Guia de início rápido: criar VM confidencial no portal do Azure

  • Artigo

Você pode usar o portal do Azure para criar uma VM confidencial com base em uma imagem do Azure Marketplace rapidamente. Existem várias opções de VM confidenciais na AMD e Intel com tecnologia AMD SEV-SNP e Intel TDX.

Pré-requisitos

  • Uma subscrição do Azure. As contas de avaliação gratuita não têm acesso às VMs usadas neste tutorial. Uma opção é usar uma assinatura paga conforme o uso.

  • Se você estiver usando uma VM confidencial baseada em Linux, use um shell BASH para SSH ou instale um cliente SSH, como PuTTY.

  • Se for necessária encriptação de disco confidencial com uma chave gerida pelo cliente, execute o comando abaixo para aceitar a entidade Confidential VM Orchestrator de serviço para o seu inquilino. Instale o SDK do Microsoft Graph para executar os comandos abaixo.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

Criar VM confidencial

Para criar uma VM confidencial no portal do Azure usando uma imagem do Azure Marketplace:

  1. Inicie sessão no portal do Azure.

  2. Selecione ou pesquise máquinas virtuais.

  3. No menu da página Máquinas virtuais, selecione Criar>máquina virtual.

  4. Na guia Noções básicas, defina as seguintes configurações:

    a. Em Detalhes do projeto, para Assinatura, selecione uma assinatura do Azure que atenda aos pré-requisitos.

    b. Em Grupo de Recursos, selecione Criar novo para criar um novo grupo de recursos. Insira um nome e selecione OK.

    c. Em Detalhes da instância, para Nome da máquina virtual, insira um nome para a nova VM.

    d. Em Região, selecione a região do Azure na qual implantar sua VM.

    Nota

    As VMs confidenciais não estão disponíveis em todos os locais. Para locais atualmente suportados, consulte quais produtos de VM estão disponíveis por região do Azure.

    e. Para Opções de disponibilidade, selecione Nenhuma redundância de infraestrutura necessária para VMs singulares ou Conjunto de dimensionamento de máquina virtual para várias VMs.

    f. Em Tipo de Segurança, selecione Máquinas virtuais confidenciais.

    g. Em Imagem, selecione a imagem do sistema operacional a ser usada para sua VM. Selecione Ver todas as imagens para abrir o Azure Marketplace. Selecione o filtro Tipo>de segurança confidencial para mostrar todas as imagens confidenciais de VM disponíveis.

    h. Alterne as imagens da Geração 2 . As VMs confidenciais só são executadas em imagens da 2ª geração. Para garantir, em Imagem, selecione Configurar geração de VM. No painel Configurar geração de VM, para geração de VM, selecione Geração 2. Em seguida, selecione Aplicar.

    i. Em Tamanho, selecione um tamanho de VM. Para obter mais informações, consulte Famílias de VM confidenciais suportadas.

    j. Para Tipo de autenticação, se você estiver criando uma VM Linux, selecione Chave pública SSH . Se você ainda não tiver chaves SSH, crie chaves SSH para suas VMs Linux.

    k. Em Conta de administrador, em Nome de utilizador, introduza um nome de administrador para a VM.

    l. Para a chave pública SSH, se aplicável, insira a chave pública RSA.

    m. Para Palavra-passe e Confirmar palavra-passe, se aplicável, introduza uma palavra-passe de administrador.

    n. Em Regras de porta de entrada, para Portas de entrada públicas, selecione Permitir portas selecionadas.

    o. Em Selecionar portas de entrada, selecione as portas de entrada no menu suspenso. Para VMs do Windows, selecione HTTP (80) e RDP (3389). Para VMs Linux, selecione SSH (22) e HTTP (80).

    Nota

    Não é recomendado permitir portas RDP/SSH para implantações de produção.

  5. Na guia Discos, defina as seguintes configurações:

    1. Em Opções de disco, habilite a criptografia de disco confidencial do sistema operacional se quiser criptografar o disco do sistema operacional da VM durante a criação.

    2. Em Gerenciamento de chaves, selecione o tipo de chave a ser usada.

    3. Se a opção Criptografia de disco confidencial com uma chave gerenciada pelo cliente estiver selecionada, crie um conjunto de criptografia de disco confidencial antes de criar sua VM confidencial.

    4. Se você quiser criptografar o disco temporário da VM, consulte a documentação a seguir.

  6. (Opcional) Se necessário, você precisa criar um conjunto de criptografia de disco confidencial da seguinte maneira.

    1. Crie um Cofre de Chaves do Azure selecionando a camada de preço Premium que inclui suporte para chaves apoiadas por HSM e habilite a proteção contra limpeza. Como alternativa, você pode criar um HSM (Hardware Security Module) gerenciado pelo Azure Key Vault.

    2. No portal do Azure, procure e selecione Conjuntos de Criptografia de Disco.

    3. Selecione Criar.

    4. Em Assinatura, selecione qual assinatura do Azure usar.

    5. Para Grupo de recursos, selecione ou crie um novo grupo de recursos para usar.

    6. Em Nome do conjunto de criptografia de disco, insira um nome para o conjunto.

    7. Em Região, selecione uma região do Azure disponível.

    8. Em Tipo de criptografia, selecione Criptografia de disco confidencial com uma chave gerenciada pelo cliente.

    9. Em Cofre de chaves, selecione o cofre de chaves que você já criou.

    10. Em Cofre da Chave, selecione Criar novo para criar uma nova chave.

      Nota

      Se você selecionou um HSM gerenciado do Azure anteriormente, use o PowerShell ou a CLI do Azure para criar a nova chave .

    11. Em Nome, insira um nome para a chave.

    12. Para o tipo de chave, selecione RSA-HSM

    13. Selecione o tamanho da sua chave

    n. Em Opções de chave confidencial, selecione Exportável e defina a política de operação confidencial como política de operação confidencial da CVM.

    o. Selecione Criar para concluir a criação da chave.

    p. Selecione Rever + criar para criar um novo conjunto de encriptação de disco. Aguarde até que a criação do recurso seja concluída com êxito.

    q. Vá para o recurso de conjunto de criptografia de disco no portal do Azure.

    r. Selecione o banner rosa para conceder permissões ao Azure Key Vault.

    Importante

    Você deve executar esta etapa para criar com êxito a VM confidencial.

  7. Conforme necessário, faça alterações nas configurações nas guias Rede, Gerenciamento, Configuração de convidado e Tags.

  8. Selecione Rever + criar para validar a sua configuração.

  9. Aguarde que a validação seja concluída. Se necessário, corrija quaisquer problemas de validação e, em seguida, selecione Rever + criar novamente.

  10. No painel Rever + criar, selecione Criar.

Conectar-se a VM confidencial

Existem diferentes métodos para se conectar a VMs confidenciais do Windows e VMs confidenciais do Linux.

Conectar-se a VMs do Windows

Para se conectar a uma VM confidencial com um sistema operacional Windows, consulte Como se conectar e entrar em uma máquina virtual do Azure executando o Windows.

Ligar a VMs do Linux

Para se conectar a uma VM confidencial com um sistema operacional Linux, consulte as instruções para o sistema operacional do seu computador.

Antes de começar, certifique-se de que tem o endereço IP público da sua VM. Para encontrar o endereço IP:

  1. Inicie sessão no portal do Azure.

  2. Selecione ou pesquise máquinas virtuais.

  3. Na página Máquinas virtuais, selecione sua VM confidencial.

  4. Na página de visão geral confidencial da VM, copie o endereço IP público.

    Para obter mais informações sobre como se conectar a VMs Linux, consulte Guia de início rápido: criar uma máquina virtual Linux no portal do Azure.

  5. Abra seu cliente SSH, como o PuTTY.

  6. Introduza o endereço IP público confidencial da sua VM.

  7. Ligue à VM. Em PuTTY, selecione Abrir.

  8. Introduza o nome de utilizador e a palavra-passe do administrador da VM.

    Nota

    Se estiver a utilizar o PuTTY, poderá receber um alerta de segurança de que a chave de anfitrião do servidor não está armazenada em cache no registo. Se você confiar no host, selecione Sim para adicionar a chave ao cache do PuTTY e continuar se conectando. Para se conectar apenas uma vez, sem adicionar a chave, selecione Não. Se não confiar no anfitrião, selecione Cancelar para abandonar a ligação.

Clean up resources (Limpar recursos)

Depois de concluir o início rápido, você pode limpar a VM confidencial, o grupo de recursos e outros recursos relacionados.

  1. Inicie sessão no portal do Azure.

  2. Selecione ou procure Grupos de recursos.

  3. Na página Grupos de recursos, selecione o grupo de recursos criado para este início rápido.

  4. No menu do grupo de recursos, selecione Excluir grupo de recursos.

  5. No painel de aviso, insira o nome do grupo de recursos para confirmar a exclusão.

  6. Selecione Eliminar.

Próximos passos

Criar uma VM confidencial com um modelo ARM