快速入門:在 Azure 入口網站 中建立機密 VM
您可以使用 Azure 入口網站,快速根據 Azure Marketplace 映射建立機密 VM。 AMD 和 Intel 上有多個機密 VM 選項,具有 AMD SEV-SNP 和 Intel TDX 技術。
必要條件
Azure 訂用帳戶。 免費試用帳戶無法存取本教學課程中使用的 VM。 其中一個選項是使用 隨用隨付訂用帳戶。
如果您使用以 Linux 為基礎的機密 VM,請使用適用於 SSH 的 BASH 殼層,或安裝 SSH 用戶端,例如 PuTTY。
如果需要使用客戶管理的密鑰進行機密磁碟加密,請執行下列命令,以選擇將服務主體
Confidential VM Orchestrator
加入租使用者。 安裝 Microsoft Graph SDK 以執行下列命令。Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
建立機密 VM
若要使用 Azure Marketplace 映射在 Azure 入口網站 中建立機密 VM:
登入 Azure 入口網站。
選取或搜尋 虛擬機。
在 [虛擬機] 頁面上,選取 [建立>虛擬機]。
在 [基本] 索引標籤上,設定下列設定:
a. 在 [專案詳細數據] 底下,針對 [訂用帳戶],選取符合必要條件的 Azure 訂用帳戶。
b. 針對 [ 資源群組],選取 [ 新建 ] 以建立新的資源群組。 輸入名稱,然後選取 [ 確定]。
c. 在 [實例詳細數據] 底下,針對 [虛擬機名稱],輸入新 VM 的名稱。
d. 針對 [ 區域],選取要在其中部署 VM 的 Azure 區域。
注意
機密 VM 無法在所有位置使用。 如需目前支援的位置,請參閱 Azure 區域提供哪些 VM 產品。
e. 針對 [可用性選項],選取 [單一 VM 所需的 基礎結構備援],或 針對多個 VM 選取 [虛擬機擴展集 ]。
f. 針對 [ 安全性類型],選取 [ 機密虛擬機]。
.g 針對 [ 映射],選取要用於 VM 的 OS 映射。 選取 [ 查看所有映射 ] 以開啟 Azure Marketplace。 選取 [安全性類型>機密] 篩選,以顯示所有可用的機密 VM 映射。
h. 切換 第 2 代影像。 機密 VM 只會在第 2 代映射上執行。 若要確定,請在 [映射] 底下,選取 [設定 VM 產生]。 在 [設定 VM 產生] 窗格中,針對 [VM 產生] 選取 [第 2 代]。 然後,選取 [ 套用]。
i. 針對 [ 大小],選取 VM 大小。 如需詳細資訊,請參閱 支援的機密 VM 系列。
j. 針對 [驗證類型],如果您要建立Linux VM,請選取 [ SSH 公鑰 ]。 如果您還沒有 SSH 金鑰, 請為您的 Linux VM 建立 SSH 金鑰。
k. 在 [管理員 istrator 帳戶] 底下,針對 [用戶名稱] 輸入 VM 的系統管理員名稱。
l. 針對 SSH 公鑰,如果適用,請輸入您的 RSA 公鑰。
m. 針對 [密碼] 和 [確認密碼],如果適用,請輸入系統管理員密碼。
n. 在 [輸入埠規則] 底下,針對 [公用輸入埠],選取 [允許選取的埠]。
o. 針對 [ 選取輸入埠],從下拉功能表中選取您的輸入埠。 針對 Windows VM,選取 [HTTP][80] 和 [RDP][3389]。 針對 Linux VM,選取 [SSH ][22] 和 [HTTP][80]。
注意
不建議允許 RDP/SSH 埠用於生產環境部署。
在 [磁碟] 索引標籤上,指定下列設定:
如果您想要 在建立期間加密 VM 的 OS 磁碟,請在 [磁碟選項] 下啟用 [機密 OS 磁碟加密 ]。
針對 [ 金鑰管理],選取要使用的金鑰類型。
如果已選取 [使用客戶管理的金鑰進行機密磁碟加密],請先建立機密磁碟加密集,再建立機密 VM。
如果您想要加密 VM 的暫存磁碟,請參閱下列 檔。
(選擇性)如有必要,您必須建立 機密磁碟加密集 ,如下所示。
建立 Azure 金鑰保存庫 選取 進階版 定價層,其中包含支援 HSM 支援的金鑰,並啟用清除保護。 或者,您可以建立 Azure 金鑰保存庫 受控硬體安全性模組 (HSM) 。
在 Azure 入口網站中,搜尋並選取 [磁碟加密設定]。
選取 [建立]。
針對訂用帳戶,選取要使用的 Azure 訂用帳戶。
針對資源群組,選取或建立要使用的新資源群組。
針對磁碟加密集名稱,輸入集合的名稱。
請從 [地區] 中,選取可用的 Azure 地區。
針對加密類型,選取 [機密磁碟加密與客戶管理的金鑰]。
針對金鑰保存庫,選取您先前建立的金鑰保存庫。
在 [金鑰保存庫] 下方選取 [建立新的] 以建立新的金鑰保存庫。
注意
如果您先前已選取 Azure 受控 HSM,請改用 PowerShell 或 Azure CLI 來建立新的金鑰。
針對名稱,輸入金鑰名稱。
針對金鑰類型,選取 [RSA-HSM]
選取您的金鑰大小
n. 在 [機密金鑰選項] 下,選取 [可 匯出],並將 [機密作業原則] 設定為 CVM 機密作業原則。
o. 選取 [建立] 即可完成建立金鑰。
p. 選取 [檢閱 + 建立] 以建立新的磁碟加密集。 等到資源建立順利完成。
問。 移至 Azure 入口網站中的磁碟加密集資源。
R。 選取粉紅色橫幅,將權限授與 Azure Key Vault。
重要
您必須執行此步驟,才能成功建立機密 VM。
視需要變更 [網络]、[管理]、[來賓設定] 和 [卷標] 底下的設定。
選取 [檢閱 + 建立] 以驗證您的設定。
等待驗證完成。 如有必要,請修正任何驗證問題,然後再次選取 [ 檢閱 + 建立 ]。
在 [檢閱 + 建立] 窗格中,選取 [建立]。
連線 至機密 VM
有不同的方法可以連線到 Windows 機密 VM 和 Linux 機密 VM。
連線 至 Windows VM
若要使用 Windows OS 連線到機密 VM,請參閱 如何連線並登入執行 Windows 的 Azure 虛擬機。
連線 至 Linux VM
若要使用 Linux OS 連線到機密 VM,請參閱電腦 OS 的指示。
開始之前,請確定您有 VM 的公用 IP 位址。 若要尋找 IP 位址:
登入 Azure 入口網站。
選取或搜尋 虛擬機。
在 [ 虛擬機] 頁面上,選取您的機密 VM。
在您的機密 VM 概觀頁面上,複製 [公用 IP 位址]。
如需連線到Linux VM的詳細資訊,請參閱快速入門:在Azure 入口網站中建立Linux虛擬機。
開啟 SSH 用戶端,例如 PuTTY。
輸入機密 VM 的公用 IP 位址。
連接至 VM。 在 PuTTY 中,選取 [ 開啟]。
輸入您的 VM 系統管理員使用者名稱和密碼。
注意
如果您使用 PuTTY,您可能會收到安全性警示,指出伺服器的主機密鑰不會在登錄中快取。 如果您信任主機,請選取 [ 是 ] 將密鑰新增至 PuTTY 的快取並繼續連線。 若要只連線一次,而不新增密鑰,請選取 [ 否]。 如果您不信任主機,請選取 [ 取消 ] 放棄連線。
清除資源
完成快速入門之後,您可以清除機密 VM、資源群組和其他相關資源。
登入 Azure 入口網站。
選取或搜尋資源群組。
在 [ 資源群組] 頁面上,選取您為此快速入門建立的資源群組。
在資源群組的功能表上,選取 [ 刪除資源群組]。
在警告窗格中,輸入資源組名以確認刪除。
選取 [刪除]。