Guida introduttiva: Distribuire una macchina virtuale riservata da un'immagine della raccolta di calcolo di Azure usando il portale di Azure

  • Articolo

Le macchine virtuali riservate di Azure supportano la creazione e la condivisione di immagini personalizzate con Azure Compute Gallery. Esistono due tipi di immagini che è possibile creare, in base ai tipi di sicurezza dell'immagine:

  • Le immagini di vm riservate (ConfidentialVM) sono immagini in cui l'origine contiene già le informazioni sullo stato guest della macchina virtuale. Questo tipo di immagine potrebbe anche avere la crittografia del disco riservato abilitata.
  • Le immagini supportate da macchine virtuali riservate (ConfidentialVMSupported) sono immagini in cui l'origine non dispone di informazioni sullo stato guest della macchina virtuale e la crittografia del disco riservato non è abilitata.

Immagini di macchine virtuali riservate

Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su ConfidentialVM come origine dell'immagine dispone già di informazioni sullo stato guest della macchina virtuale e potrebbe essere abilitata anche la crittografia del disco riservato:

  • Acquisizione di macchine virtuali riservate
  • Disco del sistema operativo gestito
  • Snapshot del disco del sistema operativo gestito

La versione dell'immagine risultante può essere usata solo per creare macchine virtuali riservate.

Questa versione dell'immagine può essere replicata all'interno dell'area di origine, ma non può essere replicata in un'area diversa o tra sottoscrizioni.

Nota

Se si vuole creare un'immagine da una macchina virtuale riservata Windows con crittografia del disco di calcolo riservato abilitata con una chiave gestita dalla piattaforma o una chiave gestita dal cliente, è possibile creare solo un'immagine specializzata. Questa limitazione esiste perché lo strumento di generalizzazione (sysprep) potrebbe non essere in grado di generalizzare l'origine immagine crittografata. Questa limitazione si applica al disco del sistema operativo, creato in modo implicito insieme alla macchina virtuale riservata Di Windows e allo snapshot creato da questo disco del sistema operativo.

Creare un'immagine del tipo di macchina virtuale riservata usando l'acquisizione di macchine virtuali riservate

  1. Accedi al portale di Azure.
  2. Passare al servizio Macchine virtuali.
  3. Aprire la macchina virtuale riservata che si vuole usare come origine dell'immagine.
  4. Per creare un'immagine generalizzata, rimuovere le informazioni specifiche del computer prima di creare l'immagine.
  5. Selezionare Acquisisci.
  6. Nella pagina Crea un'immagine visualizzata creare la definizione e la versione dell'immagine.
    1. Consentire la condivisione dell'immagine nella raccolta di calcolo di Azure come versione dell'immagine della macchina virtuale. Le immagini gestite non sono supportate per le macchine virtuali riservate.
    2. Creare una nuova raccolta o selezionare una raccolta esistente.
    3. Per lo stato del sistema operativo, selezionare Generalizzato o Specializzato, a seconda del caso d'uso.
    4. Creare una definizione di immagine specificando un nome, un editore, un'offerta e i dettagli dello SKU. Assicurarsi che il tipo di sicurezza sia impostato su Riservato.
    5. Specificare un numero di versione per l'immagine.
    6. Per Replica modificare il numero di repliche, se necessario.
    7. Selezionare Rivedi e crea.
    8. Quando la convalida dell'immagine ha esito positivo, selezionare Crea per completare la creazione dell'immagine.
  7. Selezionare la versione dell'immagine per passare direttamente alla risorsa. In alternativa, è possibile passare alla versione dell'immagine tramite la definizione dell'immagine. La definizione dell'immagine mostra anche il tipo di crittografia, in modo da poter verificare che l'immagine e la macchina virtuale di origine corrispondano.
  8. Nella pagina della versione dell'immagine selezionare Crea macchina virtuale.

È ora possibile creare una macchina virtuale riservata dall'immagine personalizzata.

Creare un'immagine del tipo di macchina virtuale riservata da un disco gestito o uno snapshot

  1. Accedi al portale di Azure.
  2. Per creare un'immagine generalizzata, rimuovere le informazioni specifiche del computer per il disco o lo snapshot prima di creare l'immagine.
  3. Cercare e selezionare Versioni immagine macchina virtuale nella barra di ricerca.
  4. Selezionare Crea.
  5. Nella scheda Informazioni di base della pagina Crea versione dell'immagine della macchina virtuale:
    1. Selezionare una sottoscrizione di Azure.
    2. Selezionare un gruppo di risorse esistente o creare un nuovo gruppo di risorse.
    3. Selezionare un'area di Azure.
    4. Immettere un numero di versione per l'immagine.
    5. In Origine selezionare Dischi e/o Snapshot.
    6. Per disco del sistema operativo selezionare uno snapshot del disco gestito o del disco gestito.
    7. Per Raccolta di calcolo di Azure di destinazione selezionare o creare una raccolta in cui condividere l'immagine.
    8. In Stato del sistema operativo selezionare Generalizzato o Specializzato a seconda del caso d'uso.
    9. Per Definizione dell'immagine della macchina virtuale di destinazione selezionare Crea nuovo.
    10. Nel riquadro Crea una definizione di immagine di macchina virtuale immettere un nome per la definizione. Assicurarsi che il tipo di sicurezza sia Riservato. Immettere le informazioni sull'editore, l'offerta e lo SKU. Selezionare quindi OK.
  6. Nella scheda Crittografia verificare che il tipo di crittografia confidential compute corrisponda al tipo di disco di origine o snapshot.
  7. Selezionare Rivedi e crea per esaminare le impostazioni.
  8. Dopo aver convalidato le impostazioni, selezionare Crea per completare la creazione della versione dell'immagine.
  9. Dopo aver creato correttamente la versione dell'immagine, selezionare Crea macchina virtuale.

È ora possibile creare una macchina virtuale riservata dall'immagine personalizzata.

Immagini supportate per le macchine virtuali riservate

Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su ConfidentialVMSupported perché l'origine dell'immagine non dispone di informazioni sullo stato guest della macchina virtuale e crittografia del disco riservato:

  • Disco del sistema operativo VHD
  • Immagine gestita gen2

La versione dell'immagine risultante può essere usata per creare macchine virtuali di Azure Gen2 o macchine virtuali riservate.

Questa immagine può essere replicata all'interno dell'area di origine e in aree di destinazione diverse.

Nota

Il disco rigido virtuale del sistema operativo o l'immagine gestita deve essere creato da un'immagine compatibile con la macchina virtuale riservata. Le dimensioni del disco rigido virtuale o dell'immagine gestita devono essere inferiori a 32 GB

Creare un'immagine del tipo di macchina virtuale riservata supportata

  1. Accedi al portale di Azure.
  2. Cercare e selezionare le versioni delle immagini della macchina virtuale nella barra di ricerca
  3. Nella pagina Versioni dell'immagine della macchina virtuale selezionare Crea.
  4. Nella pagina Crea versione dell'immagine della macchina virtuale, nella scheda Informazioni di base:
    1. Selezionare la sottoscrizione di Azure.
    2. Selezionare un gruppo di risorse esistente o crearne uno nuovo.
    3. Selezionare l'area di Azure.
    4. Immettere un numero di versione dell'immagine.
    5. In Origine selezionare Archiviazione BLOB (VHD) o Immagine gestita.
    6. Se è stato selezionato Archiviazione BLOB (VHD), immettere un disco rigido virtuale del disco del sistema operativo (senza lo stato guest della macchina virtuale). Assicurarsi di usare un disco rigido virtuale di seconda generazione.
    7. Se è stata selezionata l'immagine gestita, selezionare un'immagine gestita esistente di una macchina virtuale di seconda generazione.
    8. Per La raccolta di calcolo di Azure di destinazione selezionare o creare una raccolta per condividere l'immagine.
    9. In Stato del sistema operativo selezionare Generalizzato o Specializzato a seconda del caso d'uso. Se si usa un'immagine gestita come origine, selezionare sempre Generalizzata. Se si usa un BLOB di archiviazione (VHD) e si vuole selezionare Generalizzato, seguire la procedura per generalizzare un disco rigido virtuale Linux o generalizzare un disco rigido virtuale Windows prima di continuare.
    10. Per Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo.
    11. Nel riquadro Crea una definizione di immagine di macchina virtuale immettere un nome per la definizione. Assicurarsi che il tipo di sicurezza sia impostato su Riservato supportato. Immettere le informazioni sull'editore, l'offerta e lo SKU. Selezionare quindi OK.
  5. Nella scheda Replica immettere il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
  6. Nella scheda Crittografia immettere S edizione Standard informazioni correlate alla crittografia, se necessario.
  7. Selezionare Rivedi e crea.
  8. Dopo la convalida della configurazione, selezionare Crea per completare la creazione dell'immagine.
  9. Dopo aver creato la versione dell'immagine, selezionare Crea macchina virtuale.

Ora che è stata creata correttamente un'immagine, è ora possibile usare tale immagine per creare una macchina virtuale riservata.

  1. Nella pagina Crea una macchina virtuale configurare la scheda Informazioni di base:
    1. In Dettagli progetto, per Gruppo di risorse creare un nuovo gruppo di risorse o selezionare un gruppo di risorse esistente.
    2. In Dettagli istanza immettere un nome di macchina virtuale e selezionare un'area che supporta macchine virtuali riservate. Per altre informazioni, trovare la serie di macchine virtuali riservate nella tabella dei prodotti vm disponibili in base all'area.
    3. Se si usa un'immagine Riservato, il tipo di sicurezza è impostato su Macchine virtuali riservate e non può essere modificato. Se si usa un'immagine riservata supportata , è necessario selezionare il tipo di sicurezza come Macchine virtuali riservate da Standard.
    4. VTPM è abilitato per impostazione predefinita e non può essere modificato.
    5. Avvio protetto è abilitato per impostazione predefinita. Per modificare l'impostazione, usare Configura funzionalità di sicurezza. L'avvio protetto è necessario per usare la crittografia di confidential compute.
  2. Nella scheda Dischi configurare le impostazioni di crittografia, se necessario.
    1. Se si usa un'immagine confidential , la crittografia di confidential compute e il set di crittografia dei dischi riservati (se si usano chiavi gestite dal cliente) vengono popolati in base alla versione dell'immagine selezionata e non può essere modificata.
    2. Se si usa un'immagine supportata da Riservato, è possibile selezionare crittografia di calcolo riservato, se necessario. Specificare quindi un set di crittografia del disco riservato, se si vogliono usare chiavi gestite dal cliente.
  3. Immettere le informazioni sull'account amministratore.
  4. Configurare le regole delle porte in ingresso.
  5. Selezionare Rivedi e crea.
  6. Nella pagina di convalida esaminare i dettagli della macchina virtuale.
  7. Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.

Passaggi successivi

Per altre informazioni sul confidential computing, vedere la pagina panoramica di Confidential Computing.