你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

虚拟机安全配置

CycleCloud 8.5 支持创建安全类型为 “受信任启动 ”或“ 机密”的 VM。

注意

使用这些功能可能会有一些限制，包括不支持备份、托管磁盘和临时 OS 磁盘。 此外，它们需要特定的映像和 VM 大小。 有关详细信息，请参阅上述文档。

可以在 群集窗体 中修改这些功能，也可以直接在 群集模板上设置这些功能。

启用此功能的主要属性是 SecurityType，可以是 TrustedLaunch 或 ConfidentialVM。 例如，若要使群集中的每个 VM 默认使用“受信任的启动”，请将此添加到模板：

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

标准 安全性是默认值，因此不需要指定它。 如果为 指定了值 SecurityType 并导入了群集，只需注释掉或删除该行，然后重新导入群集即可删除该值。 如果在 上 defaults 设置值，并且想要仅对某些特定节点使用标准安全性，则可以使用 undefined() (请注意使用 := 来对值) 进行严格分析：

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

使用“受信任的启动”或“机密 VM”可启用其他安全功能，这两项功能都默认为 true：

• EnableSecureBoot=true：使用 安全启动，这有助于保护 VM 免受启动工具包、rootkit 和内核级恶意软件的侵害。

• EnableVTPM=true：使用 虚拟受信任的平台模块 (vTPM) ，该模块符合 TPM2.0 标准，除了安全存储密钥和机密外，还验证 VM 启动完整性。

注意

这些属性对默认标准安全类型无效。

此外，机密 VM 启用新的 磁盘加密方案。 此方案保护磁盘的所有关键分区，并使受保护的磁盘内容仅可供 VM 访问。 与 Server-Side 加密类似，默认值为 平台管理的密钥 ，但可以改用 客户管理的密钥 。 使用 Customer-Managed 密钥进行机密加密需要磁盘 加密集 ，其加密类型为 ConfidentialVmEncryptedWithCustomerKey。 有关详细信息 ，请参阅磁盘加密 。