Güvenilir başlatma etkin bir VM dağıtma

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Güvenilir başlatma, 2. nesil VM'lerin güvenliğini artırmanın bir yoludur. Güvenilir başlatma, vTPM ve güvenli önyükleme gibi altyapı teknolojilerini birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar.

Önkoşullar

• Henüz yapmadıysanız aboneliğinizi Bulut için Microsoft Defender eklemeniz gerekir. Bulut için Microsoft Defender, çeşitli Azure ve Karma kaynaklar için çok yararlı içgörüler sunan ücretsiz bir katmana sahiptir. Güvenilen başlatma, VM durumuyla ilgili birden çok öneriyi ortaya çıkarabilmek için Bulut için Defender yararlanıyor.

• Aboneliğinize Azure ilkeleri girişimleri atayın. Bu ilke girişimlerine abonelik başına yalnızca bir kez atanmalıdır. Bu, desteklenen tüm VM'lere gerekli tüm uzantıları otomatik olarak yükler.

  • Güvenilen Başlatma özellikli VM'lerde Konuk Kanıtlama'yı etkinleştirmek için önkoşulları yapılandırın.

  • Makineleri Azure İzleyici ve Azure Güvenlik aracılarını sanal makinelere otomatik olarak yükleyecek şekilde yapılandırın.

• Microsoft Azure Doğrulama trafiğine izin vermek için NSG Giden kurallarında AzureAttestation hizmet etiketine izin ver. Sanal ağ hizmet etiketlerine bakın.

• Güvenlik duvarı ilkelerinin erişimine *.attest.azure.netizin olduğundan emin olun.

Dekont

Linux görüntüsü kullanıyorsanız ve VM'de çekirdek sürücülerinin imzalanmamış veya Linux dağıtım satıcısı tarafından imzalanmamış olabileceğini düşünüyorsanız, güvenli önyüklemeyi kapatmayı düşünebilirsiniz. Azure portalında , 'Güvenilen Başlatma Sanal Makineler' seçili olan 'Güvenlik türü' parametresi için 'Sanal makine oluştur' sayfasında, 'Güvenlik özelliklerini yapılandır' seçeneğine tıklayın ve 'Güvenli önyüklemeyi etkinleştir' onay kutusunun işaretini kaldırın. CLI, PowerShell veya SDK'da güvenli önyükleme parametresini false olarak ayarlayın.

Güvenilen başlatma VM'si dağıtma

Güvenilir başlatma etkin bir sanal makine oluşturun. Aşağıdaki seçeneklerden birini belirleyin:

Portal

1. Azure Portal oturum açın.
2. Sanal Makineler arayın.
3. Hizmetler'in altında Sanal makineler'i seçin.
4. Sanal makineler sayfasında Ekle'yi ve ardından Sanal makine'yi seçin.
5. Proje ayrıntıları'nın altında doğru aboneliğin seçili olduğundan emin olun.
6. Kaynak grubu'nun altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
7. Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
8. Güvenlik türü içinGüvenilen başlatma sanal makineleri'ne tıklayın. Bu, üç seçeneğin daha görünmesini sağlar: Güvenli önyükleme, vTPM ve Bütünlük İzleme . Dağıtımınız için uygun seçenekleri belirleyin. Güvenilen Başlatma Özellikli Güvenlik Özellikleri hakkında daha fazla bilgi edinmek için.
9. Resim'in altında Güvenilen başlatma ile uyumlu Önerilen 2. Nesil görüntülerinden bir resim seçin. Liste için bkz . güvenilen başlatma.

   Bahşiş

   Açılan listede istediğiniz görüntünün 2. Nesil sürümünü görmüyorsanız Tüm görüntüleri göster'i seçin ve güvenlik türü filtresini Güvenilir Başlat olarak değiştirin.

10. Güvenilir başlatmayı destekleyen bir VM boyutu seçin. Desteklenen boyutların listesine bakın.
11. Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
12. Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin
13. Sanal makine oluştur sayfasında, dağıtmak üzere olduğunuz VM hakkındaki ayrıntıları görebilirsiniz. Doğrulama başarılı olarak gösterildikten sonra Oluştur'u seçin.

VM'nizin dağıtılması birkaç dakika sürer.

CLI

Azure CLI'nın en son sürümünü çalıştırdığınızdan emin olun

kullanarak az loginAzure'da oturum açın.

az login 

Güvenilen Başlatma ile bir sanal makine oluşturun.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Mevcut VM'ler için güvenli önyükleme ve vTPM ayarlarını etkinleştirebilir veya devre dışı bırakabilirsiniz. Sanal makinenin güvenli önyükleme ve vTPM ayarlarıyla güncelleştirilmesi otomatik yeniden başlatmayı tetikler.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Konuk Kanıtlama uzantısı aracılığıyla önyükleme bütünlüğü izlemesini yükleme hakkında daha fazla bilgi için bkz . Önyükleme bütünlüğü.

PowerShell

Vm'yi Güvenilen Başlat ile sağlamak için öncelikle cmdlet'i kullanılarak etkinleştirilmesi TrustedLaunchSet-AzVmSecurityProfile gerekir. Ardından, vTPM ve SecureBoot yapılandırmasını ayarlamak için Set-AzVmUefi cmdlet'ini kullanabilirsiniz. Hızlı başlangıç olarak aşağıdaki kod parçacığını kullanın, bu örnekteki değerleri kendinizle değiştirmeyi unutmayın.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Şablon

Hızlı başlangıç şablonu kullanarak güvenilen başlatma VM'lerini dağıtabilirsiniz:

Linux

Windows

Azure İşlem Galerisi görüntüsünden Güvenilen başlatma VM'si dağıtma

Azure güvenilen başlatma sanal makineleri, Azure İşlem Galerisi kullanılarak özel görüntülerin oluşturulmasını ve paylaşılmasını destekler. Görüntünün güvenlik türlerine göre oluşturabileceğiniz iki tür görüntü vardır:

• ÖnerilenGüvenilen başlatma VM'si Desteklenen (TrustedLaunchSupported) görüntüler, kaynağın VM Konuk durumu bilgilerine sahip olmadığı görüntülerdir ve 2. Nesil VM'ler veya Güvenilen Başlatma VM'leri oluşturmak için kullanılabilir.
• Güvenilir başlatma VM'leri (TrustedLaunch) görüntüleri, kaynağın genellikle VM Konuk durumu bilgilerine sahip olduğu görüntülerdir ve yalnızca Güvenilen Başlatma VM'leri oluşturmak için kullanılabilir.

Güvenilen başlatma VM'sinde desteklenen görüntüler

Aşağıdaki görüntü kaynakları için, görüntü tanımındaki güvenlik türü olarak TrustedLaunchsupportedayarlanmalıdır:

• 2. Nesil İşletim Sistemi Diski VHD
• 2. Nesil Yönetilen Görüntü
• 2. Nesil Galeri Görüntü Sürümü

Görüntü kaynağına VM Konuk Durumu bilgisi dahil edilmeyecektir.

Sonuçta elde edilen görüntü sürümü, Azure 2. Nesil VM'ler veya Güvenilen başlatma VM'leri oluşturmak için kullanılabilir.

Bu görüntüler Azure İşlem Galerisi - Doğrudan Paylaşılan Galeri ve Azure İşlem Galerisi - Topluluk Galerisi kullanılarak paylaşılabilir

Dekont

İşletim sistemi diski VHD,Yönetilen Görüntü veya Galeri Görüntüsü Sürümü, Güvenilen başlatma VM'leriyle uyumlu bir 2. Nesil görüntüsünden oluşturulmalıdır.

Portal

1. Azure Portal oturum açın.
2. Arama çubuğunda VM görüntüsü sürümlerini arayın ve seçin
3. VM görüntüsü sürümleri sayfasında Oluştur'u seçin.
4. VM görüntüsü sürümü oluştur sayfasında, Temel Bilgiler sekmesinde:
   1. Azure aboneliğini seçin.
   2. Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun.
   3. Azure bölgesini seçin.
   4. Bir görüntü sürüm numarası girin.
   5. Kaynak için Depolama Bloblar (VHD) veya Yönetilen Görüntü ya da başka bir VM Görüntüsü Sürümü seçin
   6. bloblar (VHD) Depolama seçtiyseniz bir işletim sistemi diski VHD'sini (VM Konuk durumu olmadan) girin. 2. Nesil VHD kullandığınızdan emin olun.
   7. Yönetilen Görüntü'leri seçtiyseniz 2. Nesil VM'nin mevcut yönetilen görüntüsünü seçin.
   8. VM Görüntü Sürümü'ne seçtiyseniz, 2. Nesil VM'nin mevcut Galeri Görüntüsü Sürümünü seçin.
   9. Hedef Azure işlem galerisi için resmi paylaşmak için bir galeri seçin veya oluşturun.
   10. İşletim sistemi durumu için, kullanım örneğinize bağlı olarak Genelleştirilmiş veya Özelleştirilmiş'i seçin. Kaynak olarak yönetilen görüntü kullanıyorsanız her zaman Genelleştirilmiş'i seçin. Depolama blobu (VHD) kullanıyorsanız ve Genelleştirilmiş'i seçmek istiyorsanız, devam etmeden önce Linux VHD'sinigenelleştirme veya Windows VHD'yi genelleştirme adımlarını izleyin. Mevcut bir VM Görüntü Sürümü kullanıyorsanız kaynak VM görüntü tanımında kullanılanlara göre Genelleştirilmiş veya Özelleştirilmiş'i seçin.
   11. Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin.
   12. VM görüntü tanımı oluştur bölmesinde tanım için bir ad girin. Güvenlik türünün Trustedlaunch Supported olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini girin. Ardından Tamam'ı seçin.
5. Çoğaltma sekmesinde, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri girin.
6. Şifreleme sekmesinde, gerekirse SSE şifrelemesi ile ilgili bilgileri girin.
7. Gözden geçir + Oluştur’u seçin.
8. Yapılandırma başarıyla doğrulandıktan sonra oluştur'u seçerek görüntüyü oluşturmayı tamamlayın.
9. Görüntü sürümü oluşturulduktan sonra VM Oluştur'u seçin.
10. Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
11. Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
12. Güvenlik türü olarak Güvenilen başlatma sanal makineleri'ni seçin. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
13. Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
14. Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
15. Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.

CLI

Azure CLI'nın en son sürümünü çalıştırdığınızdan emin olun

kullanarak az loginAzure'da oturum açın.

az login 

Güvenlik türüyle TrustedLaunchSupported görüntü tanımı oluşturma

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Görüntü sürümü oluşturmak için işletim sistemi diski VHD'sini kullanın. Burada özetlenen adımları kullanarak Bir Azure depolama hesabı blob'unu karşıya yüklemeden önce Linux VHD'nin genelleştirilmiş olduğundan emin olun

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Yukarıdaki görüntü sürümünden Güvenilen başlatma VM'sini oluşturma

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Güvenlik türüyle TrustedLaunchSupported görüntü tanımı oluşturma

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Görüntü sürümü oluşturmak için, oluşturma sırasında genelleştirilmiş mevcut 2. Nesil Galeri Görüntü Sürümünü kullanabiliriz.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Yukarıdaki görüntü sürümünden Güvenilen başlatma VM'sini oluşturma

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Güvenilen başlatma VM Görüntüleri

Aşağıdaki görüntü kaynakları için, görüntü tanımındaki güvenlik türü olarak TrustedLaunchayarlanmalıdır:

• Güvenilir başlatma VM'si yakalama
• Yönetilen İşletim Sistemi diski
• Yönetilen işletim sistemi disk anlık görüntüsü

Sonuçta elde edilen görüntü sürümü yalnızca Azure Güvenilen başlatma VM'leri oluşturmak için kullanılabilir.

Portal

1. Azure Portal oturum açın.
2. Bir VM'den Azure İşlem Galerisi Görüntüsü oluşturmak için mevcut Bir Güvenilen başlatma VM'sini açın ve Yakala'yı seçin.
3. Ardından gelen Görüntü Oluştur sayfasında, görüntünün vm görüntüsü sürümü olarak galeriyle paylaşılmasına izin verin. Yönetilen Görüntülerin Oluşturulması Güvenilen Başlatma VM'leri için desteklenmez.
4. Yeni bir hedef Azure İşlem Galerisi oluşturun veya mevcut bir galeriyi seçin.
5. İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, bu seçeneği belirlemeden önce makineye özgü bilgileri kaldırmak için VM'yi genelleştirdiğinizden emin olun. Güvenilen başlatma Windows VM'nizde Bitlocker tabanlı şifreleme etkinleştirildiyse, aynı işlemi genelleştiremeyebilirsiniz.
6. Ad, yayımcı, teklif ve SKU ayrıntıları sağlayarak yeni bir görüntü tanımı oluşturun. Görüntü tanımının Güvenlik Türü zaten Güvenilen başlatma olarak ayarlanmalıdır.
7. Görüntü sürümü için bir sürüm numarası sağlayın.
8. Gerekirse çoğaltma seçeneklerini değiştirin.
9. Görüntü Oluştur sayfasının en altında Gözden Geçir + Oluştur'u seçin ve doğrulama başarılı olarak gösterildiğinde Oluştur'u seçin.
10. Görüntü sürümü oluşturulduktan sonra doğrudan görüntü sürümüne gidin. Alternatif olarak, görüntü tanımı aracılığıyla gerekli görüntü sürümüne gidebilirsiniz.
11. VM görüntüsü sürümü sayfasında, Sanal makine oluştur sayfasına gitmek için + VM Oluştur'u seçin.
12. Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
13. Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
14. Görüntü ve güvenlik türü seçili görüntü sürümüne göre zaten doldurulmuş. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
15. Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
16. Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin
17. Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
18. Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.

Görüntü sürümünün kaynağı olarak (güvenilen başlatma VM'si yerine) yönetilen disk veya yönetilen disk anlık görüntüsü kullanmak istiyorsanız aşağıdaki adımları kullanın

1. Portalda oturum açma
2. VM Görüntü Sürümlerini arayın ve Oluştur'u seçin
3. Abonelik, kaynak grubu, bölge ve görüntü sürüm numarasını belirtin
4. Kaynağı Diskler ve/veya Anlık Görüntüler olarak seçin
5. açılan listeden işletim sistemi diskini yönetilen disk veya yönetilen disk anlık görüntüsü olarak seçin
6. Görüntüyü oluşturmak ve paylaşmak için bir Hedef Azure İşlem Galerisi seçin. Galeri yoksa yeni bir galeri oluşturun.
7. İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, makineye özgü bilgileri kaldırmak için diski veya anlık görüntüyü genelleştirdiğinizden emin olun.
8. Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin. Açılan pencerede bir görüntü tanımı adı seçin ve Güvenlik türünün Güvenilen başlatma olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini sağlayın ve Tamam'ı seçin.
9. Çoğaltma sekmesi, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri ayarlamak için kullanılabilir.
10. Şifreleme sekmesi, gerekirse SSE şifrelemesi ile ilgili bilgileri sağlamak için de kullanılabilir.
11. Resmi oluşturmak için Gözden Geçir + oluştur sekmesinde Oluştur'u seçin
12. Görüntü sürümü başarıyla oluşturulduktan sonra+ Sanal makine oluştur'u seçerek Sanal makine oluştur sayfasına gidin.
13. Bu görüntü sürümünü kullanarak güvenilen başlatma VM'sini oluşturmak için daha önce belirtildiği gibi 12- 18. adımları izleyin

CLI

Azure CLI'nın en son sürümünü çalıştırdığınızdan emin olun

kullanarak az loginAzure'da oturum açın.

az login 

Güvenlik türüyle TrustedLaunch görüntü tanımı oluşturma

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Görüntü sürümü oluşturmak için mevcut Linux tabanlı Güvenilir başlatma VM'sini yakalayabiliriz. Görüntü sürümünü oluşturmadan önce Güvenilen başlatma VM'sini genelleştirin.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Görüntü sürümü için görüntü kaynağı olarak bir yönetilen diskin veya yönetilen disk anlık görüntüsünün kullanılması gerekiyorsa, yukarıdaki komuttaki --managed-image öğesini --os-snapshot ile değiştirin ve diski veya anlık görüntü kaynağının adını sağlayın

Yukarıdaki görüntü sürümünden Güvenilen başlatma VM'sini oluşturma

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Güvenlik türüyle TrustedLaunch görüntü tanımı oluşturma

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Görüntü sürümü oluşturmak için mevcut Bir Windows tabanlı Güvenilen başlatma VM'sini yakalayabiliriz. Görüntü sürümünü oluşturmadan önce Güvenilen başlatma VM'sini genelleştirin.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Yukarıdaki görüntü sürümünden Güvenilen başlatma VM'sini oluşturma

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Ayarlarınızı doğrulama veya güncelleştirme

Güvenilir başlatma etkin olarak oluşturulan VM'ler için, Azure portalında VM'nin Genel Bakış sayfasını ziyaret ederek güvenilen başlatma yapılandırmasını görüntüleyebilirsiniz. Özellikler sekmesinde Güvenilen Başlatma özelliklerinin durumu gösterilir:

Güvenilen başlatma yapılandırmasını değiştirmek için soldaki menüde, Ayarlar bölümünün altında Yapılandırma'yı seçin. Güvenlik türü bölümünden Güvenli Önyükleme, vTPM ve Bütünlük İzleme'yi etkinleştirebilir veya devre dışı bırakabilirsiniz. İşiniz bittiğinde sayfanın üst kısmındaki Kaydet'i seçin.

VM çalışıyorsa, VM'nin yeniden başlatılacağını belirten bir ileti alırsınız. Evet'i seçin ve değişikliklerin etkili olması için VM'nin yeniden başlatılmasını bekleyin.

Sonraki adımlar

Güvenilir başlatma ve Önyükleme bütünlüğünü izleme VM'leri hakkında daha fazla bilgi edinin.