Краткое руководство. Создание конфиденциальной виртуальной машины в портал Azure
Вы можете использовать портал Azure для быстрого создания конфиденциальной виртуальной машины на основе образа Azure Marketplace. Существует несколько вариантов конфиденциальной виртуальной машины в AMD и Intel с технологией AMD SEV-SNP и Intel TDX.
Необходимые компоненты
Подписка Azure. Бесплатные пробные учетные записи не предоставляют доступ к виртуальным машинам, используемым в этом руководстве. Одним из возможных вариантов является подписка с оплатой по мере использования.
Если вы используете конфиденциальную виртуальную машину под управлением Linux, используйте оболочку BASH для SSH или установите клиент SSH, например PuTTY.
Если требуется шифрование конфиденциальных дисков с ключом, управляемым клиентом, выполните следующую команду, чтобы принять участие в субъекте-службе
Confidential VM Orchestrator
в клиенте. Установите пакет SDK Microsoft Graph, чтобы выполнить приведенные ниже команды.Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
Создание конфиденциальной виртуальной машины
Чтобы создать конфиденциальную виртуальную машину на портале Azure с помощью образа Azure Marketplace, сделайте следующее:
Войдите на портал Azure.
Выполните поиск по фразе Виртуальные машины.
В меню страницы "Виртуальные машины" выберите "Создать>виртуальную машину".
На вкладке Основные сведения настройте следующие параметры:
a. В поле Подписка области Сведения о проекте выберите подписку Azure, которая соответствует предварительным требованиям.
b. В поле Группа ресурсов выберите Создать, чтобы создать группу ресурсов. Введите имя, а затем нажмите кнопку ОК.
c. В поле Имя виртуальной машины области Сведения об экземпляре введите имя новой виртуальной машины.
d. В поле Регион выберите регион Azure, где хотите развернуть виртуальную машину.
Примечание.
Конфиденциальные виртуальные машины доступны не во всех расположениях. Сведения о поддерживаемых расположениях см. в разделе Доступность продуктов Azure по регионам.
д) Для параметров доступности выберите "Нет избыточности инфраструктуры", необходимой для одной виртуальной машины или масштабируемого набора виртуальных машин для нескольких виртуальных машин.
f. В поле Тип безопасности выберите Конфиденциальные виртуальные машины.
ж. В поле Образ выберите образ ОС, который будет использоваться для виртуальной машины. Выберите "Просмотреть все изображения ", чтобы открыть Azure Marketplace. Выберите тип>безопасности фильтра Конфиденциально, чтобы отобразить все доступные образы конфиденциальных виртуальных машин.
h. Выберите образы Поколение 2. Конфиденциальные виртуальные машины работают только в образах поколения 2. Чтобы убедиться в этом, в разделе Образ выберите Configure VM generation (Настройка поколения виртуальной машины). На панели Configure VM generation (Настройка поколения виртуальной машины) в поле Поколение виртуальной машинывыберите Поколение 2. Затем выберите Применить.
Примечание.
Для серии NCCH100v5 в настоящее время поддерживается только образ Ubuntu Server 22.04 LTS (конфиденциальная виртуальная машина ).
i. В поле Размер выберите размер виртуальной машины. Дополнительные сведения см. в разделе Поддерживаемые семейства конфиденциальных виртуальных машин.
j. Если вы создаете виртуальную машину Linux, в поле Тип проверки подлинности выберите Открытый ключ SSH . Если у вас еще нет ключей SSH, создайте их для виртуальных машин Linux.
k. В области Учетная запись администраторав поле Имя пользователя введите имя администратора для виртуальной машины.
l. В поле Открытый ключ SSH введите открытый ключ RSA, если это применимо.
m. В полях Пароль и Подтверждение пароля введите пароль администратора, если это применимо.
о. В разделе Правила входящего порта для параметра Общедоступные входящие порты выберите Разрешить выбранные порты.
o. В поле Выбрать входящие порты выберите входящие порты в раскрывающемся меню. Для виртуальных машин Windows выберите HTTP (80) и RDP (3389). Для виртуальных машин Linux выберите SSH (22) и HTTP (80).
Примечание.
Не рекомендуется разрешать порты RDP/SSH для рабочих развертываний.
На вкладке Диски настройте следующие параметры:
В разделе "Параметры диска" включите шифрование дисков конфиденциальной ОС, если вы хотите зашифровать диск ОС виртуальной машины во время создания.
Для управления ключами выберите тип используемого ключа.
Если выбрано шифрование конфиденциальных дисков с ключом , управляемым клиентом, создайте набор шифрования конфиденциальных дисков перед созданием конфиденциальной виртуальной машины.
Если вы хотите зашифровать временный диск виртуальной машины, обратитесь к следующей документации.
(Необязательно) При необходимости необходимо создать набор шифрования конфиденциальных дисков следующим образом.
Создайте Azure Key Vault с помощью ценовой категории "Премиум" , которая включает поддержку ключей с поддержкой HSM. Также важно включить защиту от очистки для дополнительных мер безопасности. Кроме того, для конфигурации доступа используйте политику доступа Хранилища на вкладке "Конфигурация доступа". Кроме того, вы можете создать управляемый аппаратный модуль безопасности Azure Key Vault (HSM).
В портал Azure найдите и выберите наборы шифрования дисков.
Нажмите кнопку создания.
Для подписки выберите используемую подписку Azure.
Для группы ресурсов выберите или создайте новую группу ресурсов для использования.
Для имени набора шифрования дисков введите имя набора.
В регионе выберите доступный регион Azure.
Для типа шифрования выберите шифрование конфиденциальных дисков с помощью ключа, управляемого клиентом.
В Key Vault выберите уже созданное хранилище ключей.
В разделе Key Vault выберите "Создать" , чтобы создать новый ключ.
Примечание.
Если вы выбрали управляемый модуль HSM Azure ранее, используйте PowerShell или Azure CLI для создания нового ключа .
В поле "Имя" введите имя ключа.
Для типа ключа выберите RSA-HSM
Выберите размер ключа
о. В разделе "Параметры конфиденциального ключа" выберите "Экспортируемый " и задайте политику конфиденциальной операции CVM в качестве политики конфиденциальной операции CVM.
o. Нажмите кнопку "Создать" , чтобы завершить создание ключа.
p. Выберите "Проверить и создать ", чтобы создать новый набор шифрования дисков. Дождитесь успешного создания ресурса.
q. Перейдите к ресурсу набора шифрования дисков в портал Azure.
r. Когда появится синий баннер сведений, следуйте инструкциям, предоставленным для предоставления доступа. При обнаружении розового баннера просто выберите его, чтобы предоставить необходимые разрешения Azure Key Vault.
Внимание
Для успешного создания конфиденциальной виртуальной машины необходимо выполнить этот шаг.
При необходимости внесите изменения в параметры на вкладках Сеть, Управление, Гостевая конфигурация и Теги.
Выберите Обзор и создание, чтобы проверить свою конфигурацию.
Дождитесь завершения проверки. При необходимости исправьте все проблемы, выявленные в ходе проверки, а затем выберите Проверка и создание еще раз.
В области Отзыв и создание выберите Создать.
Подключение к конфиденциальной виртуальной машине
Существуют различные методы подключения к конфиденциальным виртуальным машинам Windows и конфиденциальным виртуальным машинам Linux.
Подключение к виртуальным машинам Windows
Чтобы подключиться к конфиденциальной виртуальной машине с ОС Windows, см. раздел Как подключиться к виртуальной машине Azure под управлением Windows и войти на нее.
Подключение к виртуальным машинам Linux
Чтобы подключиться к конфиденциальной виртуальной машине с ОС Linux, см. инструкции для ОС своего компьютера.
Прежде чем начать, убедитесь, что у вас есть общедоступный IP-адрес виртуальной машины. Чтобы найти этот IP-адрес, сделайте следующее:
Войдите на портал Azure.
Выполните поиск по фразе Виртуальные машины.
На странице Виртуальные машины выберите свою конфиденциальную виртуальную машину.
На странице обзора конфиденциальной виртуальной машины скопируйте Общедоступный IP-адрес.
Дополнительные сведения о подключении к виртуальным машинам Linux см. Краткое руководство. Создание виртуальной машины Linux на портале Azure.
Откройте SSH-клиент, например PuTTY.
Введите общедоступный IP-адрес конфиденциальной виртуальной машины.
Подключитесь к виртуальной машине. В PuTTY выберите Открыть.
Введите имя пользователя и пароль администратора виртуальной машины.
Примечание.
Если вы используете PuTTY, может появиться оповещение системы безопасности о том, что ключ узла сервера не кэшируется в реестре. Если вы доверяете этому узлу, выберите Да, чтобы добавить ключ в кэш PuTTY и продолжить подключение. Чтобы подключиться только один раз, не добавляя ключ, выберите Нет. Если вы не доверяете этому узлу, выберите Отмена, чтобы прервать подключение.
Очистка ресурсов
После завершения работы с кратким руководством вы можете очистить конфиденциальную виртуальную машину, группу ресурсов и другие связанные ресурсы.
Войдите на портал Azure.
Выберите или найдите элемент Группы ресурсов.
На странице Группы ресурсов выберите группу ресурсов, созданную для этого краткого руководства.
В меню группы ресурсов выберите Удалить группу ресурсов.
В области предупреждения введите имя группы ресурсов, чтобы подтвердить удаление.
Выберите команду Удалить.