CLI

Pastikan Anda menjalankan versi terbaru Azure CLI.

1. Masuk ke Azure dengan menggunakan az login.

   az login 
   

2. Buat VM dengan Peluncuran Tepercaya.

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. Untuk Mesin Virtual yang ada, Anda dapat mengaktifkan atau menonaktifkan pengaturan boot dan vTPM yang aman. Memperbarui VM dengan pengaturan boot aman dan vTPM memicu boot ulang otomatis.

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

Untuk informasi selengkapnya tentang menginstal pemantauan integritas boot melalui ekstensi Pengesahan Tamu, lihat Integritas boot.

PowerShell

Untuk memprovisikan VM dengan Peluncuran Tepercaya, pertama-tama perlu diaktifkan dengan parameter dengan TrustedLaunch menggunakan Set-AzVmSecurityProfile cmdlet . Kemudian Anda dapat menggunakan Set-AzVmUefi cmdlet untuk mengatur konfigurasi vTPM dan Boot Aman. Gunakan cuplikan berikut sebagai mulai cepat. Ingatlah untuk mengganti nilai dalam contoh ini dengan nilai Anda sendiri.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Templat

Anda dapat menyebarkan VM Peluncuran Tepercaya dengan menggunakan templat mulai cepat.

Linux

Windows

Menyebarkan VM Peluncuran Tepercaya dari gambar Azure Compute Gallery

Azure Trusted Launch VM mendukung pembuatan dan berbagi gambar kustom dengan menggunakan Azure Compute Gallery. Ada dua jenis gambar yang dapat Anda buat, berdasarkan jenis keamanan gambar:

• Direkomendasikan: Gambar yang didukung VM Peluncuran Tepercaya (TrustedLaunchSupported) adalah gambar di mana sumber tidak memiliki informasi status Tamu VM dan dapat digunakan untuk membuat VM Generasi 2 atau VM Peluncuran Tepercaya.
• Gambar VM Peluncuran Tepercaya (TrustedLaunch) adalah gambar di mana sumber biasanya memiliki informasi Status Tamu VM dan hanya dapat digunakan untuk membuat VM Peluncuran Tepercaya.

Gambar yang didukung VM Peluncuran Tepercaya

Untuk sumber gambar berikut, jenis keamanan pada definisi gambar harus diatur ke TrustedLaunchsupported:

• VHD disk sistem operasi (OS) Gen2
• Gambar Terkelola Gen2
• Versi Gambar Galeri Gen2

Tidak ada informasi Status Tamu VM yang dapat disertakan dalam sumber gambar.

Anda dapat menggunakan versi gambar yang dihasilkan untuk membuat VM Azure Gen2 atau VM Peluncuran Tepercaya.

Gambar-gambar ini dapat dibagikan dengan menggunakan Azure Compute Gallery - Galeri Bersama Langsung dan Azure Compute Gallery - Galeri Komunitas.

Catatan

Versi VHD disk OS, Gambar Terkelola, atau Gambar Galeri harus dibuat dari gambar Gen2 yang kompatibel dengan VM Peluncuran Tepercaya.

Portal

1. Masuk ke portal Azure.
2. Cari dan pilih versi gambar VM di bilah pencarian.
3. Pada halaman versi gambar VM, pilih Buat.
4. Pada halaman Buat versi gambar VM, pada tab Dasar:
   1. Pilih langganan Azure.
   2. Pilih grup sumber daya yang ada atau buat grup sumber daya baru.
   3. Pilih wilayah Azure.
   4. Masukkan nomor versi gambar.
   5. Untuk Sumber, pilih Blob Penyimpanan (VHD) atau Gambar Terkelola atau Versi Gambar VM lainnya.
   6. Jika Anda memilih Blob Penyimpanan (VHD), masukkan VHD disk OS (tanpa status Tamu VM). Pastikan untuk menggunakan Gen2 VHD.
   7. Jika Anda memilih Gambar Terkelola, pilih gambar terkelola yang ada dari VM Gen2.
   8. Jika Anda memilih Versi Gambar VM, pilih Versi Gambar Galeri yang ada dari VM Gen2.
   9. Untuk galeri komputasi Target Azure, pilih atau buat galeri untuk berbagi gambar.
   10. Untuk Status sistem operasi, pilih Umum atau Khusus tergantung pada kasus penggunaan Anda. Jika Anda menggunakan gambar terkelola sebagai sumber, selalu pilih Umum. Jika Anda menggunakan blob penyimpanan (VHD) dan ingin memilih Generalized, ikuti langkah-langkah untuk menggeneralisasi Linux VHD atau menggeneralisasi Windows VHD sebelum melanjutkan. Jika Anda menggunakan versi gambar VM yang ada, pilih Umum atau Khusus berdasarkan apa yang digunakan dalam definisi gambar VM sumber.
   11. Untuk Definisi Gambar VM Target, pilih Buat baru.
   12. Pada panel Buat definisi gambar VM, masukkan nama untuk definisi. Pastikan jenis keamanan diatur ke Trustedlaunch Didukung. Masukkan informasi penerbit, penawaran, dan SKU. Kemudian pilih OK.
5. Pada tab Replikasi , masukkan jumlah replika dan wilayah target untuk replikasi gambar, jika perlu.
6. Pada tab Enkripsi , masukkan informasi terkait enkripsi SSE, jika perlu.
7. Pilih Tinjau + Buat.
8. Setelah konfigurasi berhasil divalidasi, pilih Buat untuk menyelesaikan pembuatan gambar.
9. Setelah versi gambar dibuat, pilih Buat VM.
10. Pada halaman Buat komputer virtual, di bawah Grup sumber daya, pilih Buat baru. Masukkan nama untuk grup sumber daya Anda atau pilih grup sumber daya yang sudah ada dari daftar dropdown.
11. Di bawah Detail instans, masukkan nama untuk nama VM dan pilih wilayah yang mendukung Peluncuran Tepercaya.
12. Untuk Jenis keamanan, pilih Komputer virtual peluncuran tepercaya. Kotak centang Boot Aman dan vTPM diaktifkan secara default.
13. Isi informasi Akun administrator, lalu Aturan port masuk.
14. Pada halaman validasi, tinjau detail VM.
15. Setelah validasi berhasil, pilih Buat untuk menyelesaikan pembuatan VM.

CLI

Pastikan Anda menjalankan versi terbaru Azure CLI.

1. Masuk ke Azure dengan menggunakan az login.

   az login 
   

2. Buat definisi gambar dengan TrustedLaunchSupported jenis keamanan.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. Gunakan VHD disk OS untuk membuat versi gambar. Pastikan bahwa Linux VHD digeneralisasi sebelum Anda mengunggahnya ke blob akun Azure Storage dengan menggunakan langkah-langkah di Menyiapkan Linux untuk pencitraan di Azure.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. Buat VM Peluncuran Tepercaya dari versi gambar sebelumnya.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. Buat definisi gambar dengan TrustedLaunchSupported jenis keamanan.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Untuk membuat versi gambar, Anda dapat menggunakan versi Gambar Galeri Gen2 yang ada, yang digeneralisasi selama pembuatan.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Buat VM Peluncuran Tepercaya dari versi gambar sebelumnya.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

Gambar VM Peluncuran Tepercaya

Jenis keamanan pada definisi gambar harus diatur ke TrustedLaunchuntuk sumber gambar berikut:

• Pengambilan VM Peluncuran Tepercaya
• Disk OS Terkelola
• Rekam jepret disk OS terkelola

Anda dapat menggunakan versi gambar yang dihasilkan untuk membuat VM Peluncuran Tepercaya Azure saja.

Portal

1. Masuk ke portal Azure.
2. Untuk membuat Gambar Azure Compute Gallery dari VM, buka VM Peluncuran Tepercaya yang ada dan pilih Tangkap.
3. Pada halaman Buat Gambar , izinkan gambar dibagikan ke galeri sebagai versi gambar VM. Pembuatan gambar terkelola tidak didukung untuk VM Peluncuran Tepercaya.
4. Buat target baru Azure Compute Gallery atau pilih galeri yang sudah ada.
5. Pilih Status Sistem operasi sebagai Umum atau Khusus. Jika Anda ingin membuat gambar umum, pastikan Anda menggeneralisasi VM untuk menghapus informasi khusus komputer sebelum Anda memilih opsi ini. Jika enkripsi berbasis Bitlocker diaktifkan pada VM Windows Peluncuran Tepercaya, Anda mungkin tidak dapat menggeneralisasi yang sama.
6. Buat definisi gambar baru dengan memberikan nama, penerbit, penawaran, dan detail SKU. Jenis keamanan untuk definisi gambar harus sudah diatur ke Peluncuran tepercaya.
7. Sediakan nomor versi untuk versi gambar.
8. Ubah opsi replikasi, jika perlu.
9. Di bagian bawah halaman Buat Gambar , pilih Tinjau + Buat. Setelah validasi ditampilkan sebagai lulus, pilih Buat.
10. Setelah versi gambar dibuat, buka versi gambar secara langsung. Atau, Anda dapat membuka versi gambar yang diperlukan melalui definisi gambar.
11. Pada halaman versi gambar VM, pilih + Buat VM untuk masuk ke halaman Buat komputer virtual.
12. Pada halaman Buat komputer virtual, di bawah Grup sumber daya, pilih Buat baru. Masukkan nama untuk grup sumber daya Anda atau pilih grup sumber daya yang sudah ada dari daftar dropdown.
13. Di bawah Detail instans, masukkan nama untuk nama VM dan pilih wilayah yang mendukung Peluncuran Tepercaya.
14. Gambar dan jenis keamanan sudah diisi berdasarkan versi citra yang dipilih. Kotak centang Boot Aman dan vTPM diaktifkan secara default.
15. Isi informasi Akun administrator, lalu Aturan port masuk.
16. Di bagian bawah halaman, pilih Tinjau + Buat.
17. Pada halaman validasi, tinjau detail VM.
18. Setelah validasi berhasil, pilih Buat untuk menyelesaikan pembuatan VM.

Jika Anda ingin menggunakan disk terkelola atau rekam jepret disk terkelola sebagai sumber versi gambar (bukan VM Peluncuran Tepercaya), ikuti langkah-langkah ini.

1. Masuk ke portal Azure.
2. Cari Versi Gambar VM dan pilih Buat.
3. Berikan langganan, grup sumber daya, wilayah, dan nomor versi gambar.
4. Pilih sumber sebagai Disk dan/atau Rekam Jepret.
5. Pilih disk OS sebagai disk terkelola atau rekam jepret disk terkelola dari daftar dropdown.
6. Pilih Azure Compute Gallery Target untuk membuat dan berbagi gambar. Jika tidak ada galeri, buat galeri baru.
7. Pilih Status Sistem operasi sebagai Umum atau Khusus. Jika Anda ingin membuat gambar umum, pastikan Anda menggeneralisasi disk atau rekam jepret untuk menghapus informasi khusus komputer.
8. Untuk Definisi Gambar VM Target pilih Buat baru. Di jendela yang terbuka, pilih nama definisi gambar dan pastikan bahwa Jenis keamanan diatur ke Peluncuran tepercaya. Berikan informasi penerbit, penawaran, dan SKU dan pilih OK.
9. Tab Replikasi dapat digunakan untuk mengatur jumlah replika dan wilayah target untuk replikasi gambar, jika diperlukan.
10. Tab Enkripsi juga dapat digunakan untuk memberikan informasi terkait enkripsi SSE, jika diperlukan.
11. Pilih Buat pada tab Tinjau + buat untuk membuat gambar.
12. Setelah versi gambar berhasil dibuat, pilih + Buat VM untuk masuk ke halaman Buat komputer virtual.
13. Ikuti langkah 12 hingga 18 seperti yang disebutkan sebelumnya untuk membuat VM Peluncuran Tepercaya dengan menggunakan versi gambar ini.

CLI

Pastikan Anda menjalankan versi terbaru Azure CLI.

1. Masuk ke Azure dengan menggunakan az login.

   az login 
   

2. Buat definisi gambar dengan TrustedLaunch jenis keamanan.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. Untuk membuat versi gambar, Anda dapat mengambil VM Peluncuran Tepercaya berbasis Linux yang ada. Menggeneralisasi VM Peluncuran Tepercaya sebelum Anda membuat versi gambar.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   Jika disk terkelola atau rekam jepret disk terkelola perlu digunakan sebagai sumber gambar untuk versi gambar, ganti --managed-image dalam perintah sebelumnya dengan --os-snapshot dan berikan disk atau nama sumber daya rekam jepret.

4. Buat VM Peluncuran Tepercaya dari versi gambar sebelumnya.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. Buat definisi gambar dengan TrustedLaunch jenis keamanan.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Untuk membuat versi gambar, Anda dapat mengambil VM Peluncuran Tepercaya berbasis Windows yang ada. Menggeneralisasi VM Peluncuran Tepercaya sebelum Anda membuat versi gambar.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Buat VM Peluncuran Tepercaya dari versi gambar sebelumnya.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

Kebijakan bawaan Peluncuran Tepercaya

Untuk membantu pengguna mengadopsi Peluncuran Tepercaya, kebijakan Azure tersedia untuk membantu pemilik sumber daya mengadopsi Peluncuran Tepercaya. Tujuan utamanya adalah untuk membantu mengonversi VM Generasi 1 dan 2 yang mampu Diluncurkan Tepercaya.

Komputer virtual harus mengaktifkan peluncuran tepercaya untuk memeriksa apakah VM saat ini diaktifkan dengan konfigurasi keamanan Peluncuran Tepercaya. Disk dan OS yang didukung untuk kebijakan peluncuran Tepercaya memeriksa apakah VM yang dibuat sebelumnya memiliki ukuran OS dan VM Generasi 2 yang mampu untuk menyebarkan VM Peluncuran Tepercaya.

Kedua kebijakan ini bersatu untuk membuat inisiatif kebijakan Peluncuran Tepercaya. Inisiatif ini memungkinkan Anda mengelompokkan beberapa definisi kebijakan terkait untuk menyederhanakan penugasan dan sumber daya manajemen untuk menyertakan konfigurasi Peluncuran Tepercaya.

Untuk mempelajari selengkapnya dan mulai menyebarkan, lihat Kebijakan bawaan Peluncuran Tepercaya.

---

Memverifikasi atau memperbarui pengaturan Anda

Untuk VM yang dibuat dengan Peluncuran Tepercaya diaktifkan, Anda dapat melihat konfigurasi Peluncuran Tepercaya dengan masuk ke halaman Gambaran Umum untuk VM di portal Azure. Tab Properti memperlihatkan status fitur Peluncuran Tepercaya.

Untuk mengubah konfigurasi Peluncuran Tepercaya, di menu sebelah kiri, di bawah Pengaturan, pilih Konfigurasi. Di bagian Jenis keamanan, Anda dapat mengaktifkan atau menonaktifkan pemantauan Boot Aman, vTPM, dan Integritas. Pilih Simpan di bagian atas halaman saat Anda selesai.

Jika VM berjalan, Anda menerima pesan bahwa VM akan dimulai ulang. Pilih Ya lalu tunggu VM dimulai ulang agar perubahan diterapkan.

Konten terkait

Pelajari selengkapnya tentang Peluncuran Tepercaya dan boot VM pemantauan integritas.