Szybki start: wdrażanie poufnej maszyny wirtualnej z obrazu galerii obliczeń platformy Azure przy użyciu witryny Azure Portal

Poufne maszyny wirtualne platformy Azure obsługują tworzenie i udostępnianie obrazów niestandardowych przy użyciu usługi Azure Compute Gallery. Istnieją dwa typy obrazów, które można utworzyć na podstawie typów zabezpieczeń obrazu:

• Poufne obrazy maszyn wirtualnych (ConfidentialVM) to obrazy , na których źródło ma już informacje o stanie gościa maszyny wirtualnej. Ten typ obrazu może również mieć włączone szyfrowanie dysków poufnych.
• Poufne obrazy maszyn wirtualnych obsługiwane (ConfidentialVMSupported) to obrazy , na których źródło nie ma informacji o stanie gościa maszyny wirtualnej, a szyfrowanie dysków poufnych nie jest włączone.

Poufne obrazy maszyn wirtualnych

W przypadku następujących źródeł obrazów typ zabezpieczeń definicji obrazu powinien być ustawiony na ConfidentialVM wartość , ponieważ źródło obrazu zawiera już informacje o stanie gościa maszyny wirtualnej, a także może mieć włączone szyfrowanie dysków poufnych:

• Przechwytywanie poufnych maszyn wirtualnych
• Zarządzany dysk systemu operacyjnego
• Migawka dysku zarządzanego systemu operacyjnego

Wynikowa wersja obrazu może służyć tylko do tworzenia poufnych maszyn wirtualnych.

Tę wersję obrazu można replikować w regionie źródłowym, ale obecnie nie można jej replikować do innego regionu lub w różnych subskrypcjach.

Uwaga

Jeśli chcesz utworzyć obraz na podstawie poufnej maszyny wirtualnej z systemem Windows, która ma poufne szyfrowanie dysków obliczeniowych z włączonym kluczem zarządzanym przez platformę lub kluczem zarządzanym przez klienta, możesz utworzyć tylko wyspecjalizowany obraz. To ograniczenie istnieje, ponieważ narzędzie uogólniania (sysprep) może nie być w stanie uogólnić zaszyfrowanego źródła obrazu. To ograniczenie dotyczy dysku systemu operacyjnego, który jest niejawnie tworzony wraz z poufnej maszyny wirtualnej z systemem Windows oraz migawką utworzoną na podstawie tego dysku systemu operacyjnego.

Tworzenie obrazu typu poufnego maszyny wirtualnej przy użyciu funkcji przechwytywania poufnej maszyny wirtualnej

1. Zaloguj się w witrynie Azure Portal.
2. Przejdź do usługi Maszyny wirtualne.
3. Otwórz poufną maszynę wirtualną, której chcesz użyć jako źródła obrazu.
4. Jeśli chcesz utworzyć uogólniony obraz, przed utworzeniem obrazu usuń informacje specyficzne dla maszyny.
5. Wybierz pozycję Przechwyć.
6. Na stronie Tworzenie obrazu, która zostanie otwarta, utwórz definicję obrazu i wersję.
   1. Zezwalaj na udostępnianie obrazu galerii obliczeń platformy Azure jako wersji obrazu maszyny wirtualnej. Obrazy zarządzane nie są obsługiwane w przypadku poufnych maszyn wirtualnych.
   2. Utwórz nową galerię lub wybierz istniejącą galerię.
   3. W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane, w zależności od przypadku użycia.
   4. Utwórz definicję obrazu, podając nazwę, wydawcę, ofertę i jednostkę SKU. Upewnij się, że typ zabezpieczeń jest ustawiony na Poufne.
   5. Podaj numer wersji obrazu.
   6. W polu Replikacja zmodyfikuj liczbę replik, jeśli jest to wymagane.
   7. Wybierz pozycję Przejrzyj i utwórz.
   8. Po pomyślnym zakończeniu walidacji obrazu wybierz pozycję Utwórz , aby zakończyć tworzenie obrazu.
7. Wybierz wersję obrazu, aby przejść bezpośrednio do zasobu. Możesz też przejść do wersji obrazu za pomocą definicji obrazu. Definicja obrazu pokazuje również typ szyfrowania, aby sprawdzić, czy obraz i źródłowa maszyna wirtualna są zgodne.
8. Na stronie wersja obrazu wybierz pozycję Utwórz maszynę wirtualną.

Teraz możesz utworzyć maszynę wirtualną Poufne na podstawie obrazu niestandardowego.

Tworzenie obrazu typu poufnej maszyny wirtualnej na podstawie dysku zarządzanego lub migawki

1. Zaloguj się w witrynie Azure Portal.
2. Jeśli chcesz utworzyć uogólniony obraz, przed utworzeniem obrazu usuń informacje specyficzne dla maszyny dla dysku lub migawki.
3. Wyszukaj i wybierz pozycję Wersje obrazów maszyny wirtualnej na pasku wyszukiwania.
4. Wybierz pozycję Utwórz
5. Na karcie Podstawowe informacje na stronie Tworzenie wersji obrazu maszyny wirtualnej:
   1. Wybierz subskrypcję platformy Azure.
   2. Wybierz istniejącą grupę zasobów lub utwórz nową grupę zasobów.
   3. Określ region platformy Azure.
   4. Wprowadź numer wersji obrazu.
   5. W polu Źródło wybierz pozycję Dyski i/lub Migawki.
   6. W przypadku dysku systemu operacyjnego wybierz dysk zarządzany lub migawkę dysku zarządzanego.
   7. W obszarze Docelowa galeria obliczeniowa platformy Azure wybierz lub utwórz galerię, w której chcesz udostępnić obraz.
   8. W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane w zależności od przypadku użycia.
   9. W obszarze Definicja obrazu docelowej maszyny wirtualnej wybierz pozycję Utwórz nową.
   10. W okienku Tworzenie definicji obrazu maszyny wirtualnej wprowadź nazwę definicji. Upewnij się, że typ zabezpieczeń to Poufne. Wprowadź informacje o wydawcy, ofercie i jednostce SKU. Następnie wybierz przycisk OK.
6. Na karcie Szyfrowanie upewnij się, że typ poufnego szyfrowania obliczeniowego jest zgodny z typem dysku źródłowego lub migawki.
7. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć ustawienia.
8. Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby zakończyć tworzenie wersji obrazu.
9. Po pomyślnym utworzeniu wersji obrazu wybierz pozycję Utwórz maszynę wirtualną.

Teraz możesz utworzyć maszynę wirtualną Poufne na podstawie obrazu niestandardowego.

Poufne obrazy obsługiwane przez maszynę wirtualną

W przypadku następujących źródeł obrazów typ zabezpieczeń definicji obrazu powinien być ustawiony na ConfidentialVMSupported wartość , ponieważ źródło obrazu nie ma informacji o stanie gościa maszyny wirtualnej i szyfrowanie dysków poufnych:

• Dysk VHD dysku systemu operacyjnego
• Obraz zarządzany gen2

Wynikowa wersja obrazu może służyć do tworzenia maszyn wirtualnych usługi Azure Gen2 lub poufnych maszyn wirtualnych.

Ten obraz można replikować w regionie źródłowym i w różnych regionach docelowych.

Uwaga

Dysk VHD lub obraz zarządzany systemu operacyjnego należy utworzyć na podstawie obrazu zgodnego z poufnymi maszynami wirtualnymi. Rozmiar dysku VHD lub obrazu zarządzanego powinien być mniejszy niż 32 GB

Tworzenie obrazu obsługiwanego typu poufnej maszyny wirtualnej

1. Zaloguj się w witrynie Azure Portal.
2. Wyszukaj i wybierz pozycję Wersje obrazów maszyny wirtualnej na pasku wyszukiwania
3. Na stronie Wersje obrazów maszyny wirtualnej wybierz pozycję Utwórz.
4. Na stronie Tworzenie wersji obrazu maszyny wirtualnej na karcie Podstawy:
   1. Wybierz subskrypcję platformy Azure.
   2. Wybierz istniejącą grupę zasobów lub utwórz nową grupę zasobów.
   3. Wybierz region świadczenia usługi Azure.
   4. Wprowadź numer wersji obrazu.
   5. W polu Źródło wybierz pozycję Obiekty blob magazynu (VHD) lub Obraz zarządzany.
   6. W przypadku wybrania opcji Obiekty blob usługi Storage (VHD) wprowadź dysk VHD dysku systemu operacyjnego (bez stanu gościa maszyny wirtualnej). Upewnij się, że używasz wirtualnego dysku twardego 2. generacji.
   7. W przypadku wybrania opcji Obraz zarządzany wybierz istniejący obraz zarządzany maszyny wirtualnej 2. generacji.
   8. W obszarze Docelowa galeria obliczeniowa platformy Azure wybierz lub utwórz galerię, aby udostępnić obraz.
   9. W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane w zależności od przypadku użycia. Jeśli używasz obrazu zarządzanego jako źródła, zawsze wybierz pozycję Uogólnione. Jeśli używasz obiektu blob magazynu (VHD) i chcesz wybrać opcję Uogólnione, przed kontynuowaniem wykonaj kroki, aby uogólnić wirtualny dysk twardy z systemem Linux lub uogólnić dysk VHD systemu Windows.
   10. W obszarze Docelowa definicja obrazu maszyny wirtualnej wybierz pozycję Utwórz nową.
   11. W okienku Tworzenie definicji obrazu maszyny wirtualnej wprowadź nazwę definicji. Upewnij się, że typ zabezpieczeń jest ustawiony na Poufne obsługiwane. Wprowadź informacje o wydawcy, ofercie i jednostce SKU. Następnie wybierz przycisk OK.
5. Na karcie Replikacja wprowadź liczbę replik i regiony docelowe replikacji obrazów, jeśli jest to wymagane.
6. Na karcie Szyfrowanie wprowadź informacje dotyczące szyfrowania SSE, jeśli jest to wymagane.
7. Wybierz pozycję Przejrzyj i utwórz.
8. Po pomyślnym zweryfikowaniu konfiguracji wybierz pozycję Utwórz , aby zakończyć tworzenie obrazu.
9. Po utworzeniu wersji obrazu wybierz pozycję Utwórz maszynę wirtualną.

Tworzenie poufnej maszyny wirtualnej na podstawie obrazu galerii

Po pomyślnym utworzeniu obrazu możesz teraz użyć tego obrazu do utworzenia poufnej maszyny wirtualnej.

1. Na stronie Tworzenie maszyny wirtualnej skonfiguruj kartę Podstawowe:
   1. W obszarze Szczegóły projektu w polu Grupa zasobów utwórz nową grupę zasobów lub wybierz istniejącą grupę zasobów.
   2. W obszarze Szczegóły wystąpienia wprowadź nazwę maszyny wirtualnej i wybierz region obsługujący poufne maszyny wirtualne. Aby uzyskać więcej informacji, znajdź serię poufnych maszyn wirtualnych w tabeli produktów maszyn wirtualnych dostępnych według regionów.
   3. Jeśli używasz obrazu Poufne , typ zabezpieczeń jest ustawiony na Poufne maszyny wirtualne i nie można go modyfikować. Jeśli używasz obrazu Poufne obsługiwane , musisz wybrać typ zabezpieczeń jako Poufne maszyny wirtualne w warstwie Standardowa.
   4. Program vTPM jest domyślnie włączony i nie można go modyfikować.
   5. Bezpieczny rozruch jest domyślnie włączona. Aby zmodyfikować to ustawienie, użyj opcji Konfiguruj funkcje zabezpieczeń. Bezpieczny rozruch jest wymagany do korzystania z poufnego szyfrowania obliczeniowego.
2. Na karcie Dyski skonfiguruj ustawienia szyfrowania w razie potrzeby.
   1. Jeśli używasz obrazu poufnego , poufne szyfrowanie obliczeniowe i zestaw szyfrowania dysków poufnych (jeśli używasz kluczy zarządzanych przez klienta) są wypełniane na podstawie wybranej wersji obrazu i nie można ich modyfikować.
   2. Jeśli używasz obrazu obsługiwanego przez poufne, w razie potrzeby możesz wybrać poufne szyfrowanie obliczeniowe. Następnie podaj zestaw szyfrowania dysków poufnych, jeśli chcesz używać kluczy zarządzanych przez klienta.
3. Wprowadź informacje o koncie administratora.
4. Skonfiguruj wszystkie reguły portów wejściowych.
5. Wybierz pozycję Przejrzyj i utwórz.
6. Na stronie walidacji przejrzyj szczegóły maszyny wirtualnej.
7. Po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz , aby zakończyć tworzenie maszyny wirtualnej.

Następne kroki

Aby uzyskać więcej informacji na temat poufnego przetwarzania, zobacz stronę Omówienie poufnego przetwarzania.