Quickstart: Een vertrouwelijke VM maken in Azure Portal
U kunt Azure Portal gebruiken om snel een vertrouwelijke VM te maken op basis van een Azure Marketplace-installatiekopieën. Er zijn meerdere vertrouwelijke VM-opties op AMD en Intel met AMD SEV-SNP en Intel TDX-technologie.
Vereisten
Een Azure-abonnement. Gratis proefaccounts hebben geen toegang tot de VM's die in deze zelfstudie worden gebruikt. Een optie is om een abonnement op basis van betalen per gebruik te gebruiken.
Als u een vertrouwelijke virtuele Linux-machine gebruikt, gebruikt u een BASH-shell voor SSH of installeert u een SSH-client, zoals PuTTY.
Als vertrouwelijke schijfversleuteling met een door de klant beheerde sleutel is vereist, voert u de onderstaande opdracht uit om de service-principal
Confidential VM Orchestrator
voor uw tenant in te schakelen. Installeer Microsoft Graph SDK om de onderstaande opdrachten uit te voeren.Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
Vertrouwelijke VM maken
Een vertrouwelijke VM maken in Azure Portal met behulp van een Azure Marketplace-installatiekopieën:
Meld u aan bij het Azure-portaal.
Selecteer of zoek naar virtuele machines.
Selecteer In het paginamenu Virtuele machines de optie Virtuele machine maken>.
Configureer op het tabblad Basisbeginselen de volgende instellingen:
a. Selecteer onder Projectdetails voor Abonnement een Azure-abonnement dat voldoet aan de vereisten.
b. Selecteer voor Resourcegroep Nieuwe maken om een nieuwe resourcegroep te maken. Voer een naam in en selecteer OK.
c. Voer onder Exemplaardetails een naam in voor de naam van de virtuele machine.
d. Selecteer voor Regio de Azure-regio waarin u uw VIRTUELE machine wilt implementeren.
Notitie
Vertrouwelijke VM's zijn niet beschikbaar op alle locaties. Voor momenteel ondersteunde locaties kunt u zien welke VM-producten beschikbaar zijn per Azure-regio.
e. Selecteer voor beschikbaarheidsopties geen infrastructuurredundantie vereist voor enkelvoudige VM's of virtuele-machineschaalset voor meerdere VM's.
f. Voor beveiligingstype selecteert u Vertrouwelijke virtuele machines.
g. Selecteer voor installatiekopieën de installatiekopieën van het besturingssysteem die u voor uw VIRTUELE machine wilt gebruiken. Selecteer Alle installatiekopieën weergeven om Azure Marketplace te openen. Selecteer het filter Security Type>Confidential om alle beschikbare vertrouwelijke VM-installatiekopieën weer te geven.
h. Schakel afbeeldingen van generatie 2 in. Vertrouwelijke VM's worden alleen uitgevoerd op installatiekopieën van de tweede generatie. Selecteer onder Installatiekopieën de optie VM-generatie configureren. Selecteer generatie 2 van de virtuele machine in het deelvenster VM-generatie configureren. Selecteer Vervolgens Toepassen.
Notitie
Voor NCCH100v5-serie wordt momenteel alleen de Ubuntu Server 22.04 LTS-installatiekopie (Confidential VM) ondersteund.
i. Selecteer voor Grootte een VM-grootte. Zie ondersteunde vertrouwelijke VM-families voor meer informatie.
j. Als u een linux-VM maakt, selecteert u voor verificatietype de openbare SSH-sleutel. Als u nog geen SSH-sleutels hebt, maakt u SSH-sleutels voor uw Linux-VM's.
k. Voer onder Administrator-account voor gebruikersnaam een beheerdersnaam in voor uw virtuele machine.
l. Voer voor de openbare SSH-sleutel, indien van toepassing, uw openbare RSA-sleutel in.
m. Voer, indien van toepassing, een beheerderswachtwoord in voor wachtwoord en bevestig het wachtwoord.
n. Selecteer voor Openbare binnenkomende poorten onder Regels voor binnenkomende poort de optie Geselecteerde poorten toestaan.
o. Voor Binnenkomende poorten selecteren, selecteert u uw binnenkomende poorten in de vervolgkeuzelijst. Voor Windows-VM's selecteert u HTTP (80) en RDP (3389). Voor Linux-VM's selecteert u SSH (22) en HTTP (80).
Notitie
Het wordt niet aanbevolen om RDP-/SSH-poorten toe te staan voor productie-implementaties.
Configureer op het tabblad Schijven de volgende instellingen:
Schakel onder Schijfopties Vertrouwelijke besturingssysteemschijfversleuteling in als u de besturingssysteemschijf van uw VIRTUELE machine wilt versleutelen tijdens het maken.
Selecteer voor Sleutelbeheer het type sleutel dat u wilt gebruiken.
Als Vertrouwelijke schijfversleuteling met een door de klant beheerde sleutel is geselecteerd, maakt u een vertrouwelijke schijfversleutelingsset voordat u uw vertrouwelijke VM maakt.
Als u de tijdelijke schijf van uw VIRTUELE machine wilt versleutelen, raadpleegt u de volgende documentatie.
(Optioneel) Indien nodig moet u als volgt een versleutelingsset voor vertrouwelijke schijven maken.
Maak een Azure Key Vault met behulp van de Premium-prijscategorie die ondersteuning biedt voor sleutels met HSM-ondersteuning. Het is ook belangrijk om beveiliging tegen opschonen in te schakelen voor extra beveiligingsmaatregelen. Voor de toegangsconfiguratie gebruikt u bovendien het toegangsbeleid voor de kluis onder het tabblad Toegangsconfiguratie. U kunt ook een door Azure Key Vault beheerde HSM (Hardware Security Module) maken.
Zoek en selecteer schijfversleutelingssets in Azure Portal.
Selecteer Maken.
Selecteer voor Abonnement welk Azure-abonnement u wilt gebruiken.
Selecteer of maak voor de resourcegroep een nieuwe resourcegroep die u wilt gebruiken.
Voer voor de naam van de schijfversleutelingsset een naam in voor de set.
Selecteer voor Regio een beschikbare Azure-regio.
Voor het versleutelingstype selecteert u Vertrouwelijke schijfversleuteling met een door de klant beheerde sleutel.
Selecteer voor Key Vault de sleutelkluis die u al hebt gemaakt.
Selecteer Onder Key Vault de optie Nieuwe maken om een nieuwe sleutel te maken.
Notitie
Als u eerder een door Azure beheerde HSM hebt geselecteerd, gebruikt u PowerShell of de Azure CLI om de nieuwe sleutel te maken.
Voer bij Naam een naam in voor de sleutel.
Selecteer RSA-HSM voor het sleuteltype
De sleutelgrootte selecteren
n. Selecteer onder Opties voor vertrouwelijke sleutels de optie Exporteren en stel het beleid voor vertrouwelijke bewerking in als beleid voor vertrouwelijke bewerking van CVM.
o. Selecteer Maken om het maken van de sleutel te voltooien.
p. Selecteer Beoordelen en maken om een nieuwe schijfversleutelingsset te maken. Wacht tot het maken van de resource is voltooid.
q. Ga naar de resource voor schijfversleutelingssets in Azure Portal.
r. Wanneer u een blauwe infobanner ziet, volgt u de instructies om toegang te verlenen. Als u een roze banner tegenkomt, selecteert u deze om de benodigde machtigingen te verlenen aan Azure Key Vault.
Belangrijk
U moet deze stap uitvoeren om de vertrouwelijke VM te maken.
Breng indien nodig wijzigingen aan in instellingen onder de tabbladen Netwerken, Beheer, Gastconfiguratie en Tags.
Selecteer Beoordelen en maken om uw configuratie te valideren.
Wacht tot de validatie is voltooid. Los indien nodig validatieproblemen op en selecteer Vervolgens Controleren en opnieuw maken .
Selecteer in het deelvenster Controleren + maken de optie Maken.
Verbinding maken met vertrouwelijke VM
Er zijn verschillende methoden om verbinding te maken met vertrouwelijke virtuele Windows-machines en virtuele Linux-machines.
Verbinding maken met Virtuele Windows-machines
Als u verbinding wilt maken met een vertrouwelijke VM met een Windows-besturingssysteem, raadpleegt u Hoe u verbinding maakt en zich aanmeldt bij een virtuele Machine van Azure waarop Windows wordt uitgevoerd.
Verbinding maken met virtuele Linux-machines
Als u verbinding wilt maken met een vertrouwelijke VM met een Linux-besturingssysteem, raadpleegt u de instructies voor het besturingssysteem van uw computer.
Voordat u begint, moet u ervoor zorgen dat u het openbare IP-adres van uw VIRTUELE machine hebt. Het IP-adres zoeken:
Meld u aan bij het Azure-portaal.
Selecteer of zoek naar virtuele machines.
Selecteer uw vertrouwelijke VM op de pagina Virtuele machines .
Kopieer op de overzichtspagina van uw vertrouwelijke VM het openbare IP-adres.
Zie de quickstart: Een virtuele Linux-machine maken in Azure Portal voor meer informatie over het maken van verbinding met virtuele Linux-machines.
Open uw SSH-client, zoals PuTTY.
Voer het openbare IP-adres van uw vertrouwelijke VM in.
Maak verbinding met de VM. Selecteer Openen in PuTTY.
Voer de gebruikersnaam en het wachtwoord van uw VM-beheerder in.
Notitie
Als u PuTTY gebruikt, ontvangt u mogelijk een beveiligingswaarschuwing dat de hostsleutel van de server niet in de cache van het register is opgeslagen. Als u de host vertrouwt, selecteert u Ja om de sleutel toe te voegen aan de cache van PuTTY en blijft u verbinding maken. Als u slechts eenmaal verbinding wilt maken zonder de sleutel toe te voegen, selecteert u Nee. Als u de host niet vertrouwt, selecteert u Annuleren om de verbinding af te breken.
Resources opschonen
Nadat u klaar bent met de quickstart, kunt u de vertrouwelijke VM, de resourcegroep en andere gerelateerde resources opschonen.
Meld u aan bij het Azure-portaal.
Selecteer of zoek naar Resourcegroepen.
Selecteer op de pagina Resourcegroepen de resourcegroep die u voor deze quickstart hebt gemaakt.
Selecteer resourcegroep verwijderen in het menu van de resourcegroep.
Voer in het waarschuwingsvenster de naam van de resourcegroep in om de verwijdering te bevestigen.
Selecteer Verwijderen.