Quickstart: Een vertrouwelijke VM implementeren vanuit een azure Compute Gallery-installatiekopieën met behulp van Azure Portal

Azure Confidential Virtual Machines ondersteunt het maken en delen van aangepaste installatiekopieën met behulp van de Azure Compute Gallery. Er zijn twee typen installatiekopieën die u kunt maken, op basis van de beveiligingstypen van de installatiekopieën:

• Vertrouwelijke VM-installatiekopieën (ConfidentialVM) zijn installatiekopieën waarbij de bron al informatie over de vm-gaststatus bevat. Dit type installatiekopie kan ook vertrouwelijke schijfversleuteling hebben ingeschakeld.
• Ondersteunde (ConfidentialVMSupported) installatiekopieën van vertrouwelijke VM's zijn installatiekopieën waarbij de bron geen informatie over de VM-gaststatus heeft en vertrouwelijke schijfversleuteling niet is ingeschakeld.

Vertrouwelijke VM-installatiekopieën

Voor de volgende installatiekopiebronnen moet het beveiligingstype voor de definitie van de installatiekopie worden ingesteld ConfidentialVM op omdat de bron van de installatiekopie al informatie over vm-gaststatus heeft en mogelijk ook vertrouwelijke schijfversleuteling is ingeschakeld:

• Vertrouwelijke VM-opname
• Beheerde OS-schijf
• Momentopname van beheerde besturingssysteemschijf

De resulterende versie van de installatiekopieën kan alleen worden gebruikt om vertrouwelijke VM's te maken.

Deze installatiekopieënversie kan worden gerepliceerd binnen de bronregio , maar kan momenteel niet worden gerepliceerd naar een andere regio of tussen abonnementen.

Notitie

Als u een installatiekopie wilt maken van een vertrouwelijke Windows-VM waarvoor vertrouwelijke rekenschijfversleuteling is ingeschakeld met een door het platform beheerde sleutel of een door de klant beheerde sleutel, kunt u alleen een gespecialiseerde installatiekopie maken. Deze beperking bestaat omdat het hulpprogramma voor generalisatie (sysprep) de versleutelde installatiekopiebron mogelijk niet kan generaliseren. Deze beperking is van toepassing op de besturingssysteemschijf, die impliciet wordt gemaakt samen met de vertrouwelijke Windows-VM en de momentopname die is gemaakt op basis van deze besturingssysteemschijf.

Een installatiekopie van een vertrouwelijk VM-type maken met behulp van Vertrouwelijke VM-opname

1. Meld u aan bij de Azure-portal.
2. Ga naar de service virtuele machines .
3. Open de vertrouwelijke VM die u wilt gebruiken als de bron van de installatiekopieën.
4. Als u een gegeneraliseerde installatiekopieën wilt maken, verwijdert u machinespecifieke informatie voordat u de installatiekopieën maakt.
5. Selecteer Vastleggen.
6. Maak uw definitie en versie van de installatiekopieën op de pagina Een afbeelding maken die wordt geopend.
   1. Toestaan dat de installatiekopieën worden gedeeld met Azure Compute Gallery als versie van een VM-installatiekopieën. Beheerde installatiekopieën worden niet ondersteund voor vertrouwelijke VM's.
   2. Maak een nieuwe galerie of selecteer een bestaande galerie.
   3. Voor de status van het besturingssysteem selecteert u Gegeneraliseerd of Gespecialiseerd, afhankelijk van uw use-case.
   4. Maak een definitie van een installatiekopieën door een naam, uitgever, aanbieding en SKU-gegevens op te geven. Zorg ervoor dat het beveiligingstype is ingesteld op Vertrouwelijk.
   5. Geef een versienummer op voor de installatiekopieën.
   6. Voor replicatie wijzigt u indien nodig het aantal replica's.
   7. Selecteer Controleren + maken.
   8. Wanneer de validatie van de afbeelding is voltooid, selecteert u Maken om de installatiekopieën te maken.
7. Selecteer de versie van de installatiekopieën om rechtstreeks naar de resource te gaan. U kunt ook naar de versie van de installatiekopieën gaan via de definitie van de installatiekopieën. De definitie van de installatiekopie toont ook het versleutelingstype, zodat u kunt controleren of de installatiekopie en de bron-VM overeenkomen.
8. Selecteer Op de pagina versie van de installatiekopieën de optie VM maken.

U kunt nu een vertrouwelijke VM maken op basis van uw aangepaste installatiekopieën.

Een installatiekopie van een vertrouwelijk VM-type maken op basis van een beheerde schijf of momentopname

1. Meld u aan bij de Azure-portal.
2. Als u een gegeneraliseerde installatiekopie wilt maken, verwijdert u machinespecifieke informatie voor de schijf of momentopname voordat u de installatiekopie maakt.
3. Zoek en selecteer VM-installatiekopieën in de zoekbalk.
4. Selecteer Maken.
5. Ga als volgt te werk op het tabblad Basisbeginselen op de pagina Installatiekopieën maken van vm-installatiekopieën:
   1. Selecteer een Azure-abonnement.
   2. Selecteer een bestaande resourcegroep of maak een nieuwe resourcegroep.
   3. Selecteer een Azure-regio.
   4. Voer een versienummer in voor de installatiekopieën.
   5. Selecteer voor Bron schijven en/of momentopnamen.
   6. Selecteer voor de besturingssysteemschijf een beheerde schijf of een momentopname van beheerde schijven.
   7. Selecteer of maak voor de Doel-Azure-rekengalerie een galerie waarin u de installatiekopieën wilt delen.
   8. Voor de status van het besturingssysteem selecteert u Generalized of Specialized, afhankelijk van uw use-case.
   9. Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën.
   10. Voer in het deelvenster Een vm-installatiekopieëndefinitie maken een naam in voor de definitie. Zorg ervoor dat het beveiligingstype vertrouwelijk is. Voer de informatie over de uitgever, aanbieding en SKU in. Selecteer vervolgens OK.
6. Controleer op het tabblad Versleuteling of het type vertrouwelijke rekenversleuteling overeenkomt met het type bronschijf of momentopname.
7. Selecteer Beoordelen + Maken om uw instellingen te controleren.
8. Nadat de instellingen zijn gevalideerd, selecteert u Maken om de versie van de installatiekopieën te maken.
9. Nadat de versie van de installatiekopieën is gemaakt, selecteert u Vm maken.

U kunt nu een vertrouwelijke VM maken op basis van uw aangepaste installatiekopieën.

Door vertrouwelijke VM ondersteunde installatiekopieën

Voor de volgende afbeeldingsbronnen moet het beveiligingstype voor de definitie van de installatiekopie worden ingesteld ConfidentialVMSupported op omdat de bron van de installatiekopie geen informatie over de vm-gaststatus en vertrouwelijke schijfversleuteling heeft:

• VHD van besturingssysteemschijf
• Beheerde installatiekopieën van Gen2

De resulterende versie van de installatiekopieën kan worden gebruikt om virtuele Azure Gen2-machines of vertrouwelijke VM's te maken.

Deze installatiekopieën kunnen worden gerepliceerd binnen de bronregio en naar verschillende doelregio's.

Notitie

De VHD of beheerde installatiekopieën van de besturingssysteemschijf moeten worden gemaakt op basis van een installatiekopieën die compatibel zijn met een vertrouwelijke VM. De grootte van de VHD of beheerde installatiekopieën moet kleiner zijn dan 32 GB

Een installatiekopie van het type Vertrouwelijk VM maken die wordt ondersteund

1. Meld u aan bij de Azure-portal.
2. Versies van VM-installatiekopieën zoeken en selecteren in de zoekbalk
3. Selecteer Maken op de pagina versies van vm-installatiekopieën.
4. Ga op het tabblad Basisbeginselen naar de pagina Versie van de VM-installatiekopieën maken:
   1. Selecteer het Azure-abonnement.
   2. Selecteer een bestaande resourcegroep of maak een nieuwe resourcegroep.
   3. Selecteer de Azure-regio.
   4. Voer een versienummer van de installatiekopieën in.
   5. Voor Bron selecteert u Opslagblobs (VHD) of Beheerde installatiekopieën.
   6. Als u Storage Blobs (VHD) hebt geselecteerd, voert u een VHD van de besturingssysteemschijf in (zonder de vm-gaststatus). Zorg ervoor dat u een Gen 2-VHD gebruikt.
   7. Als u Beheerde installatiekopieën hebt geselecteerd, selecteert u een bestaande beheerde installatiekopieën van een gen 2-VM.
   8. Voor de Doel-Azure-rekengalerie selecteert of maakt u een galerie om de installatiekopieën te delen.
   9. Voor de status van het besturingssysteem selecteert u Generalized of Specialized, afhankelijk van uw use-case. Als u een beheerde installatiekopieën als bron gebruikt, selecteert u altijd Gegeneraliseerd. Als u een opslagblob (VHD) gebruikt en gegeneraliseerd wilt selecteren, volgt u de stappen voor het generaliseren van een Linux-VHD of het generaliseren van een Windows-VHD voordat u doorgaat.
   10. Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën.
   11. Voer in het deelvenster Een vm-installatiekopieëndefinitie maken een naam in voor de definitie. Zorg ervoor dat het beveiligingstype is ingesteld op Vertrouwelijk ondersteund. Voer informatie over uitgevers, aanbiedingen en SKU's in. Selecteer vervolgens OK.
5. Voer op het tabblad Replicatie het aantal replica's en doelregio's in voor replicatie van installatiekopieën, indien nodig.
6. Voer op het tabblad Versleuteling SSE-versleutelingsinformatie in, indien nodig.
7. Selecteer Controleren + maken.
8. Nadat de configuratie is gevalideerd, selecteert u Maken om het maken van de installatiekopieën te voltooien.
9. Nadat de versie van de installatiekopieën is gemaakt, selecteert u Vm maken.

Een vertrouwelijke VM maken op basis van galerie-installatiekopieën

Nu u een installatiekopieën hebt gemaakt, kunt u deze installatiekopieën nu gebruiken om een vertrouwelijke VM te maken.

1. Configureer op de pagina Een virtuele machine maken het tabblad Basisbeginselen :
   1. Maak onder Projectdetails voor resourcegroep een nieuwe resourcegroep of selecteer een bestaande resourcegroep.
   2. Voer onder Instantiedetails een NAAM van een VM in en selecteer een regio die vertrouwelijke VM's ondersteunt. Voor meer informatie vindt u de reeks vertrouwelijke VM's in de tabel met VM-producten die beschikbaar zijn per regio.
   3. Als u een vertrouwelijke installatiekopie gebruikt, wordt het beveiligingstype ingesteld op Vertrouwelijke virtuele machines en kan het niet worden gewijzigd. Als u een door Vertrouwelijk ondersteunde installatiekopie gebruikt, moet u het beveiligingstype selecteren als Vertrouwelijke virtuele machines van Standard.
   4. vTPM is standaard ingeschakeld en kan niet worden gewijzigd.
   5. Beveiligd opstarten is standaard ingeschakeld. Als u de instelling wilt wijzigen, gebruikt u Beveiligingsfuncties configureren. Beveiligd opstarten is vereist voor het gebruik van vertrouwelijke rekenversleuteling.
2. Configureer uw versleutelingsinstellingen indien nodig op het tabblad Schijven .
   1. Als u een vertrouwelijke installatiekopie gebruikt, worden de versleuteling van vertrouwelijke berekeningen en de versleutelingsset voor vertrouwelijke schijven (als u door de klant beheerde sleutels gebruikt) ingevuld op basis van de geselecteerde versie van de installatiekopie en kunnen ze niet worden gewijzigd.
   2. Als u een door Vertrouwelijk ondersteunde installatiekopie gebruikt, kunt u indien nodig vertrouwelijke rekenversleuteling selecteren. Geef vervolgens een vertrouwelijke schijfversleutelingsset op als u door de klant beheerde sleutels wilt gebruiken.
3. Voer de beheerdersaccountgegevens in.
4. Configureer eventuele regels voor binnenkomende poorten.
5. Selecteer Controleren + maken.
6. Controleer op de validatiepagina de details van de VIRTUELE machine.
7. Nadat de validatie is voltooid, selecteert u Maken om het maken van de VIRTUELE machine te voltooien.

Volgende stappen

Zie de overzichtspagina confidential computing voor meer informatie over Confidential Computing.