快速入門:在 Azure 入口網站中建立機密 VM
您可以使用 Azure 入口網站,根據 Azure Marketplace 映像快速建立一個機密 VM。 AMD 和 Intel 支援多種機密 VM 選項,分別搭載了 AMD SEV-SNP 和 Intel TDX 技術。
必要條件
Azure 訂用帳戶。 免費試用帳戶無法存取本教學課程中使用的 VM。 其中一個選項是使用隨用隨付訂用帳戶。
如果您使用以 Linux 為基礎的機密 VM,請使用適用於 SSH 的 BASH 殼層或安裝 SSH 用戶端,例如 PuTTY。
如果需要透過客戶自控金鑰進行機密磁碟加密,請執行下列命令,以選擇將服務主體
Confidential VM Orchestrator加入到您的租用戶。 安裝 Microsoft Graph SDK 以執行下列命令。Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
建立機密 VM
若要使用 Azure Marketplace 映像在 Azure 入口網站中建立機密 VM:
登入 Azure 入口網站。
選取或搜尋虛擬機器。
在 [虛擬機器] 頁面功能表上,選取 [建立]>[虛擬機器]。
在 [基本] 索引標籤上,指定下列設定:
a. 在 [專案詳細資料] 下方的 [訂用帳戶] 中,選取符合必要條件的 Azure 訂用帳戶。
b. 針對 [資源群組],請選取 [新建] 以建立新資源群組。 輸入名稱,然後選取 [確定]。
c. 在 [執行個體詳細資料] 下,針對 [虛擬機器名稱] 輸入新 VM 的名稱。
d. 針對 [區域],選取要在其中部署 VM 的 Azure 區域。
注意
機密 VM 不一定在所有位置都能使用。 如需瞭解目前支援的位置,請參閱 Azure 區域提供哪些 VM 產品。
e. 在 [可用性選項] 中,對於單個 VM,請選取 [不需要基礎結構備援],對於多個 VM,請選取 [虛擬機器擴展集]。
f. 針對 [安全性類型],選取 [機密虛擬機器]。
.g 針對 [映像],選取要用於 VM 的 OS 映像。 選取 [查看所有映像] 以開啟 Azure Marketplace。 選取 [安全性類型]>[機密] 篩選,以顯示所有可用的機密 VM 映像。
h. 切換第 2 代映像。 機密 VM 只會在第 2 代映像上執行。 若要確保這一點,請在 [映像] 下面選取 [設定 VM 產生]。 在 [設定 VM 世代] 窗格中,針對 [VM 世代],選取 [第 2 代]。 然後,選取 [套用]。
注意
針對 NCCH100v5 系列,目前僅 支援 Ubuntu Server 22.04 LTS (機密 VM) 映射。
i. 針對 [大小],選取 VM 大小。 如需詳細資訊,請參閱支援的機密 VM 系列。
j. 針對 [驗證類型],如果您要建立 Linux VM,請選取 [SSH 公開金鑰]。 如果您沒有 SSH 金鑰,則為 Linux VM 建立 SSH 金鑰。
k. 在 [系統管理員帳戶] 下面,針對 [使用者名稱],輸入 VM 的系統管理員名稱。
l. 針對 [SSH 公開金鑰],輸入您的 RSA 公開金鑰 (如果適用)。
m. 針對 [密碼] 和 [確認密碼],輸入系統管理員密碼 (如果適用)。
n. 在 [輸入連接埠規則] 底下,針對 [公用輸入連接埠] 選取 [允許選取的連接埠]。
o. 針對 [選取輸入連接埠],從下拉式功能表中選取您的輸入連接埠。 針對 Windows VM,選取 [HTTP (80)] 和 [RDP (3389)]。 針對 Linux VM,選取 [SSH (22)] 和 [HTTP (80)]。
注意
不建議在生產部署中允許 RDP/SSH 連接埠。
在 [磁碟] 索引標籤上,指定下列設定:
如果您想要在建立期間加密 VM 的 OS 磁碟,請在 [磁碟選項] 下啟用機密 OS 磁碟加密。
針對 [金鑰管理],選取要使用的金鑰類型。
如果已選取 [使用客戶管理的金鑰進行機密磁碟加密],請先建立機密磁碟加密集,再建立機密 VM。
如果您要加密 VM 的暫存磁碟,請參閱下列文件。
(選擇性) 如有必要,需要建立機密磁碟加密集,如下所示。
使用包含支援 HSM 支援之金鑰的 [進階] 定價層來建立 Azure Key Vault。 啟用已新增安全性措施的清除保護也很重要。 此外,針對存取設定,請使用 [存取設定] 索引標籤下的 [保存庫存取原則]。或者也可建立 Azure Key Vault 受控硬體安全模組 (HSM)。
在 Azure 入口網站中,搜尋並選取 [磁碟加密設定]。
選取 [建立]。
針對訂用帳戶,選取要使用的 Azure 訂用帳戶。
針對資源群組,選取或建立要使用的新資源群組。
針對磁碟加密集名稱,輸入集合的名稱。
請從 [地區] 中,選取可用的 Azure 地區。
針對加密類型,選取 [機密磁碟加密與客戶管理的金鑰]。
針對金鑰保存庫,選取您先前建立的金鑰保存庫。
在 [金鑰保存庫] 下方選取 [建立新的] 以建立新的金鑰保存庫。
注意
如果您先前已選取 Azure 受控 HSM,請改用 PowerShell 或 Azure CLI 來建立新的金鑰。
針對名稱,輸入金鑰名稱。
針對金鑰類型,選取 [RSA-HSM]
選取您的金鑰大小
n. 在 [機密金鑰選項] 下,選取 [可匯出],並將 [機密作業原則] 設定為 [CVM 機密作業原則]。
o. 選取 [建立] 即可完成建立金鑰。
p. 選取 [檢閱 + 建立] 以建立新的磁碟加密集。 等到資源建立順利完成。
q. 移至 Azure 入口網站中的磁碟加密集資源。
r. 當您看到藍色資訊橫幅時,請遵循提供的指示授與存取權。 遇到粉紅色橫幅時,只要選取它即可將必要權限授與 Azure Key Vault。
重要
您必須執行此步驟,才能成功建立機密 VM。
視需要,在 [網路功能]、[管理]、[來賓設定] 以及 [標籤] 索引標籤下面變更設定。
選取 [檢閱 + 建立] 以驗證您的設定。
等待驗證完成。 如有必要,請修正任何驗證問題,然後再次選取 [檢閱 + 建立]。
在 [檢閱 + 建立] 窗格中,選取 [建立]。
連線至機密 VM
有不同方法可以連線到 Windows 機密 VM 和 Linux 機密 VM。
連接至 Windows VM
若要透過 Windows OS 連線到機密 VM,請參閱如何連線和登入執行 Windows 的 Azure 虛擬機器。
連線至 Linux VM
若要使用 Linux OS 連線到機密 VM,請參閱電腦 OS 的指示。
開始之前,請確定您有 VM 的公用 IP 位址。 若要尋找 IP 位址:
登入 Azure 入口網站。
選取或搜尋虛擬機器。
在 [虛擬機器] 頁面上,選取您的機密 VM。
在機密 VM 的概觀頁面上,複製「公用 IP 位址」。
如需有關連線至 Linux VM 的詳細資訊,請參閱快速入門:在 Azure 入口網站中建立 Linux 虛擬機器。
開啟 SSH 用戶端,例如 PuTTY。
輸入機密 VM 的公用 IP 位址。
連線至 VM。 在 PuTTY 中,選取 [開啟]。
輸入 VM 系統管理員使用者名稱和密碼。
注意
如果您使用 PuTTY,您可能會收到安全性警示,指出伺服器的主機金鑰不會在登錄中快取。 如果您信任此主機,請選取 [是] 以將金鑰新增至 PuTTY 的快取並繼續連線。 若要只連線一次,而不新增金鑰,請選取 [否]。 如果您不信任此主機,請選取 [取消] 以放棄連線。
清除資源
完成快速入門之後,您可以清除機密 VM、資源群組和其他相關資源。
登入 Azure 入口網站。
選取或搜尋資源群組。
在 [資源群組] 頁面上,選取您為此快速入門建立的資源群組。
在資源群組功能表中,選取 [刪除資源群組]。
在警告窗格中,輸入資源組名以確認刪除。
選取 [刪除]。