Snabbstart: Skapa en konfidentiell virtuell dator i Azure Portal
Du kan använda Azure Portal för att snabbt skapa en konfidentiell virtuell dator baserat på en Azure Marketplace-avbildning. Det finns flera alternativ för konfidentiella virtuella datorer på AMD och Intel med AMD SEV-SNP och Intel TDX-teknik.
Förutsättningar
En Azure-prenumeration. Kostnadsfria utvärderingskonton har inte åtkomst till de virtuella datorer som används i den här självstudien. Ett alternativ är att använda en betala per användning-prenumeration.
Om du använder en Linux-baserad konfidentiell virtuell dator använder du ett BASH-gränssnitt för SSH eller installerar en SSH-klient, till exempel PuTTY.
Om konfidentiell diskkryptering med en kundhanterad nyckel krävs kör du kommandot nedan för att välja tjänstens huvudnamn
Confidential VM Orchestrator
för din klientorganisation. Installera Microsoft Graph SDK för att köra kommandona nedan.Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
Skapa konfidentiell virtuell dator
Så här skapar du en konfidentiell virtuell dator i Azure Portal med hjälp av en Azure Marketplace-avbildning:
Logga in på Azure-portalen.
Välj eller sök efter Virtuella datorer.
På sidan Virtuella datorer väljer du Skapa>virtuell dator.
På fliken Grundläggande konfigurerar du följande inställningar:
a. Under Projektinformation för Prenumeration väljer du en Azure-prenumeration som uppfyller kraven.
b. För Resursgrupp väljer du Skapa ny för att skapa en ny resursgrupp. Ange ett namn och välj OK.
c. Under Instansinformation anger du ett namn för den nya virtuella datorn för Namn på virtuell dator.
d. För Region väljer du den Azure-region där den virtuella datorn ska distribueras.
Kommentar
Konfidentiella virtuella datorer är inte tillgängliga på alla platser. För platser som stöds för närvarande, se vilka VM-produkter som är tillgängliga per Azure-region.
e. För Tillgänglighetsalternativ väljer du Ingen infrastrukturredundans krävs för enskilda virtuella datorer eller VM-skalningsuppsättningar för flera virtuella datorer.
f. För Säkerhetstyp väljer du Konfidentiella virtuella datorer.
g. För Avbildning väljer du den OS-avbildning som ska användas för den virtuella datorn. Välj Visa alla avbildningar för att öppna Azure Marketplace. Välj filtret Säkerhetstyp>Konfidentiell för att visa alla tillgängliga konfidentiella VM-avbildningar.
h. Växla generation 2-bilder . Konfidentiella virtuella datorer körs endast på generation 2-avbildningar. Under Avbildning väljer du Konfigurera vm-generering. I fönstret Konfigurera generering av virtuella datorer väljer du Generation 2 för VM-generering. Välj sedan Använd.
Kommentar
För NCCH100v5-serien stöds för närvarande endast Ubuntu Server 22.04 LTS-avbildningen (konfidentiell virtuell dator ).
i. För Storlek väljer du en VM-storlek. Mer information finns i Konfidentiella VM-familjer som stöds.
j. Om du skapar en virtuell Linux-dator som autentiseringstyp väljer du offentlig SSH-nyckel . Om du inte redan har SSH-nycklar skapar du SSH-nycklar för dina virtuella Linux-datorer.
k. Under Administratörskonto anger du ett administratörsnamn för den virtuella datorn för Användarnamn.
l. För offentlig SSH-nyckel, om tillämpligt, anger du din offentliga RSA-nyckel.
m. För Lösenord och Bekräfta lösenord, om tillämpligt, anger du ett administratörslösenord.
n. Under Regler för inkommande portar väljer du Tillåt valda portar för Offentliga inkommande portar.
o. För Välj inkommande portar väljer du dina inkommande portar i den nedrullningsbara menyn. För virtuella Windows-datorer väljer du HTTP (80) och RDP (3389). För virtuella Linux-datorer väljer du SSH (22) och HTTP (80).
Kommentar
Vi rekommenderar inte att du tillåter RDP/SSH-portar för produktionsdistributioner.
Konfigurera följande inställningar på fliken Diskar:
Under Diskalternativ aktiverar du konfidentiell OS-diskkryptering om du vill kryptera den virtuella datorns OS-disk under skapandet.
För Nyckelhantering väljer du vilken typ av nyckel som ska användas.
Om Konfidentiell diskkryptering med en kundhanterad nyckel har valts skapar du en krypteringsuppsättning för konfidentiell disk innan du skapar den konfidentiella virtuella datorn.
Om du vill kryptera den virtuella datorns temporära disk kan du läsa följande dokumentation.
(Valfritt) Om det behövs måste du skapa en krypteringsuppsättning för konfidentiell disk enligt följande.
Skapa ett Azure Key Vault med prisnivån Premium som innehåller stöd för HSM-säkerhetskopierade nycklar. Det är också viktigt att aktivera rensningsskydd för extra säkerhetsåtgärder. För åtkomstkonfigurationen använder du dessutom åtkomstprincipen "Valv" under fliken Åtkomstkonfiguration. Du kan också skapa en Azure Key Vault-hanterad maskinvarusäkerhetsmodul (HSM).
I Azure Portal söker du efter och väljer Diskkrypteringsuppsättningar.
Välj Skapa.
För Prenumeration väljer du vilken Azure-prenumeration som ska användas.
För Resursgrupp väljer eller skapar du en ny resursgrupp som ska användas.
Ange ett namn för uppsättningen för diskkrypteringsuppsättningens namn.
För Region väljer du en tillgänglig Azure-region.
Som Krypteringstyp väljer du Konfidentiell diskkryptering med en kundhanterad nyckel.
För Key Vault väljer du det nyckelvalv som du redan har skapat.
Under Key Vault väljer du Skapa ny för att skapa en ny nyckel.
Kommentar
Om du valde en Azure-hanterad HSM tidigare använder du PowerShell eller Azure CLI för att skapa den nya nyckeln i stället.
Som Namn anger du ett namn för nyckeln.
Som nyckeltyp väljer du RSA-HSM
Välj nyckelstorlek
n. Under Alternativ för konfidentiell nyckel väljer du Exporterbar och anger principen för konfidentiell åtgärd som CVM-princip för konfidentiell åtgärd.
o. Välj Skapa för att slutföra skapandet av nyckeln.
p. Välj Granska + skapa för att skapa en ny diskkrypteringsuppsättning. Vänta tills resursen har skapats.
q. Gå till diskkrypteringsuppsättningsresursen i Azure Portal.
r. När du ser en blå informationsbanderoll följer du anvisningarna för att bevilja åtkomst. När du stöter på en rosa banderoll väljer du den för att bevilja nödvändiga behörigheter till Azure Key Vault.
Viktigt!
Du måste utföra det här steget för att kunna skapa den konfidentiella virtuella datorn.
Vid behov gör du ändringar i inställningarna under flikarna Nätverk, Hantering, Gästkonfiguration och Taggar.
Välj Granska + skapa för att verifiera konfigurationen.
Vänta tills valideringen har slutförts. Åtgärda eventuella valideringsproblem om det behövs och välj sedan Granska + skapa igen.
Välj Skapa i fönstret Granska + skapa.
Ansluta till konfidentiell virtuell dator
Det finns olika metoder för att ansluta till konfidentiella virtuella Windows-datorer och konfidentiella Virtuella Linux-datorer.
Ansluta till virtuella Windows-datorer
Information om hur du ansluter till en konfidentiell virtuell dator med ett Windows-operativsystem finns i Så här ansluter du och loggar in på en virtuell Azure-dator som kör Windows.
Anslut till virtuella Linux-datorer
Information om hur du ansluter till en konfidentiell virtuell dator med ett Linux-operativsystem finns i anvisningarna för datorns operativsystem.
Innan du börjar kontrollerar du att du har den virtuella datorns offentliga IP-adress. Så här hittar du IP-adressen:
Logga in på Azure-portalen.
Välj eller sök efter Virtuella datorer.
På sidan Virtuella datorer väljer du den konfidentiella virtuella datorn.
På översiktssidan för den konfidentiella virtuella datorn kopierar du den offentliga IP-adressen.
Mer information om hur du ansluter till virtuella Linux-datorer finns i Snabbstart: Skapa en virtuell Linux-dator i Azure Portal.
Öppna din SSH-klient, till exempel PuTTY.
Ange den konfidentiella virtuella datorns offentliga IP-adress.
Anslut till den virtuella datorn. I PuTTY väljer du Öppna.
Ange användarnamn och lösenord för den virtuella datorns administratör.
Kommentar
Om du använder PuTTY kan du få en säkerhetsavisering om att serverns värdnyckel inte cachelagras i registret. Om du litar på värden väljer du Ja för att lägga till nyckeln i PuTTY:s cacheminne och fortsätta ansluta. Om du bara vill ansluta en gång, utan att lägga till nyckeln, väljer du Nej. Om du inte litar på värden väljer du Avbryt för att avbryta anslutningen.
Rensa resurser
När du är klar med snabbstarten kan du rensa den konfidentiella virtuella datorn, resursgruppen och andra relaterade resurser.
Logga in på Azure-portalen.
Välj eller sök efter Resursgrupper.
På sidan Resursgrupper väljer du den resursgrupp som du skapade för den här snabbstarten.
På resursgruppens meny väljer du Ta bort resursgrupp.
I varningsfönstret anger du resursgruppens namn för att bekräfta borttagningen.
Välj Ta bort.