快速入門：使用 Azure 入口網站從 Azure Compute Gallery 映像部署機密 VM

Azure 機密虛擬機器支援使用 Azure Compute Gallery 建立和共用自訂映像。 您可以根據映像的安全性類型，建立兩種類型的映像：

• 機密 VM (ConfidentialVM) 映像是來源已有 VM 客體狀態資訊的映像。 此映像類型可能也會啟用機密磁碟加密。
• 支援的機密 VM (ConfidentialVMSupported) 映像是來源沒有 VM 客體狀態資訊且未啟用機密磁碟加密的映像。

機密 VM 映像

針對下列映像來源，映像定義上的安全性類型應設定為 ConfidentialVM，因為映像來源有 VM 客體狀態資訊，且可能也會啟用機密磁碟加密：

• 機密 VM 擷取
• 受控 OS 磁碟
• 受控 OS 磁碟快照集

產生的映像版本只能用來建立 Azure 機密虛擬機器。

此映像版本可以在來源區域內複寫，但目前無法複寫至不同的區域或跨訂用帳戶複寫。

注意

如果要從啟用平台代控金鑰或客戶自控金鑰的機密運算磁碟加密的 Windows 機密 VM 建立映像，您只能建立特製化映像。 會有這項限制，是因為一般化工具 (sysprep) 可能無法將加密的映像來源一般化。 這項限制適用於 OS 磁碟，以及一起隱含建立的 Windows 機密 VM，以及從此 OS 磁碟建立的快照集。

使用機密 VM 擷取建立機密 VM 類型映像

1. 登入 Azure 入口網站。
2. 移至 [虛擬機器] 服務。
3. 開啟您想要作為映像來源的機密 VM。
4. 如果想要建立一般化映像，請在建立映像之前，先移除機器特定資訊。
5. 選取 [擷取]。
6. 在開啟的 [建立映像] 頁面中，建立映像定義和版本。
   1. 允許將映像共用至 Azure Compute Gallery 作為 VM 映像版本。 機密 VM 不支援受控映像。
   2. 建立新的資源庫，或選取現有的資源庫。
   3. 針對 [作業系統狀態]，根據您的使用案例選取 [一般化] 或 [特製化]。
   4. 提供名稱、發行者、供應項目和 SKU 詳細資料，藉以建立映像定義。 請確定安全性類型已設為 [機密]。
   5. 提供映像的版本號碼。
   6. 針對 [複本]，視需要修改複本計數。
   7. 選取 [檢閱 + 建立] 。
   8. 映像驗證成功時，選取 [建立] 以完成映像的建立。
7. 選取映像版本以直接移至資源。 或者，您可以透過映像定義移至映像版本。 映像定義也會顯示加密類型，因此您可以檢查映像和來源 VM 是否相符。
8. 在映像版本頁面上，選取 [建立 VM]。

現在，您可以從自訂映像建立機密 VM。

從受控磁碟或快照集建立機密 VM 類型映像

1. 登入 Azure 入口網站。
2. 如果想要建立一般化映像，請在建立映像之前，先移除磁碟或快照集的機器特定資訊。
3. 在搜尋列中搜尋並選取虛擬機器映像版本。
4. 選取 [建立]
5. 在 [建立虛擬機器映像版本] 頁面上的 [基本] 索引標籤上：
   1. 選取 Azure 訂用帳戶。
   2. 選取現有的資源群組或建立新的資源群組。
   3. 選取 Azure 區域。
   4. 輸入映像的版本號碼。
   5. 針對 [來源]，選取 [磁碟和/或快照集]。
   6. 針對 [OS 磁碟]，選取受控磁碟或受控磁碟快照集。
   7. 針對 [目標 Azure Compute Gallery]，選取或建立資源庫以共用映像。
   8. 針對 [作業系統狀態]，根據您的使用案例選取 [一般化] 或 [特製化]。
   9. 針對 [目標虛擬機器映像定義]，選取 [新建]。
   10. 在 [建立虛擬機器映像定義] 窗格中，輸入定義的名稱。 請確定 [安全性類型] 為 [機密]。 輸入發行者、供應項目和 SKU 資訊。 然後選取 [確定]。
6. 在 [加密] 索引標籤上，確定 [機密運算加密類型] 符合來源磁碟或快照集的類型。
7. 選取 [檢閱 + 建立]，以檢閱設定。
8. 驗證設定之後，選取 [建立] 以完成映像版本的建立。
9. 成功建立映像版本之後，請選取 [建立虛擬機器]。

現在，您可以從自訂映像建立機密 VM。

機密 VM 支援的映像

針對下列映像來源，映像定義上的安全性類型應設定為 ConfidentialVMSupported，因為映像來源沒有 VM 客體狀態資訊和機密磁碟加密：

• OS 磁碟 VHD
• Gen2 受控映像

產生的映像版本可用來建立 Azure Gen2 虛擬機器或機密虛擬機器。

此映像可以在來源區域內複寫，並複寫到不同的目標區域。

注意

OS 磁碟 VHD 或受控映像應該從與機密 VM 相容的映像建立。 VHD 或受控映射的大小應小於 32 GB

建立機密 VM 支援的類型映像

1. 登入 Azure 入口網站。
2. 在搜尋列中搜尋並選取虛擬機器映像版本
3. 在 [虛擬機器映像版本] 頁面上，選取 [建立]。
4. 在 [建立虛擬機器映像版本] 頁面上的 [基本] 索引標籤上：
   1. 選取 Azure 訂用帳戶。
   2. 選取現有的資源群組或建立新的資源群組。
   3. 選取 Azure 區域。
   4. 輸入映像版本號碼。
   5. 針對 [來源]，選取 [儲存體 Blob] 或 [VHD] 或 [受控映像]。
   6. 如果您選取 [儲存體 Blob (VHD)]，請輸入 OS 磁碟 VHD (不含虛擬機器客體狀態)。 請務必使用 Gen 2 VHD。
   7. 如果您選取 [受控映像]，請選取 Gen 2 虛擬機器的現有受控映像。
   8. 針對 [目標 Azure Compute Gallery]，選取或建立資源庫以共用映像。
   9. 針對 [操作系統狀態]，根據您的使用案例選取 [一般化] 或 [特製化]。 如果您使用受控映像作為來源，請一律選取 [一般化]。 如果您使用儲存體 Blob(VHD)並想要選取 [一般化]，請遵循步驟以一般化 Linux VHD或一般化 Windows VHD，再繼續進行。
   10. 針對 [目標虛擬機器映像定義]，選取 [新建]。
   11. 在 [建立虛擬機器映像定義] 窗格中，輸入定義的名稱。 請確定安全性類型已設為 [支援的機密]。 輸入發行者、供應項目和 SKU 資訊。 然後選取 [確定]。
5. 在 [複寫] 索引標籤上，視需要輸入映像複寫的複本計數和目標區域。
6. 在 [加密] 索引標籤上，視需要輸入 SSE 加密相關資訊。
7. 選取 [檢閱 + 建立] 。
8. 成功驗證組態之後，選取 [建立] 以完成映像的建立。
9. 建立映像版本之後，請選取 [建立虛擬機器]。

從資源庫映像建立機密 VM

既然您已成功建立映像，您現在可以使用該映像來建立機密 VM。

1. 在 [建立虛擬機器] 頁面上，設定 [基本] 索引標籤：
   1. 在 [專案詳細資料] 底下的 [資源群組]，建立新的資源群組，或選取現有的資源群組。
   2. 在 [執行個體詳細資料] 底下，輸入 VM 名稱，然後選取支援機密 VM 的區域。 如需詳細資訊，請在 [依區域提供的 VM 產品資料] 表中找出機密 VM 系列。
   3. 如果您使用 [機密]映像，安全性類型會設定為 [機密虛擬機器] 且無法修改。 如果您使用 [支援的機密]映像，您必須從 [標準] 選取安全性類型為 [機密虛擬機器]。
   4. 預設會啟用 vTPM，且無法修改。
   5. 依預設會啟用安全開機。 若要修改設定，請使用 [設定安全性功能]。 需要安全開機，才能使用機密計算加密。
2. 在 [磁碟] 索引標籤上，視需要設定加密設定。
   1. 如果您使用 [機密] 映像，則會根據選取的映像版本填入機密計算加密和機密磁碟加密集 (如果您使用客戶自控金鑰)，且無法修改。
   2. 如果您使用 [支援的機密] 映像，您可以視需要選取機密計算加密。 然後，如果您想要使用客戶自控金鑰，請提供機密磁碟加密集。
3. 輸入系統管理員帳戶的資訊。
4. 設定任何輸入埠規則。
5. 選取 [檢閱 + 建立] 。
6. 在驗證頁面上，檢閱虛擬機器的詳細資料。
7. 驗證成功之後，選取 [建立] 以完成虛擬機器的建立。

下一步

如需機密運算的詳細資訊，請參閱機密運算概觀頁面。