你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:通过 Azure 门户将机密容器部署到 Azure 容器实例

在本教程中,你使用 Azure 门户通过开发机密计算强制执行策略将机密容器部署到 Azure 容器实例。 部署容器后,可以浏览到正在运行的应用程序。

注意

通过门户在 Azure 容器实例上部署机密容器时,只能使用开发机密计算强制执行策略进行部署。 仅建议将此策略用于开发和测试工作负荷。 使用此策略且未验证软件组件时,容器组中的日志记录和执行功能仍然可用。 若要在运行生产工作负荷时全面证明容器组,建议通过 Azure 资源管理器模板使用自定义机密计算强制执行策略进行部署。 有关详细信息,请参阅教程

通过 Azure 门户部署的 hello-world 应用程序的屏幕截图(PNG)。

登录 Azure

登录到 Azure 门户 (https://portal.azure.com)

如果没有 Azure 订阅,请在开始之前创建一个免费帐户

在 Azure 容器实例上创建机密容器

在 Azure 门户主页上,选择“创建资源”。

显示如何开始在 Azure 门户中创建新容器实例的屏幕截图。

选择“容器”>“容器实例”。

显示如何选择要在 Azure 门户中创建的新容器实例的屏幕截图。

在“基本信息”页上,选择一个订阅,然后为“资源组”、“容器名称”、“映像源”和“容器映像”输入以下值。

  • 资源组:“新建”>myresourcegroup
  • 容器名称:helloworld
  • 区域:其中一个 West Europe/North Europe/East US
  • SKU:Confidential (development policy)
  • 映像源:快速启动映像
  • 容器映像:mcr.microsoft.com/acc/samples/aci/helloworld:2.8 (Linux)

容器组 SKU 选择的屏幕截图(PNG)。

注意

通过门户在 Azure 容器实例上部署机密容器时,只能使用开发机密计算强制执行策略进行部署。 仅建议将此策略用于开发和测试工作负荷。 使用此策略且未验证软件组件时,容器组中的日志记录和执行功能仍然可用。 若要在运行生产工作负荷时全面证明容器组,建议通过 Azure 资源管理器模板使用自定义机密计算强制执行策略进行部署。 有关详细信息,请参阅教程

将其他所有设置保留为默认设置,然后选择“查看 + 创建”。

完成验证后,将显示容器的设置摘要。 选择“创建” 提交容器部署请求。

审阅页面容器组中所有属性的屏幕截图(PNG)。

当部署启动时,会显示一个通知,指示正在进行部署。 部署了容器组后,会显示另一个通知。

导航到“资源组”>“myACIRG”>“helloworld”,从而打开容器组概述。 记下容器实例的 IP 及其 状态

  1. 在“概览”页上,记下实例的“状态”及其“IP 地址” 。

    容器组实例 PNG 概述页面的屏幕截图(PNG)。

  2. 在其状态为“正在运行”后,在浏览器中导航到 IP 地址。

    hello world 应用程序运行的屏幕截图(PNG)。

    Azure 容器实例徽标下方的证明报告确认运行容器的硬件支持基于硬件且经证明的受信任执行环境 (TEE)。 如果部署到不支持 TEE 的硬件,例如,选择“ACI 机密 SKU 不可用”的区域,则不会显示证明报告。

祝贺你! 你在 Azure 容器实例上部署了机密容器,该容器在浏览器中显示硬件证明报告。

清理资源

完成容器操作后,选择“helloworld”容器实例的“概述”,然后选择“删除”。

后续步骤

在本教程中,你使用开发机密计算强制执行策略在 Azure 容器实例上创建了机密容器。 如果要使用自定义计算强制执行策略部署机密容器组,请继续学习“Azure 容器实例上的机密容器 - 使用 Azure 资源管理器模板进行部署”教程。