Snabbstart: Distribuera en konfidentiell virtuell dator från en Azure Compute Gallery-avbildning med hjälp av Azure-portalen

  • Artikel

Azure konfidentiella virtuella datorer stöder skapande och delning av anpassade avbildningar med Hjälp av Azure Compute Gallery. Det finns två typer av bilder som du kan skapa baserat på avbildningens säkerhetstyper:

  • Konfidentiella VM-avbildningar (ConfidentialVM) är avbildningar där källan redan har information om vm-gästtillståndet. Den här avbildningstypen kan också ha konfidentiell diskkryptering aktiverat.
  • Konfidentiella VM-avbildningar som stöds (ConfidentialVMSupported) är avbildningar där källan inte har information om vm-gästtillstånd och konfidentiell diskkryptering inte är aktiverat.

Konfidentiella VM-avbildningar

För följande avbildningskällor ska säkerhetstypen för avbildningsdefinitionen anges till ConfidentialVM eftersom avbildningskällan redan har information om vm-gästtillstånd och kan också ha konfidentiell diskkryptering aktiverat:

  • Avbildning av konfidentiell virtuell dator
  • Hanterad OS-disk
  • Ögonblicksbild av hanterad OS-disk

Den resulterande avbildningsversionen kan endast användas för att skapa konfidentiella virtuella datorer.

Den här avbildningsversionen kan replikeras inom källregionen men kan inte replikeras till en annan region eller mellan prenumerationer för närvarande.

Kommentar

Om du vill skapa en avbildning från en konfidentiell virtuell Windows-dator med konfidentiell kryptering av beräkningsdiskar aktiverad med en plattformshanterad nyckel eller en kundhanterad nyckel kan du bara skapa en specialiserad avbildning. Den här begränsningen finns eftersom generaliseringsverktyget (sysprep) kanske inte kan generalisera den krypterade bildkällan. Den här begränsningen gäller os-disken, som implicit skapas tillsammans med den konfidentiella virtuella Windows-datorn, och ögonblicksbilden som skapas från den här OS-disken.

Skapa en avbildning av typen Konfidentiell virtuell dator med hjälp av avbildning av konfidentiell virtuell dator

  1. Logga in på Azure-portalen.
  2. Gå till tjänsten Virtuella datorer .
  3. Öppna den konfidentiella virtuella dator som du vill använda som avbildningskälla.
  4. Om du vill skapa en generaliserad avbildning tar du bort datorspecifik information innan du skapar avbildningen.
  5. Välj Avbilda.
  6. På sidan Skapa en avbildning som öppnas skapar du din bilddefinition och version.
    1. Tillåt att avbildningen delas till Azure Compute Gallery som en vm-avbildningsversion. Hanterade avbildningar stöds inte för konfidentiella virtuella datorer.
    2. Skapa antingen ett nytt galleri eller välj ett befintligt galleri.
    3. För operativsystemtillståndet väljer du antingen Generaliserad eller Specialiserad, beroende på ditt användningsfall.
    4. Skapa en bilddefinition genom att ange information om namn, utgivare, erbjudande och SKU. Kontrollera att säkerhetstypen är inställd på Konfidentiellt.
    5. Ange ett versionsnummer för avbildningen.
    6. För Replikering ändrar du antalet repliker om det behövs.
    7. Välj Granska + skapa.
    8. När avbildningsverifieringen lyckas väljer du Skapa för att slutföra skapandet av avbildningen.
  7. Välj avbildningsversionen för att gå direkt till resursen. Eller så kan du gå till avbildningsversionen via bilddefinitionen. Bilddefinitionen visar också krypteringstypen, så att du kan kontrollera att avbildningen och den virtuella källdatorn matchar.
  8. På sidan avbildningsversion väljer du Skapa virtuell dator.

Nu kan du skapa en konfidentiell virtuell dator från din anpassade avbildning.

Skapa en avbildning av typen Konfidentiell virtuell dator från en hanterad disk eller ögonblicksbild

  1. Logga in på Azure-portalen.
  2. Om du vill skapa en generaliserad avbildning tar du bort datorspecifik information för disken eller ögonblicksbilden innan du skapar avbildningen.
  3. Sök efter och välj VM-avbildningsversioner i sökfältet.
  4. Välj Skapa
  5. På sidan Skapa vm-avbildningsversionfliken Grundläggande :
    1. Välj en Azure-prenumeration.
    2. Välj en befintlig resursgrupp eller skapa en ny resursgrupp.
    3. Välj en Azure-region.
    4. Ange ett versionsnummer för avbildningen.
    5. För Källa väljer du Diskar och/eller Ögonblicksbilder.
    6. För OS-disk väljer du antingen en hanterad disk eller ögonblicksbild av hanterad disk.
    7. För Target Azure Compute Gallery väljer eller skapar du ett galleri som du vill dela avbildningen i.
    8. För Operativsystemtillstånd väljer du antingen Generaliserad eller Specialiserad beroende på ditt användningsfall.
    9. För Avbildningsdefinition för virtuell måldator väljer du Skapa ny.
    10. I fönstret Skapa en VM-avbildningsdefinition anger du ett namn för definitionen. Kontrollera att säkerhetstypen är konfidentiell. Ange information om utgivare, erbjudande och SKU. Välj sedan Ok.
  6. På fliken Kryptering kontrollerar du att krypteringstypen Konfidentiell beräkning matchar källdiskens eller ögonblicksbildens typ.
  7. Välj Granska + Skapa för att granska inställningarna.
  8. När inställningarna har verifierats väljer du Skapa för att slutföra skapandet av avbildningsversionen.
  9. När avbildningsversionen har skapats väljer du Skapa virtuell dator.

Nu kan du skapa en konfidentiell virtuell dator från din anpassade avbildning.

Avbildningar som stöds av konfidentiell virtuell dator

För följande avbildningskällor ska säkerhetstypen för avbildningsdefinitionen anges till ConfidentialVMSupported eftersom avbildningskällan inte har information om vm-gästtillstånd och konfidentiell diskkryptering:

  • VHD för OS-disk
  • Gen2-hanterad avbildning

Den resulterande avbildningsversionen kan användas för att skapa virtuella Azure Gen2-datorer eller konfidentiella virtuella datorer.

Den här avbildningen kan replikeras inom källregionen och till olika målregioner.

Kommentar

Den virtuella hårddisken för operativsystemdisken eller den hanterade avbildningen ska skapas från en avbildning som är kompatibel med den konfidentiella virtuella datorn. Storleken på den virtuella hårddisken eller den hanterade avbildningen ska vara mindre än 32 GB

Skapa en avbildning av typen Konfidentiell virtuell dator som stöds

  1. Logga in på Azure-portalen.
  2. Sök efter och välj VM-avbildningsversioner i sökfältet
  3. På sidan VM-avbildningsversioner väljer du Skapa.
  4. På sidan Skapa vm-avbildningsversionfliken Grundläggande:
    1. Välj Azure-prenumerationen.
    2. Välj en befintlig resursgrupp eller skapa en ny resursgrupp.
    3. Välj Azure-regionen.
    4. Ange ett avbildningsversionsnummer.
    5. För Källa väljer du antingen Lagringsblobar (VHD) eller Hanterad avbildning.
    6. Om du har valt Storage Blobs (VHD) anger du en virtuell hårddisk för os-disk (utan gästtillståndet för den virtuella datorn). Se till att använda en VHD för Gen 2.
    7. Om du har valt Hanterad avbildning väljer du en befintlig hanterad avbildning av en virtuell Gen 2-dator.
    8. För Target Azure Compute Gallery väljer eller skapar du ett galleri för att dela avbildningen.
    9. För Operativsystemtillstånd väljer du antingen Generaliserad eller Specialiserad beroende på ditt användningsfall. Om du använder en hanterad avbildning som källa väljer du alltid Generaliserad. Om du använder en lagringsblob (VHD) och vill välja Generaliserad följer du stegen för att generalisera en virtuell Linux-hårddisk eller generalisera en virtuell Windows-hårddisk innan du fortsätter.
    10. För Avbildningsdefinition för virtuell måldator väljer du Skapa ny.
    11. I fönstret Skapa en VM-avbildningsdefinition anger du ett namn för definitionen. Kontrollera att säkerhetstypen är inställd på Konfidentiellt som stöds. Ange information om utgivare, erbjudande och SKU. Välj sedan Ok.
  5. På fliken Replikering anger du antalet replikerings- och målregioner för bildreplikering om det behövs.
  6. På fliken Kryptering anger du SSE-krypteringsrelaterad information om det behövs.
  7. Välj Granska + skapa.
  8. När konfigurationen har verifierats väljer du Skapa för att slutföra skapandet av avbildningen.
  9. När avbildningsversionen har skapats väljer du Skapa virtuell dator.

Nu när du har skapat en avbildning kan du nu använda avbildningen för att skapa en konfidentiell virtuell dator.

  1. På sidan Skapa en virtuell dator konfigurerar du fliken Grundläggande:
    1. Under Projektinformation för Resursgrupp skapar du en ny resursgrupp eller väljer en befintlig resursgrupp.
    2. Under Instansinformation anger du ett namn på den virtuella datorn och väljer en region som stöder konfidentiella virtuella datorer. Mer information finns i den konfidentiella VM-serien i tabellen med vm-produkter som är tillgängliga per region.
    3. Om du använder en konfidentiell avbildning är säkerhetstypen inställd på Konfidentiella virtuella datorer och kan inte ändras. Om du använder en avbildning som stöds av konfidentiellt måste du välja säkerhetstypen Konfidentiella virtuella datorer från Standard.
    4. vTPM är aktiverat som standard och kan inte ändras.
    5. Säker start är aktiverat som standard. Om du vill ändra inställningen använder du Konfigurera säkerhetsfunktioner. Säker start krävs för att använda konfidentiell beräkningskryptering.
  2. På fliken Diskar konfigurerar du krypteringsinställningarna om det behövs.
    1. Om du använder en konfidentiell avbildning fylls den konfidentiella beräkningskrypteringskryptering och den konfidentiella diskkrypteringsuppsättningen (om du använder kundhanterade nycklar) i baserat på den valda avbildningsversionen och kan inte ändras.
    2. Om du använder en avbildning som stöds av konfidentiellt kan du välja konfidentiell beräkningskryptering om det behövs. Ange sedan en konfidentiell diskkrypteringsuppsättning om du vill använda kundhanterade nycklar.
  3. Ange administratörskontoinformationen.
  4. Konfigurera eventuella regler för inkommande portar.
  5. Välj Granska + skapa.
  6. Granska informationen om den virtuella datorn på verifieringssidan.
  7. När valideringen har slutförts väljer du Skapa för att slutföra skapandet av den virtuella datorn.

Nästa steg

Mer information om konfidentiell databehandling finns på översiktssidan för konfidentiell databehandling.