快速入門:在 Azure 入口網站 中于 AMD 上建立機密 VM

您可以使用Azure 入口網站,快速根據Azure Marketplace映射建立機密 VMAMD 上的多個機密 VM 選項具有 AMD SEV-SNP 技術。

先決條件

  • Azure 訂用帳戶。 免費試用帳戶無法存取本教學課程中使用的 VM。 其中一個選項是使用 隨用隨付訂用帳戶

  • 如果您使用以 Linux 為基礎的機密 VM,請使用適用于 SSH 的 BASH 殼層,或安裝 SSH 用戶端,例如 PuTTY

  • 如果需要使用客戶管理的金鑰進行機密磁片加密,請執行下列命令來選擇將服務主體 Confidential VM Orchestrator 加入租使用者。

    Connect-AzureAD -Tenant "your tenant ID"
    New-AzureADServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"    
    

建立機密 VM

若要使用Azure Marketplace映射在Azure 入口網站中建立機密 VM:

  1. 登入 Azure 入口網站

  2. 選取或搜尋 虛擬機器

  3. 在 [虛擬機器]頁面上,選取 [建立>虛擬機器]。

  4. 在 [ 基本] 索引標籤上,設定下列設定:

    1. [專案詳細資料] 底下,針對 [ 用帳戶],選取符合 必要條件的 Azure 訂用帳戶。

    2. 針對 [資源群組],選取 [ 新建 ] 以建立新的資源群組。 輸入名稱,然後選取 [ 確定]。

    3. [實例詳細資料] 的 [虛擬機器名稱] 下,輸入新 VM 的名稱。

    4. 針對 [區域],選取要在其中部署 VM 的 Azure 區域。

      注意

      機密 VM 不適用於所有位置。 如需目前支援的位置,請參閱 Azure 區域提供哪些 VM 產品

    5. 針對 [安全性類型],選取 [機密虛擬機器]。

    6. 針對 [映射],選取要用於 VM 的 OS 映射。 在本教學課程中,選取[Ubuntu Server 20.04 LTS] (機密 VM) Windows Server 2019 [小型磁片] 資料中心或 Windows Server 2022 [小型磁片] 資料中心

      秘訣

      您可以選擇性地選取[查看所有影像] 以開啟Azure Marketplace。 選取 [安全性類型機密] > 篩選,以顯示所有可用的機密 VM 映射。

    7. 切換 第 2 代 影像。 機密 VM 只會在第 2 代映射上執行。 若要確定,請在 [ 映射] 底下,選取 [ 設定 VM 產生]。 在 [ 設定 VM 產生]窗格中,針對 VM 產生,選取 [ 第 2 代]。 然後,選取 [ 套用]。

    8. 針對 [大小],選取 VM 大小。 如需詳細資訊,請參閱 支援的機密 VM 系列

    9. 針對 [驗證類型],如果您要建立 Linux VM,請選取 [SSH 公開金鑰 ]。 如果您還沒有 SSH 金鑰, 請為您的 Linux VM 建立 SSH 金鑰

    10. [系統管理員帳戶] 的 [ 使用者名稱]下,輸入 VM 的系統管理員名稱。

    11. 針對 SSH 公開金鑰,如果適用,請輸入您的 RSA 公開金鑰。

    12. 針對 [密碼 ] 和 [ 確認密碼],如果適用,請輸入系統管理員密碼。

    13. 在 [輸入連接埠規則] 底下,針對 [公用輸入連接埠] 選取 [允許選取的連接埠]。

    14. 針對 [選取輸入埠],從下拉式功能表中選取您的輸入埠。 針對 Windows VM,選取 [HTTP (80) RDP (3389) 。 針對 Linux VM,選取 [SSH (22) HTTP (80)

      注意

      不建議允許 RDP/SSH 埠進行生產部署。

  5. 在 [ 磁片] 索引標籤上,設定下列設定:

    1. 如果您想要在建立期間加密 VM 的 OS 磁片,請在 [磁片選項] 下啟用 機密計算加密

    2. 針對 [機密計算加密類型],選取要使用的加密類型。

    3. 如果已選取 [使用客戶管理的金鑰進行機密磁片加密 ],請先建立 機密磁片加密集 ,再建立機密 VM。

  6. (選擇性) 如有必要,請建立 機密磁片加密集 ,如下所示。

    1. 建立 Azure 金鑰保存庫。 針對定價層,選取 [ 進階 (包含支援 HSM 支援的金鑰) 。 或者,建立 Azure 金鑰保存庫受控硬體安全性模組, (HSM)

    2. 在Azure 入口網站中,搜尋並選取 [磁片加密集]。

    3. 選取 [建立]。

    4. 針對 [訂用帳戶],選取要使用的 Azure 訂用帳戶。

    5. 針對 [資源群組],選取或建立要使用的新資源群組。

    6. 針對 [磁片加密集名稱],輸入集合的名稱。

    7. 針對 [區域],選取可用的 Azure 區域。

    8. 針對 [加密類型],選取 [機密磁片加密與客戶管理的金鑰]。

    9. 針對金鑰保存庫,選取您已建立的金鑰保存庫。

    10. [金鑰保存庫] 底下,選取 [新建] 以建立新的金鑰。

      注意

      如果您先前已選取 Azure 受控 HSM,請改 用 PowerShell 或 Azure CLI 來建立新的金鑰

    11. 針對 [名稱],輸入金鑰的名稱。

    12. 針對金鑰類型,選取 [RSA-HSM]

    13. 選取您的金鑰大小

    14. 選取 [建立 ] 以完成金鑰的建立。

    15. 選取 [檢閱 + 建立 ] 以建立新的磁片加密集。 等候資源建立順利完成。

    16. 移至Azure 入口網站中的磁片加密集資源。

    17. 選取粉紅色橫幅,將許可權授與 Azure 金鑰保存庫。

      重要

      您必須執行此步驟,才能成功建立機密 VM。

  7. 視需要變更 [ 網路]、 [管理]、[ 來賓設定] 和 [ 標籤] 底下的設定。

  8. 選取 [檢閱 + 建立] 以驗證您的組態。

  9. 等待驗證完成。 如有必要,請修正任何驗證問題,然後再次選取 [ 檢閱 + 建立 ]。

  10. 在 [檢閱 + 建立] 窗格中,選取 [建立]

連線到機密 VM

有不同的方法可以連線到 Windows 機密 VMLinux 機密 VM

連線到 Windows VM

若要使用 Windows OS 連線到機密 VM,請參閱 如何連線並登入執行 Windows 的 Azure 虛擬機器

連線至 Linux VM

若要使用 Linux OS 連線到機密 VM,請參閱電腦的 OS 指示。

開始之前,請確定您有 VM 的公用 IP 位址。 若要尋找 IP 位址:

  1. 登入 Azure 入口網站

  2. 選取或搜尋 虛擬機器

  3. 在 [ 虛擬機器] 頁面上,選取您的機密 VM。

  4. 在機密 VM 的概觀頁面上,複製 公用 IP 位址

    如需連線到 Linux VM 的詳細資訊,請參閱快速入門:在 Azure 入口網站 中建立 Linux 虛擬機器

  5. 開啟 SSH 用戶端,例如 PuTTY。

  6. 輸入機密 VM 的公用 IP 位址。

  7. 連線至 VM。 在 PuTTY 中,選取 [ 開啟]。

  8. 輸入您的 VM 系統管理員使用者名稱和密碼。

    注意

    如果您使用 PuTTY,您可能會收到安全性警示,指出伺服器主機金鑰不會在登錄中快取。 如果您信任主機,請選取 [是 ] 將金鑰新增至 PuTTY 的快取並繼續連線。 若要只連線一次,而不新增金鑰,請選取 [否]。 如果您不信任主機,請選取 [ 取消 ] 以放棄您的連線。

清除資源

完成快速入門之後,您可以清除機密 VM、資源群組和其他相關資源。

  1. 登入 Azure 入口網站

  2. 選取或搜尋資源群組

  3. 在 [ 資源群組] 頁面上,選取您為此快速入門建立的資源群組。

  4. 在資源群組的功能表上,選取 [ 刪除資源群組]。

  5. 在警告窗格中,輸入資源組名以確認刪除。

  6. 選取 [刪除]。

後續步驟