نشر جهاز ظاهري مع تمكين التشغيل الموثوق به

ينطبق على: ✔️ مجموعات مقياس موحدة لأجهزة ✔️ Linux الظاهرية ✔️ التي تعمل بنظام Windows VMs ✔️ المرن.

الإطلاق الموثوق به هو وسيلة لتحسين أمان الجيل 2 من الأجهزة الظاهرية. يحمي الإطلاق الموثوق به من تقنيات الهجوم المتقدمة والمستمرة من خلال الجمع بين تقنيات البنية التحتية مثل vTPM والتمهيد الآمن.

المتطلبات الأساسية

• يوصى بإلحاق اشتراكك في Microsoft Defender for Cloud إذا لم يكن موجودا بالفعل. يحتوي Microsoft Defender for Cloud على مستوى مجاني، والذي يقدم رؤى مفيدة لمختلف موارد Azure والمختلط. مع عدم وجود MDC، لا يمكن لمستخدمي الجهاز الظاهري Trusted Launch مراقبة تكامل تمهيد الجهاز الظاهري.

• قم بتعيين مبادرات نهج Azure لاشتراكك. يجب تعيين مبادرات السياسة هذه مرة واحدة فقط لكل اشتراك. سيساعد النهج في النشر والتدقيق ل Trusted Launch Virtual Machines مع تثبيت جميع الملحقات المطلوبة تلقائيا على جميع الأجهزة الظاهرية المدعومة.

  • تكوين أجهزة التشغيل الظاهرية الموثوق بها المضمنة في مبادرة النهج
  • تكوين المتطلبات الأساسية لتمكين Guest Attestation على الأجهزة الظاهرية التي تم تمكينها بواسطة Trusted Launch.
  • تكوين الأجهزة لتثبيت عوامل Azure Monitor وAzure Security تلقائيا على الأجهزة الظاهرية.

• السماح بعلامة الخدمة AzureAttestation في القواعد الصادرة لمجموعة أمان الشبكة للسماح بنسبة استخدام الشبكة ل Microsoft Azure Attestation. راجع علامات خدمة الشبكة الظاهرية.

• تأكد من أن نهج جدار الحماية تسمح بالوصول إلى *.attest.azure.net.

إشعار

إذا كنت تستخدم صورة Linux وتتوقع أن يكون لدى الجهاز الظاهري برامج تشغيل نواة إما غير موقعة أو غير موقعة من قبل مورد توزيعة Linux، فقد تحتاج إلى التفكير في إيقاف تشغيل التمهيد الآمن. في مدخل Microsoft Azure، في صفحة "إنشاء جهاز ظاهري" لمعلمة "نوع الأمان" مع تحديد "أجهزة التشغيل الظاهرية الموثوق بها"، انقر فوق "تكوين ميزات الأمان" وقم بإلغاء تحديد خانة الاختيار "تمكين التمهيد الآمن". في CLI أو PowerShell أو SDK، قم بتعيين معلمة التمهيد الآمن إلى false.

نشر جهاز ظاهري لإطلاق موثوق به

قم بإنشاء جهاز ظاهري مع تمكين التشغيل الموثوق به. اختر أحد الخيارات أدناه:

المدخل

1. قم بتسجيل الدخول إلى بوابة Azure.
2. ابحث عن الأجهزة الظاهرية.
3. ضمن الخدمات، حدد الأجهزة الظاهرية.
4. في صفحة Virtual Machines، حدد Add ثم حدد Virtual Machine.
5. أسفل Project details، تأكد من تحديد الاشتراك الصحيح.
6. أسفل Resource group، حدد Create new واكتب اسماً لمجموعة الموارد أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
7. ضمن تفاصيل المثيل، اكتب اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
8. بالنسبة لنوع الأمانحدد تشغيل الأجهزة الظاهرية الموثوق بها. وهذا يجعل ثلاثة خيارات أخرى تظهر - التمهيد الآمن وvTPM ومراقبة التكامل. حدد الخيارات المناسبة للنشر. لمعرفة المزيد حول ميزات الأمان الموثوق بها التي تم تمكين تشغيلها.
9. ضمن صورة، حدد صورة من صور Gen 2 الموصى بها المتوافقة مع الإصدار الموثوق به. للحصول على قائمة، راجع التشغيل الموثوق به.

   تلميح

   إذا كنت لا ترى إصدار Gen 2 من الصورة التي تريدها في القائمة المنسدلة، فحدد عرض جميع الصور ثم قم بتغيير عامل تصفية نوع الأمان إلى التشغيل الموثوق به.

10. حدد حجم جهاز ظاهري يدعم التشغيل الموثوق به. راجع قائمة الأحجام المدعومة.
11. املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
12. في أسفل الصفحة، حدد ⁧⁩Review + create⁧⁩
13. في الصفحة Create a virtual machine، يمكنك مشاهدة التفاصيل حول جهاز ظاهري أنت على وشك إنشائه. بمجرد أن يظهر التحقق من الصحة كما تم تمريره، حددإنشاء.

يستغرق توزيع الجهاز الظاهري بضع دقائق.

المبادره القطريه

تأكد من تشغيل أحدث إصدار من Azure CLI.

تسجيل الدخول إلى Azure باستخدام az login.

az login 

قم بإنشاء جهاز ظاهري باستخدام التشغيل الموثوق به.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

بالنسبة إلى الأجهزة الظاهرية الموجودة، يمكنك تمكين إعدادات التمهيد الآمن و vTPM أو تعطيلها. يؤدي تحديث الجهاز الظاهري باستخدام التمهيد الآمن وإعدادات vTPM إلى إعادة التشغيل التلقائي.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

لمزيد من المعلومات حول تثبيت مراقبة تكامل التمهيد من خلال ملحق Guest Attestation، راجع تكامل التمهيد.

بوويرشيل

من أجل توفير جهاز ظاهري مع التشغيل الموثوق به، يجب أولا تمكينه TrustedLaunch باستخدام Set-AzVmSecurityProfile cmdlet. ثم يمكنك استخدام Set-AzVmUefi cmdlet لتعيين تكوين vTPM و SecureBoot. استخدم المقتطف أدناه كبداية سريعة، تذكر استبدال القيم الواردة في هذا المثال بالقيم الخاصة بك.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

القالب

يمكنك نشر الأجهزة الظاهرية الموثوق بها باستخدام قالب التشغيل السريع:

Linux

Windows

نشر جهاز ظاهري لإطلاق موثوق به من صورة معرض حوسبة Azure

تدعم الأجهزة الظاهرية لإطلاق Azure الموثوق بها إنشاء الصور المخصصة ومشاركتها باستخدام Azure Compute Gallery. هناك نوعان من الصور التي يمكنك إنشاؤها، استنادا إلى أنواع الأمان للصورة:

• الموصى بهلتشغيل موثوق به VM مدعوم (TrustedLaunchSupported) صور حيث لا يحتوي المصدر على معلومات حالة ضيف الجهاز الظاهري ويمكن استخدامه لإنشاء أجهزة ظاهرية من الجيل 2 أو أجهزة ظاهرية موثوق بها.
• صور VM الموثوق بها هيTrustedLaunch صور حيث يحتوي المصدر عادة على معلومات حالة ضيف الجهاز الظاهري ويمكن استخدامه لإنشاء أجهزة ظاهرية موثوق بها فقط.

تشغيل موثوق به للصور المدعومة من الجهاز الظاهري

بالنسبة لمصادر الصور التالية، يجب تعيين نوع الأمان على تعريف الصورة إلى TrustedLaunchsupported:

• قرص نظام التشغيل Gen2 VHD
• صورة مدارة من Gen2
• إصدار صورة معرض Gen2

لا يتم تضمين معلومات حالة ضيف الجهاز الظاهري في مصدر الصورة.

يمكن استخدام إصدار الصورة الناتج لإنشاء أجهزة Azure Gen2 الظاهرية أو أجهزة ظاهرية لإطلاق موثوق بها.

يمكن مشاركة هذه الصور باستخدام معرض الحوسبة Azure - المعرض المشترك المباشر ومعرض حوسبة Azure - معرض المجتمع.

إشعار

يجب إنشاء قرص نظام التشغيل VHD أو صورة مدارة أو إصدار صورة المعرض من صورة Gen2 متوافقة مع الأجهزة الظاهرية الموثوق بها.

المدخل

1. قم بتسجيل الدخول إلى بوابة Azure.
2. البحث عن إصدارات صور الجهاز الظاهري وتحديدها في شريط البحث
3. في صفحة VM image versions ، حدد Create.
4. في صفحة Create VM image version ، في علامة التبويب Basics :
   1. حدد اشتراك Azure.
   2. قم بتحديد مجموعة موارد موجودة أو أنشئ مجموعة موارد جديدة.
   3. حدد منطقة Azure.
   4. أدخل رقم إصدار الصورة.
   5. بالنسبة للمصدر، حدد إما Storage Blobs (VHD) أو Managed Image أو إصدار صورة جهاز ظاهري آخر
   6. إذا حددت Storage Blobs (VHD)، أدخل قرص نظام التشغيل VHD (بدون حالة ضيف الجهاز الظاهري). تأكد من استخدام Gen 2 VHD.
   7. إذا حددت صورة مدارة، فحدد صورة مدارة موجودة لجهاز ظاهري من الجيل الثاني.
   8. إذا حددت إصدار صورة الجهاز الظاهري، فحدد إصدار صورة المعرض الحالي لجهاز ظاهري Gen2.
   9. بالنسبة إلى معرض حساب Azure الهدف، حدد أو أنشئ معرضا لمشاركة الصورة.
   10. بالنسبة لحالة نظام التشغيل، حدد إما عام أو متخصص وفقا لحالة الاستخدام الخاصة بك. إذا كنت تستخدم صورة مدارة كمصدر، فحدد "Generalized" دائما. إذا كنت تستخدم كائن ثنائي كبير الحجم للتخزين (VHD) وتريد تحديد عام، فاتبع الخطوات لتعميم Linux VHD أو تعميم Windows VHD قبل المتابعة. إذا كنت تستخدم إصدار صورة جهاز ظاهري موجود، فحدد إما عام أو متخصص استنادا إلى ما يتم استخدامه في تعريف صورة الجهاز الظاهري المصدر.
   11. بالنسبة إلى Target VM Image Definition، حدد Create new.
   12. في جزء Create a VM image definition ، أدخل اسما للتعريف. تأكد من تعيين نوع الأمان إلى Trustedlaunch Supported. أدخل معلومات الناشر والعرض وSKU. ثم حدد موافق.
5. في علامة التبويب Replication ، أدخل عدد النسخ المتماثلة والمناطق المستهدفة للنسخ المتماثل للصور، إذا لزم الأمر.
6. في علامة التبويب Encryption ، أدخل معلومات متعلقة بتشفير SSE، إذا لزم الأمر.
7. حدد "استعراض + إنشاء".
8. بعد التحقق من صحة التكوين بنجاح، حدد Create لإنهاء إنشاء الصورة.
9. بعد إنشاء إصدار الصورة، حدد Create VM.
10. في صفحة إنشاء جهاز ظاهري، أسفل مجموعة الموارد، حدد إنشاء جديد واكتب اسمًا لمجموعة الموارد أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
11. ضمن تفاصيل المثيل، اكتب اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
12. حدد Trusted launch virtual machines كنوع أمان. يتم تمكين خانتي الاختيار التمهيد الآمن وvTPM بشكل افتراضي.
13. املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
14. في صفحة التحقق من الصحة، راجع تفاصيل الجهاز الظاهري.
15. بعد نجاح التحقق من الصحة، حدد Create لإنهاء إنشاء الجهاز الظاهري.

المبادره القطريه

تأكد من تشغيل أحدث إصدار من Azure CLI.

تسجيل الدخول إلى Azure باستخدام az login.

az login 

إنشاء تعريف صورة بنوع TrustedLaunchSupported الأمان.

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

استخدم قرص نظام التشغيل VHD لإنشاء إصدار صورة. تأكد من تعميم Linux VHD قبل التحميل إلى كائن ثنائي كبير الحجم لحساب تخزين Azure باستخدام الخطوات الموضحة هنا.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

إنشاء جهاز ظاهري لإطلاق موثوق به من إصدار الصورة أعلاه.

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

بوويرشيل

إنشاء تعريف صورة بنوع TrustedLaunchSupported الأمان.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

لإنشاء إصدار صورة، يمكننا استخدام إصدار صورة معرض Gen2 موجود، والذي تم تعميمه أثناء الإنشاء.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

إنشاء جهاز ظاهري لإطلاق موثوق به من إصدار الصورة أعلاه

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

صور الجهاز الظاهري الموثوق بها

بالنسبة لمصادر الصور التالية، يجب تعيين نوع الأمان على تعريف الصورة إلى TrustedLaunch:

• التقاط جهاز ظاهري موثوق به
• قرص نظام التشغيل المدار
• لقطة قرص نظام التشغيل المدار

يمكن استخدام إصدار الصورة الناتج فقط لإنشاء أجهزة ظاهرية لتشغيل Azure Trusted.

المدخل

1. قم بتسجيل الدخول إلى بوابة Azure.
2. لإنشاء صورة معرض الحساب في Azure من جهاز ظاهري، افتح جهازًا ظاهريًا للتشغيل موثوق به موجودًا وحدد التقاط.
3. في صفحة إنشاء صورة التي تلي ذلك، اسمح بمشاركة الصورة في المعرض كإصدار صورة جهاز ظاهري. إنشاء الصور المدارة غير مدعوم لأجهزة التشغيل الظاهرية الموثوق بها.
4. يمكنك إنشاء معرض الحساب في Azure الهدف الجديد أو تحديد معرض موجود.
5. حدد حالة نظام التشغيل إما معممة أو مخصصة. إذا كنت تريد إنشاء صورة عامة، فتأكد من تعميم الجهاز الظاهري لإزالة المعلومات الخاصة بالجهاز قبل تحديد هذا الخيار. إذا تم تمكين التشفير المستند إلى Bitlocker عند التشغيل الموثوق به لنظام التشغيل Windows VM، فقد لا تتمكن من تعميمه.
6. إنشاء تعريف صورة جديد من خلال توفير اسم وناشر وعرض وتفاصيل SKU. يجب بالفعل تعيين نوع الأمان الخاص بتعريف الصورة على التشغيل الموثوق به.
7. وفّر رقم إصدار لإصدار الصورة.
8. تعديل خيارات النسخ المتماثل إذا لزم الأمر.
9. في أسفل صفحة إنشاء صورة، حدد مراجعة + إنشاء وعندما يظهر التحقق من الصحة على أنه تم تمريره، حدد إنشاء.
10. بمجرد إنشاء إصدار الصورة، انتقل إلى إصدار الصورة مباشرة. بدلاً من ذلك، يمكنك الانتقال إلى إصدار الصورة المطلوب من خلال تعريف الصورة.
11. في صفحة إصدار صورة الجهاز الظاهري، حدد + إنشاء جهاز ظاهري للانتقال إلى صفحة إنشاء جهاز ظاهري.
12. في صفحة إنشاء جهاز ظاهري، أسفل مجموعة الموارد، حدد إنشاء جديد واكتب اسمًا لمجموعة الموارد أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
13. ضمن تفاصيل المثيل، اكتب اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
14. يتم ملء الصورة ونوع الأمان بالفعل استنادًا إلى إصدار الصورة المحدد. يتم تمكين خانتي الاختيار التمهيد الآمن وvTPM بشكل افتراضي.
15. املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
16. في أسفل الصفحة، حدد ⁧⁩Review + create⁧⁩
17. في صفحة التحقق من الصحة، راجع تفاصيل الجهاز الظاهري.
18. بعد نجاح التحقق من الصحة، حدد Create لإنهاء إنشاء الجهاز الظاهري.

في حالة رغبتك في استخدام قرص مدار أو لقطة قرص مدارة كمصدر لإصدار الصورة (بدلا من تشغيل جهاز ظاهري موثوق به)، استخدم الخطوات التالية.

1. تسجيل الدخول إلى المدخل
2. ابحث عن إصدارات صور الجهاز الظاهري وحدد إنشاء
3. توفير الاشتراك ومجموعة الموارد والمنطقة ورقم إصدار الصورة
4. حدد المصدر كـ أقراص و/أو لقطات
5. حدد قرص نظام التشغيل كقرص مُدار أو لقطة قرص مُدارة من القائمة المنسدلة
6. حدد معرض الحساب في Azure المستهدف لإنشاء الصورة ومشاركتها. في حالة عدم وجود معرض، قم بإنشاء معرض جديد.
7. حدد حالة نظام التشغيل إما معممة أو مخصصة. إذا كنت تريد إنشاء صورة عامة، فتأكد من تعميم القرص أو اللقطة لإزالة المعلومات الخاصة بالجهاز.
8. بالنسبة إلى تعريف صورة الجهاز الظاهري المستهدف، حدد إنشاء جديد. في النافذة التي تفتح، حدد اسم تعريف الصورة وتأكد من تعيين نوع الأمان على التشغيل الموثوق به. أدخل معلومات الناشر والعرض ورقم التخزين التعريفي وحدد موافق.
9. يمكن استخدام علامة تبويب النسخ المتماثل لتعيين عدد النسخ المتماثلة والمناطق المستهدفة لنسخ الصورة، إذا لزم الأمر.
10. يمكن أيضًا استخدام علامة تبويب التشفير لتوفير المعلومات المتعلقة بتشفير SSE، إذا لزم الأمر.
11. حدد إنشاء في علامة تبويب مراجعة + إنشاء لإنشاء الصورة
12. بمجرد إنشاء إصدار الصورة بنجاح، حدد + إنشاء جهاز ظاهري للوصول إلى صفحة إنشاء جهاز ظاهري.
13. اتبع الخطوات من 12 إلى 18 كما ذكر سابقا لإنشاء جهاز ظاهري لإطلاق موثوق به باستخدام إصدار الصورة هذا

المبادره القطريه

تأكد من تشغيل أحدث إصدار من Azure CLI.

تسجيل الدخول إلى Azure باستخدام az login.

az login 

إنشاء تعريف صورة باستخدام نوع الأمان TrustedLaunch

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

لإنشاء نسخة صورة، يمكننا التقاط برنامج تشغيل موثوق به قائم على نظام Linux. تعميم الجهاز الظاهري لبدء التشغيل الموثوق به قبل إنشاء نسخة الصورة.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

في حالة الحاجة إلى استخدام قرص مُدار أو لقطة قرص مُدار كمصدر للصورة لإصدار الصورة، استبدل الصورة المُدارة في الأمر أعلاه بـ --os-snapshot وقم بتوفير اسم القرص أو مورد اللقطة

إنشاء جهاز ظاهري لإطلاق موثوق به من إصدار الصورة أعلاه

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

بوويرشيل

إنشاء تعريف صورة باستخدام نوع الأمان TrustedLaunch

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

لإنشاء نسخة صورة، يمكننا التقاط برنامج تشغيل موثوق به قائم على نظام التشغيل Windows. تعميم الجهاز الظاهري لبدء التشغيل الموثوق به قبل إنشاء نسخة الصورة.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

إنشاء جهاز ظاهري لإطلاق موثوق به من إصدار الصورة أعلاه

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

نهج التشغيل الموثوق بها المضمنة

لمساعدة المستخدمين النهائيين على اعتماد Trusted Launch، تتوفر نهج Azure لمساعدة مالكي الموارد على اعتماد Trusted Launch. الهدف الرئيسي هو المساعدة في تحويل الأجهزة الظاهرية من الجيل 1 و2 القادرة على التشغيل الموثوق به. يجب أن يكون لدى الجهاز الظاهري نهج واحد ممكن عليه Trusted Launch يتحقق مما إذا كان الجهاز الظاهري، الممكن حاليا مع تكوينات أمان Trusted Launch. تتحقق الأقراص ونظام التشغيل المدعومان ل Trusted Launch من ما إذا كانت الأجهزة الظاهرية التي تم إنشاؤها مسبقا تحتوي على نظام التشغيل من الجيل 2 القادرة وحجم الجهاز الظاهري لنشر الأجهزة الظاهرية Trusted Launch. يجتمع هذان النهجان معا لجعل نهج التشغيل الموثوق به مترددا، مما يتيح لك تجميع العديد من تعريفات النهج ذات الصلة لتبسيط التعيينات وموارد الإدارة لتضمين تكوين التشغيل الموثوق به.

لمعرفة المزيد، وبدء نشر نهج التشغيل الموثوق به المضمنة.

---

التحقق من الإعدادات أو تحديثها

بالنسبة إلى الأجهزة الظاهرية التي تم إنشاؤها مع تمكين التشغيل الموثوق به، يمكنك عرض تكوين التشغيل الموثوق به عن طريق زيارة صفحة نظرة عامة للجهاز الظاهري في مدخل Microsoft Azure. ستعرض علامة التبويب خصائص حالة ميزات التشغيل الموثوق به:

لتغيير تكوين التشغيل الموثوق به، في القائمة اليمنى، ضمن قسم الإعدادات، حدد Configuration. يمكنك تمكين أو تعطيل التمهيد الآمن وvTPM ومراقبة التكامل من قسم نوع الأمان. حدد حفظ في أعلى الصفحة عند الانتهاء.

إذا كان الجهاز الظاهري قيد التشغيل، فستتلقى رسالة تفيد بإعادة تشغيل الجهاز الظاهري. حدد نعم ثم انتظر حتى تتم إعادة تشغيل الجهاز الظاهري حتى تصبح التغييرات سارية المفعول.

الخطوات التالية

تعرف على المزيد حول الأجهزة الظاهرية الموثوق بها لمراقبة تكامل التشغيل والتمهيد.