Szybki start: tworzenie poufnej maszyny wirtualnej w witrynie Azure Portal
Możesz użyć witryny Azure Portal, aby szybko utworzyć poufne maszyny wirtualne na podstawie obrazu witryny Azure Marketplace. Istnieje wiele poufnych opcji maszyn wirtualnych na platformie AMD i intel z technologią AMD SEV-SNP i Intel TDX.
Wymagania wstępne
Subskrypcja platformy Azure. Konta bezpłatnej wersji próbnej nie mają dostępu do maszyn wirtualnych używanych w tym samouczku. Jedną z opcji jest użycie subskrypcji z płatnością zgodnie z rzeczywistym użyciem.
Jeśli używasz poufnej maszyny wirtualnej opartej na systemie Linux, użyj powłoki BASH dla protokołu SSH lub zainstaluj klienta SSH, takiego jak PuTTY.
Jeśli wymagane jest szyfrowanie dysków poufnych przy użyciu klucza zarządzanego przez klienta, uruchom poniższe polecenie, aby wyrazić zgodę na jednostkę usługi
Confidential VM Orchestrator
w dzierżawie. Zainstaluj zestaw Microsoft Graph SDK , aby wykonać poniższe polecenia.Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
Tworzenie poufnej maszyny wirtualnej
Aby utworzyć poufne maszyny wirtualne w witrynie Azure Portal przy użyciu obrazu witryny Azure Marketplace:
Zaloguj się w witrynie Azure Portal.
Wybierz lub wyszukaj pozycję Maszyny wirtualne.
W menu strony Maszyny wirtualne wybierz pozycję Utwórz>maszynę wirtualną.
Na karcie Podstawowe skonfiguruj następujące ustawienia:
a. W obszarze Szczegóły projektu w polu Subskrypcja wybierz subskrypcję platformy Azure, która spełnia wymagania wstępne.
b. W obszarze Grupa zasobów wybierz pozycję Utwórz nową , aby utworzyć nową grupę zasobów. Wprowadź nazwę i wybierz przycisk OK.
c. W obszarze Szczegóły wystąpienia w polu Nazwa maszyny wirtualnej wprowadź nazwę nowej maszyny wirtualnej.
d. W obszarze Region wybierz region świadczenia usługi Azure, w którym chcesz wdrożyć maszynę wirtualną.
Uwaga
Poufne maszyny wirtualne nie są dostępne we wszystkich lokalizacjach. W przypadku aktualnie obsługiwanych lokalizacji zobacz, które produkty maszyn wirtualnych są dostępne w regionie świadczenia usługi Azure.
e. W obszarze Opcje dostępności wybierz pozycję Brak nadmiarowości infrastruktury wymaganej dla pojedynczych maszyn wirtualnych lub zestawu skalowania maszyn wirtualnych dla wielu maszyn wirtualnych.
f. W polu Typ zabezpieczeń wybierz pozycję Poufne maszyny wirtualne.
g. W polu Obraz wybierz obraz systemu operacyjnego do użycia dla maszyny wirtualnej. Wybierz pozycję Zobacz wszystkie obrazy , aby otworzyć witrynę Azure Marketplace. Wybierz filtr Typ zabezpieczeń>Poufne , aby wyświetlić wszystkie dostępne poufne obrazy maszyn wirtualnych.
h. Przełącz obrazy generacji 2 . Poufne maszyny wirtualne działają tylko na obrazach generacji 2. Aby upewnić się, że w obszarze Obraz wybierz pozycję Konfiguruj generowanie maszyn wirtualnych. W okienku Konfigurowanie generowania maszyn wirtualnych dla generacji maszyn wirtualnych wybierz pozycję Generacja 2. Następnie wybierz pozycję Zastosuj.
Uwaga
W przypadku serii NCCH100v5 obecnie obsługiwany jest tylko obraz Ubuntu Server 22.04 LTS (poufnej maszyny wirtualnej ).
i. W obszarze Rozmiar wybierz rozmiar maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz obsługiwane poufne rodziny maszyn wirtualnych.
j. W polu Typ uwierzytelniania, jeśli tworzysz maszynę wirtualną z systemem Linux, wybierz pozycję Klucz publiczny SSH . Jeśli nie masz jeszcze kluczy SSH, utwórz klucze SSH dla maszyn wirtualnych z systemem Linux.
k. W obszarze Konto administratora w polu Nazwa użytkownika wprowadź nazwę administratora maszyny wirtualnej.
l. W przypadku klucza publicznego SSH, jeśli ma to zastosowanie, wprowadź klucz publiczny RSA.
m. W obszarze Hasło i Potwierdź hasło, jeśli ma to zastosowanie, wprowadź hasło administratora.
n. W obszarze Reguły portów wejściowych w obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty.
o. W obszarze Wybierz porty wejściowe wybierz porty wejściowe z menu rozwijanego. W przypadku maszyn wirtualnych z systemem Windows wybierz pozycję HTTP (80) i RDP (3389). W przypadku maszyn wirtualnych z systemem Linux wybierz pozycję SSH (22) i HTTP (80).
Uwaga
Nie zaleca się zezwalania na porty RDP/SSH na potrzeby wdrożeń produkcyjnych.
Na karcie Dyski skonfiguruj następujące ustawienia:
W obszarze Opcje dysku włącz szyfrowanie poufnych dysków systemu operacyjnego, jeśli chcesz zaszyfrować dysk systemu operacyjnego maszyny wirtualnej podczas tworzenia.
W obszarze Zarządzanie kluczami wybierz typ klucza do użycia.
Jeśli wybrano opcję Poufne szyfrowanie dysków przy użyciu klucza zarządzanego przez klienta, utwórz zestaw poufnego szyfrowania dysku przed utworzeniem poufnej maszyny wirtualnej.
Jeśli chcesz zaszyfrować dysk tymczasowy maszyny wirtualnej, zapoznaj się z następującą dokumentacją.
(Opcjonalnie) W razie potrzeby należy utworzyć zestaw szyfrowania dysków poufnych w następujący sposób.
Utwórz usługę Azure Key Vault przy użyciu warstwy cenowej Premium , która obejmuje obsługę kluczy opartych na module HSM. Ważne jest również włączenie ochrony przed przeczyszczaniem dla dodanych środków bezpieczeństwa. Ponadto w przypadku konfiguracji dostępu użyj opcji "Zasady dostępu magazynu" na karcie "Konfiguracja dostępu". Alternatywnie można utworzyć zarządzany sprzętowy moduł zabezpieczeń (HSM) usługi Azure Key Vault.
W witrynie Azure Portal wyszukaj i wybierz pozycję Zestawy szyfrowania dysków.
Wybierz pozycję Utwórz.
W obszarze Subskrypcja wybierz subskrypcję platformy Azure do użycia.
W obszarze Grupa zasobów wybierz lub utwórz nową grupę zasobów do użycia.
W polu Nazwa zestawu szyfrowania dysków wprowadź nazwę zestawu.
W obszarze Region wybierz dostępny region świadczenia usługi Azure.
W polu Typ szyfrowania wybierz pozycję Poufne szyfrowanie dysków przy użyciu klucza zarządzanego przez klienta.
W polu Key Vault wybierz utworzony już magazyn kluczy.
W obszarze Key Vault wybierz pozycję Utwórz nowy , aby utworzyć nowy klucz.
Uwaga
Jeśli wcześniej wybrano zarządzany moduł HSM platformy Azure, użyj programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby utworzyć nowy klucz .
W polu Nazwa wprowadź nazwę klucza.
Dla typu klucza wybierz pozycję RSA-HSM
Wybieranie rozmiaru klucza
n. W obszarze Opcje klucza poufnego wybierz opcję Eksportuj i ustaw zasady operacji Poufne jako zasady operacji poufnej CVM.
o. Wybierz pozycję Utwórz , aby zakończyć tworzenie klucza.
p. Wybierz pozycję Przejrzyj i utwórz , aby utworzyć nowy zestaw szyfrowania dysków. Poczekaj na pomyślne ukończenie tworzenia zasobu.
q. Przejdź do zasobu zestawu szyfrowania dysków w witrynie Azure Portal.
r. Po wyświetleniu niebieskiego baneru informacji postępuj zgodnie z instrukcjami podanymi w celu udzielenia dostępu. Po napotkaniu różowego baneru po prostu wybierz go, aby udzielić niezbędnych uprawnień usłudze Azure Key Vault.
Ważne
Aby pomyślnie utworzyć poufne maszyny wirtualne, należy wykonać ten krok.
W razie potrzeby wprowadź zmiany ustawień na kartach Sieć, Zarządzanie, Konfiguracja gościa i Tagi.
Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować konfigurację.
Poczekaj na zakończenie walidacji. W razie potrzeby rozwiąż wszelkie problemy z walidacją, a następnie ponownie wybierz pozycję Przejrzyj i utwórz .
W okienku Przeglądanie + tworzenie wybierz pozycję Utwórz.
Nawiązywanie połączenia z poufnej maszyny wirtualnej
Istnieją różne metody nawiązywania połączenia z poufnymi maszynami wirtualnymi z systemem Windows i poufnymi maszynami wirtualnymi z systemem Linux.
Nawiązywanie połączenia z maszynami wirtualnymi z systemem Windows
Aby nawiązać połączenie z poufnej maszyny wirtualnej z systemem operacyjnym Windows, zobacz Jak nawiązać połączenie i zalogować się do maszyny wirtualnej platformy Azure z systemem Windows.
Nawiązywanie połączenia z maszynami wirtualnymi z systemem Linux
Aby nawiązać połączenie z poufnej maszyny wirtualnej przy użyciu systemu operacyjnego Linux, zobacz instrukcje dotyczące systemu operacyjnego komputera.
Przed rozpoczęciem upewnij się, że masz publiczny adres IP maszyny wirtualnej. Aby znaleźć adres IP:
Zaloguj się w witrynie Azure Portal.
Wybierz lub wyszukaj pozycję Maszyny wirtualne.
Na stronie Maszyny wirtualne wybierz poufne maszyny wirtualne.
Na stronie przeglądu poufnej maszyny wirtualnej skopiuj publiczny adres IP.
Aby uzyskać więcej informacji na temat nawiązywania połączenia z maszynami wirtualnymi z systemem Linux, zobacz Szybki start: tworzenie maszyny wirtualnej z systemem Linux w witrynie Azure Portal.
Otwórz klienta SSH, takiego jak PuTTY.
Wprowadź publiczny adres IP poufnej maszyny wirtualnej.
Nawiąż połączenie z maszyną wirtualną. W programie PuTTY wybierz pozycję Otwórz.
Wprowadź nazwę użytkownika i hasło administratora maszyny wirtualnej.
Uwaga
Jeśli używasz programu PuTTY, może zostać wyświetlony alert zabezpieczeń informujący, że klucz hosta serwera nie jest buforowany w rejestrze. Jeśli ufasz hostowi, wybierz pozycję Tak , aby dodać klucz do pamięci podręcznej PuTTY i kontynuować nawiązywanie połączenia. Aby nawiązać połączenie tylko raz, bez dodawania klucza wybierz pozycję Nie. Jeśli nie ufasz hostowi, wybierz pozycję Anuluj , aby zrezygnować z połączenia.
Czyszczenie zasobów
Po zakończeniu pracy z przewodnikiem Szybki start możesz wyczyścić poufne maszyny wirtualne, grupę zasobów i inne powiązane zasoby.
Zaloguj się w witrynie Azure Portal.
Wybierz lub wyszukaj pozycję Grupy zasobów.
Na stronie Grupy zasobów wybierz grupę zasobów utworzoną na potrzeby tego przewodnika Szybki start.
W menu grupy zasobów wybierz pozycję Usuń grupę zasobów.
W okienku ostrzeżenia wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie.
Wybierz Usuń.