快速入門：使用 Azure 入口網站從 Azure Compute Gallery 映像部署機密 VM

Azure 機密虛擬機器支援使用 Azure Compute Gallery 建立和共用自訂映像。 您可以根據映像的安全性類型，建立兩種類型的映像：

• 機密 VM (ConfidentialVM) 映像是來源已有 VM 客體狀態資訊的映像。 此映像類型可能也會啟用機密磁碟加密。
• 支援的機密 VM (ConfidentialVMSupported) 映像是來源沒有 VM 客體狀態資訊且未啟用機密磁碟加密的映像。

機密 VM 映像

針對下列映像來源，映像定義上的安全性類型應設定為 ConfidentialVM，因為映像來源有 VM 客體狀態資訊，且可能也會啟用機密磁碟加密：

• 機密 VM 擷取
• 受控 OS 磁碟
• 受控 OS 磁碟快照集

產生的映像版本只能用來建立 Azure 機密虛擬機器。

此映像版本可以在來源區域內複寫，但目前無法複寫至不同的區域或跨訂用帳戶複寫。

注意

如果您想要從已啟用平台管理密鑰或客戶管理密鑰的機密計算 磁碟加密的 Windows 機密 VM 建立映像檔，您可以選擇建立特製化映像檔或一般化映像檔。

使用機密 VM 擷取建立機密 VM 類型映像

1. 登入 Azure 入口網站。
2. 移至 [虛擬機器] 服務。
3. 開啟您想要作為映像來源的機密 VM。
4. 如果想要建立一般化映像，請在建立映像之前，先移除機器特定資訊。
5. 選取 [擷取]。
6. 在開啟的 [建立映像] 頁面中，建立映像定義和版本。
   1. 允許將映像共用至 Azure Compute Gallery 作為 VM 映像版本。 機密 VM 不支援受控映像。
   2. 建立新的資源庫，或選取現有的資源庫。
   3. 針對 [作業系統狀態]，根據您的使用案例選取 [一般化] 或 [特製化]。
   4. 提供名稱、發行者、供應項目和 SKU 詳細資料，藉以建立映像定義。 請確定安全性類型已設為 [機密]。
   5. 提供映像的版本號碼。
   6. 針對 [複本]，視需要修改複本計數。
   7. 選取 [檢閱 + 建立] 。
   8. 映像驗證成功時，選取 [建立] 以完成映像的建立。
7. 選取映像版本以直接移至資源。 或者，您可以透過映像定義移至映像版本。 映像定義也會顯示加密類型，因此您可以檢查映像和來源 VM 是否相符。
8. 在映像版本頁面上，選取 [建立 VM]。

現在，您可以從自訂映像建立機密 VM。

從受控磁碟或快照集建立機密 VM 類型映像

1. 登入 Azure 入口網站。
2. 如果想要建立一般化映像，請在建立映像之前，先移除磁碟或快照集的機器特定資訊。
3. 在搜尋列中搜尋並選取虛擬機器映像版本。
4. 選取 [建立]
5. 在 [建立虛擬機器映像版本] 頁面上的 [基本] 索引標籤上：
   1. 選取 Azure 訂用帳戶。
   2. 選取現有的資源群組或建立新的資源群組。
   3. 選取 Azure 區域。
   4. 輸入映像的版本號碼。
   5. 針對 [來源]，選取 [磁碟和/或快照集]。
   6. 針對 [OS 磁碟]，選取受控磁碟或受控磁碟快照集。
   7. 針對 [目標 Azure Compute Gallery]，選取或建立資源庫以共用映像。
   8. 針對 [作業系統狀態]，根據您的使用案例選取 [一般化] 或 [特製化]。
   9. 針對 [目標虛擬機器映像定義]，選取 [新建]。
   10. 在 [建立虛擬機器映像定義] 窗格中，輸入定義的名稱。 請確定 [安全性類型] 為 [機密]。 輸入發行者、供應項目和 SKU 資訊。 然後選取 [確定]。
6. 在 [加密] 索引標籤上，確定 [機密運算加密類型] 符合來源磁碟或快照集的類型。
7. 選取 [檢閱 + 建立]，以檢閱設定。
8. 驗證設定之後，選取 [建立] 以完成映像版本的建立。
9. 成功建立映像版本之後，請選取 [建立虛擬機器]。

現在，您可以從自訂映像建立機密 VM。

機密 VM 支援的映像

針對下列映像來源，映像定義上的安全性類型應設定為 ConfidentialVMSupported，因為映像來源沒有 VM 客體狀態資訊和機密磁碟加密：

• OS 磁碟 VHD
• Gen2 受控映像

產生的映像版本可用來建立 Azure Gen2 虛擬機器或機密虛擬機器。

此映像可以在來源區域內複寫，並複寫到不同的目標區域。

注意

OS 磁碟 VHD 或受控映像應該從與機密 VM 相容的映像建立。 VHD 或受控映射的大小應小於 32 GB

建立機密 VM 支援的類型映像

1. 登入 Azure 入口網站。
2. 在搜尋列中搜尋並選取虛擬機器映像版本
3. 在 [虛擬機器映像版本] 頁面上，選取 [建立]。
4. 在 [建立虛擬機器映像版本] 頁面上的 [基本] 索引標籤上：
   1. 選取 Azure 訂用帳戶。
   2. 選取現有的資源群組或建立新的資源群組。
   3. 選取 Azure 區域。
   4. 輸入映像版本號碼。
   5. 針對 [來源]，選取 [儲存體 Blob] 或 [VHD] 或 [受控映像]。
   6. 如果您選取 [儲存體 Blob (VHD)]，請輸入 OS 磁碟 VHD (不含虛擬機器客體狀態)。 請務必使用 Gen 2 VHD。
   7. 如果您選取 [受控映像]，請選取 Gen 2 虛擬機器的現有受控映像。
   8. 針對 [目標 Azure Compute Gallery]，選取或建立資源庫以共用映像。
   9. 針對 [作業系統狀態]，根據您的使用案例選取 [一般化] 或 [特製化]。 如果您使用受控映像作為來源，請一律選取 [一般化]。 如果您使用儲存體 Blob(VHD)並想要選取 [一般化]，請遵循步驟以一般化 Linux VHD或一般化 Windows VHD，再繼續進行。
   10. 針對 [目標虛擬機器映像定義]，選取 [新建]。
   11. 在 [建立虛擬機器映像定義] 窗格中，輸入定義的名稱。 請確定安全性類型已設為 [支援的機密]。 輸入發行者、供應項目和 SKU 資訊。 然後選取 [確定]。
5. 在 [複寫] 索引標籤上，視需要輸入映像複寫的複本計數和目標區域。
6. 在 [加密] 索引標籤上，視需要輸入 SSE 加密相關資訊。
7. 選取 [檢閱 + 建立] 。
8. 成功驗證組態之後，選取 [建立] 以完成映像的建立。
9. 建立映像版本之後，請選取 [建立虛擬機器]。

從資源庫映像建立機密 VM

既然您已成功建立映像，您現在可以使用該映像來建立機密 VM。

1. 在 [建立虛擬機器] 頁面上，設定 [基本] 索引標籤：
   1. 在 [專案詳細資料] 底下的 [資源群組]，建立新的資源群組，或選取現有的資源群組。
   2. 在 [執行個體詳細資料] 底下，輸入 VM 名稱，然後選取支援機密 VM 的區域。 如需詳細資訊，請在 [依區域提供的 VM 產品資料] 表中找出機密 VM 系列。
   3. 如果您使用 [機密]映像，安全性類型會設定為 [機密虛擬機器] 且無法修改。 如果您使用 [支援的機密]映像，您必須從 [標準] 選取安全性類型為 [機密虛擬機器]。
   4. 預設會啟用 vTPM，且無法修改。
   5. 依預設會啟用安全開機。 若要修改設定，請使用 [設定安全性功能]。 需要安全開機，才能使用機密計算加密。
2. 在 [磁碟] 索引標籤上，視需要設定加密設定。
   1. 如果您使用 [機密] 映像，則會根據選取的映像版本填入機密計算加密和機密磁碟加密集 (如果您使用客戶自控金鑰)，且無法修改。
   2. 如果您使用 [支援的機密] 映像，您可以視需要選取機密計算加密。 然後，如果您想要使用客戶自控金鑰，請提供機密磁碟加密集。
3. 輸入系統管理員帳戶的資訊。
4. 設定任何輸入埠規則。
5. 選取 [檢閱 + 建立] 。
6. 在驗證頁面上，檢閱虛擬機器的詳細資料。
7. 驗證成功之後，選取 [建立] 以完成虛擬機器的建立。

下一步

如需機密運算的詳細資訊，請參閱機密運算概觀頁面。