Szybki start: tworzenie poufnej maszyny wirtualnej na platformie AMD w Azure Portal

  • Artykuł
  • Czas czytania: 5 min

Za pomocą Azure Portal można szybko utworzyć poufne maszyny wirtualne na podstawie obrazu Azure Marketplace. Istnieje wiele poufnych opcji maszyn wirtualnych na platformie AMD z technologią AMD SEV-SNP.

Wymagania wstępne

  • Subskrypcja platformy Azure. Bezpłatne konta wersji próbnej nie mają dostępu do maszyn wirtualnych używanych w tym samouczku. Jedną z opcji jest użycie subskrypcji z płatnością zgodnie z rzeczywistym użyciem.

  • Jeśli używasz poufnej maszyny wirtualnej opartej na systemie Linux, użyj powłoki BASH dla protokołu SSH lub zainstaluj klienta SSH, takiego jak PuTTY.

  • Jeśli wymagane jest szyfrowanie dysków poufnych przy użyciu klucza zarządzanego przez klienta, uruchom poniższe polecenie, aby wyrazić zgodę na jednostkę usługi Confidential VM Orchestrator w dzierżawie.

    Connect-AzureAD -Tenant "your tenant ID"
New-AzureADServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

Tworzenie poufnej maszyny wirtualnej

Aby utworzyć poufne maszynę wirtualną w Azure Portal przy użyciu obrazu Azure Marketplace:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz lub wyszukaj pozycję Maszyny wirtualne.

  3. W menu strony Maszyny wirtualne wybierz pozycję Utwórz>maszynę wirtualną.

  4. Na karcie Podstawy skonfiguruj następujące ustawienia:

    1. W obszarze Szczegóły projektuwybierz subskrypcję platformy Azure, która spełnia wymagania wstępne.

    2. W obszarze Grupa zasobów wybierz pozycję Utwórz nową , aby utworzyć nową grupę zasobów. Wprowadź nazwę i wybierz przycisk OK.

    3. W obszarze Szczegóły wystąpienia w polu Nazwa maszyny wirtualnej wprowadź nazwę nowej maszyny wirtualnej.

    4. W obszarze Region wybierz region świadczenia usługi Azure, w którym chcesz wdrożyć maszynę wirtualną.

      Uwaga

      Poufne maszyny wirtualne nie są dostępne we wszystkich lokalizacjach. W przypadku obecnie obsługiwanych lokalizacji zobacz, które produkty maszyn wirtualnych są dostępne w regionie świadczenia usługi Azure.

    5. W polu Typ zabezpieczeń wybierz pozycję Poufne maszyny wirtualne.

    6. W polu Obraz wybierz obraz systemu operacyjnego, który ma być używany dla maszyny wirtualnej. Na potrzeby tego samouczka wybierz pozycję Ubuntu Server 20.04 LTS (poufne maszyny wirtualnej),Windows Server 2019 [mały dysk] Centrum danych lub Windows Server 2022 [mały dysk] Centrum danych.

      Porada

      Opcjonalnie wybierz pozycję Zobacz wszystkie obrazy, aby otworzyć Azure Marketplace. Wybierz filtr Typ> zabezpieczeńPoufne, aby wyświetlić wszystkie dostępne poufne obrazy maszyn wirtualnych.

    7. Przełącz obrazy generacji 2 . Poufne maszyny wirtualne są uruchamiane tylko na obrazach generacji 2. Aby upewnić się, że w obszarze Obraz wybierz pozycję Konfiguruj generowanie maszyn wirtualnych. W okienku Konfigurowanie generowania maszyny wirtualnej dla generacji maszyn wirtualnych wybierz pozycję Generacja 2. Następnie wybierz pozycję Zastosuj.

    8. W obszarze Rozmiar wybierz rozmiar maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz obsługiwane poufne rodziny maszyn wirtualnych.

    9. W polu Typ uwierzytelniania, jeśli tworzysz maszynę wirtualną z systemem Linux, wybierz pozycję Klucz publiczny SSH . Jeśli nie masz jeszcze kluczy SSH, utwórz klucze SSH dla maszyn wirtualnych z systemem Linux.

    10. W obszarze Konto administratora w polu Nazwa użytkownika wprowadź nazwę administratora maszyny wirtualnej.

    11. W przypadku klucza publicznego SSH, jeśli ma to zastosowanie, wprowadź klucz publiczny RSA.

    12. W polu Hasło i Potwierdź hasło, jeśli ma to zastosowanie, wprowadź hasło administratora.

    13. W obszarze Reguły portów przychodzących w obszarze Publiczne porty przychodzące wybierz pozycję Zezwalaj na wybrane porty.

    14. W obszarze Wybierz porty przychodzące wybierz porty przychodzące z menu rozwijanego. W przypadku maszyn wirtualnych z systemem Windows wybierz pozycję HTTP (80) i RDP (3389). W przypadku maszyn wirtualnych z systemem Linux wybierz pozycję SSH (22) i HTTP (80).

      Uwaga

      Nie zaleca się zezwalania na porty RDP/SSH na potrzeby wdrożeń produkcyjnych.

  5. Na karcie Dyski skonfiguruj następujące ustawienia:

    1. W obszarze Opcje dysku włącz poufne szyfrowanie obliczeniowe , jeśli chcesz zaszyfrować dysk systemu operacyjnego maszyny wirtualnej podczas tworzenia.

    2. W polu Typ poufnego szyfrowania obliczeniowego wybierz typ szyfrowania do użycia.

    3. Jeśli wybrano opcję Poufne szyfrowanie dysków przy użyciu klucza zarządzanego przez klienta , utwórz zestaw Poufne szyfrowanie dysków przed utworzeniem poufnej maszyny wirtualnej.

  6. (Opcjonalnie) W razie potrzeby utwórz ustawienie Poufne szyfrowanie dysków w następujący sposób.

    1. Tworzenie Key Vault platformy Azure. W przypadku warstwy cenowej wybierz pozycję Premium (obejmuje obsługę kluczy opartych na modułach HSM). Możesz też utworzyć moduł HSM (Hardware Security Module) platformy Azure Key Vault zarządzany.

    2. W Azure Portal wyszukaj i wybierz pozycję Zestawy szyfrowania dysków.

    3. Wybierz przycisk Utwórz.

    4. W obszarze Subskrypcja wybierz subskrypcję platformy Azure do użycia.

    5. W obszarze Grupa zasobów wybierz lub utwórz nową grupę zasobów do użycia.

    6. W polu Nazwa zestawu szyfrowania dysków wprowadź nazwę zestawu.

    7. W obszarze Region wybierz dostępny region świadczenia usługi Azure.

    8. W polu Typ szyfrowania wybierz pozycję Poufne szyfrowanie dysków przy użyciu klucza zarządzanego przez klienta.

    9. W przypadku Key Vault wybierz utworzony już magazyn kluczy.

    10. W obszarze Key Vault wybierz pozycję Utwórz nowy, aby utworzyć nowy klucz.

      Uwaga

      Jeśli wcześniej wybrano zarządzany moduł HSM platformy Azure, użyj programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby utworzyć nowy klucz .

    11. W polu Nazwa wprowadź nazwę klucza.

    12. Dla typu klucza wybierz pozycję RSA-HSM

    13. Wybieranie rozmiaru klucza

    14. Wybierz pozycję Utwórz , aby zakończyć tworzenie klucza.

    15. Wybierz pozycję Przejrzyj i utwórz, aby utworzyć nowy zestaw szyfrowania dysków. Poczekaj na pomyślne ukończenie tworzenia zasobu.

    16. Przejdź do zasobu zestawu szyfrowania dysków w Azure Portal.

    17. Wybierz różowy baner, aby udzielić uprawnień do usługi Azure Key Vault.

      Ważne

      Aby pomyślnie utworzyć poufne maszyny wirtualne, należy wykonać ten krok.

  7. W razie potrzeby wprowadź zmiany ustawień na kartach Sieć, Zarządzanie, Konfiguracja gościa i Tagi.

  8. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować konfigurację.

  9. Poczekaj na zakończenie walidacji. Jeśli to konieczne, rozwiąż wszelkie problemy z walidacją, a następnie ponownie wybierz pozycję Przejrzyj i utwórz .

  10. W okienku Przeglądanie + tworzenie wybierz pozycję Utwórz.

Nawiązywanie połączenia z poufnej maszyny wirtualnej

Istnieją różne metody nawiązywania połączenia z poufnymi maszynami wirtualnymi z systemem Windows i poufnymi maszynami wirtualnymi z systemem Linux.

Nawiązywanie połączenia z maszynami wirtualnymi z systemem Windows

Aby nawiązać połączenie z poufnej maszyny wirtualnej przy użyciu systemu operacyjnego Windows, zobacz Jak nawiązać połączenie i zalogować się do maszyny wirtualnej platformy Azure z systemem Windows.

Nawiązywanie połączenia z maszynami wirtualnymi z systemem Linux

Aby nawiązać połączenie z poufnej maszyny wirtualnej z systemem operacyjnym Linux, zobacz instrukcje dotyczące systemu operacyjnego komputera.

Przed rozpoczęciem upewnij się, że masz publiczny adres IP maszyny wirtualnej. Aby znaleźć adres IP:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz lub wyszukaj pozycję Maszyny wirtualne.

  3. Na stronie Maszyny wirtualne wybierz poufne maszyny wirtualne.

  4. Na stronie przeglądu poufnej maszyny wirtualnej skopiuj publiczny adres IP.

    Aby uzyskać więcej informacji na temat nawiązywania połączenia z maszynami wirtualnymi z systemem Linux, zobacz Szybki start: tworzenie maszyny wirtualnej z systemem Linux w Azure Portal.

  5. Otwórz klienta SSH, takiego jak PuTTY.

  6. Wprowadź publiczny adres IP poufnej maszyny wirtualnej.

  7. Nawiąż połączenie z maszyną wirtualną. W polu PuTTY wybierz pozycję Otwórz.

  8. Wprowadź nazwę użytkownika i hasło administratora maszyny wirtualnej.

    Uwaga

    Jeśli używasz programu PuTTY, może zostać wyświetlony alert zabezpieczeń, że klucz hosta serwera nie jest buforowany w rejestrze. Jeśli ufasz hostowi, wybierz pozycję Tak , aby dodać klucz do pamięci podręcznej PuTTY i kontynuować nawiązywanie połączenia. Aby nawiązać połączenie tylko raz, bez dodawania klucza wybierz pozycję Nie. Jeśli nie ufasz hostowi, wybierz pozycję Anuluj , aby porzucić połączenie.

Czyszczenie zasobów

Po zakończeniu pracy z przewodnikiem Szybki start możesz wyczyścić poufne maszyny wirtualne, grupę zasobów i inne powiązane zasoby.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz lub wyszukaj pozycję Grupy zasobów.

  3. Na stronie Grupy zasobów wybierz grupę zasobów utworzoną na potrzeby tego przewodnika Szybki start.

  4. W menu grupy zasobów wybierz pozycję Usuń grupę zasobów.

  5. W okienku ostrzeżenia wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie.

  6. Wybierz pozycję Usuń.

Następne kroki

Tworzenie poufnej maszyny wirtualnej na platformie AMD przy użyciu szablonu usługi ARM