Inicio rápido: Implementación de una máquina virtual confidencial desde una imagen de Azure Compute Gallery mediante Azure Portal

Las máquinas virtuales confidenciales de Azure admiten la creación y el uso compartido de imágenes personalizadas mediante Azure Compute Gallery. Hay dos tipos de imágenes que puede crear, en función de los tipos de seguridad de la imagen:

• Las imágenes de máquina virtual confidencial (ConfidentialVM) son imágenes en las que el origen ya tiene la información de estado de invitado de la máquina virtual. Este tipo de imagen también puede tener habilitado el cifrado de disco confidencial.
• Las imágenes admitidas de máquinas virtuales confidenciales (ConfidentialVMSupported) son imágenes en las que el origen no tiene información de estado de invitado de máquina virtual y el cifrado de disco confidencial no está habilitado.

Imágenes de máquinas virtuales confidenciales

Para los siguientes orígenes de imagen, el tipo de seguridad de la definición de imagen debe establecerse en ConfidentialVM, ya que el origen de la imagen ya tiene información de estado invitado de máquina virtual y también puede tener habilitado el cifrado de disco confidencial:

• Captura de máquina virtual confidencial
• Disco de sistema operativo administrado
• Instantánea de disco del sistema operativo administrado

La versión de imagen resultante solo se puede usar para crear máquinas virtuales confidenciales.

Esta versión de imagen se puede replicar dentro de la región de origen, pero no se puede replicar en otra región o entre suscripciones actualmente.

Nota

Si desea crear una imagen a partir de una máquina virtual confidencial con Windows que tenga habilitado el cifrado de disco de proceso confidencial con una clave administrada por la plataforma o una clave administrada por el cliente, solo puede crear una imagen especializada. Esta limitación existe porque es posible que la herramienta de generalización (sysprep) no pueda generalizar el origen de la imagen cifrada. Esta limitación se aplica al disco del sistema operativo, que se crea implícitamente junto con la máquina virtual confidencial Windows y la instantánea creada a partir de este disco del sistema operativo.

Creación de una imagen de tipo de máquina virtual confidencial mediante la captura de máquina virtual confidencial

1. Inicie sesión en Azure Portal.
2. Vaya al servicio de Máquinas virtuales.
3. Abra la máquina virtual confidencial que desea usar como origen de la imagen.
4. Si desea crear una imagen generalizada, quite la información específica de la máquina antes de crear la imagen.
5. Seleccione Capturar.
6. En la página Crear una imagen que se abre, cree la definición y la versión de la imagen.
   1. Permita que la imagen se comparta en Azure Compute Gallery como una versión de imagen de máquina virtual. Las imágenes administradas no son compatibles con máquinas virtuales confidenciales.
   2. Cree una galería o seleccione una existente.
   3. En Estado del sistema operativo, seleccione Generalizado o Especializado, en función de su caso de uso.
   4. Proporcione un nombre, un publicador, una oferta y detalles de la SKU para crear una definición de la imagen. Asegúrese de que el tipo de seguridad está establecido en Confidencial.
   5. Proporcione un número de versión para la imagen.
   6. En Replicación, modifique el recuento de réplicas, si es necesario.
   7. Seleccione Revisar + crear.
   8. Cuando la validación de la imagen se realice correctamente, seleccione Crear para terminar de crear la imagen.
7. Seleccione la versión de la imagen para ir directamente al recurso. Puede ir a la versión de la imagen mediante la definición de la imagen. La definición de la imagen también muestra el tipo de cifrado, por lo que puede comprobar que la imagen y la máquina virtual de origen coinciden.
8. En la página de versión de la imagen, seleccione Crear máquina virtual.

Ahora, puede crear una máquina virtual confidencial a partir de la imagen personalizada.

Creación de una imagen de tipo de máquina virtual confidencial a partir de un disco administrado o una instantánea

1. Inicie sesión en Azure Portal.
2. Si desea crear una imagen generalizada, quite la información específica de la máquina para el disco o la instantánea antes de crear la imagen.
3. Busque y seleccione Versiones de imagen de máquina virtual en la barra de búsqueda.
4. Seleccione Crear
5. En la pestaña Aspectos básicos de la página Crear versión de la imagen de máquina virtual:
   1. Seleccione una suscripción de Azure.
   2. Seleccione un grupo de recursos existente o cree uno nuevo.
   3. Seleccione una región de Azure.
   4. Proporcione un número de versión para la imagen.
   5. En Origen, seleccione Discos y/o instantáneas.
   6. En Disco del sistema operativo, seleccione un disco administrado o una instantánea de disco administrado.
   7. En Galería de procesos de Azure objetivo, seleccione o cree una galería en la que compartir la imagen.
   8. En Estado del sistema operativo, seleccione Generalizado o Especializado, en función de su caso de uso.
   9. En Definición de imagen de máquina virtual de destino, seleccione Crear nuevo.
   10. En el panel Crear una definición de imagen de máquina virtual, escriba un nombre para la definición. Asegúrese de que el Tipo de seguridad está establecido en Confidencial. Escriba la información del publicador, la oferta y la SKU. Luego, seleccione Aceptar.
6. En la pestaña Cifrado, asegúrese de que el Tipo de cifrado de proceso confidencial coincide con el tipo de disco o instantánea de origen.
7. Seleccione el botón Revisar y crear para revisar la configuración.
8. Una vez validada la configuración, seleccione Crear para terminar de crear la versión de la imagen.
9. Una vez creada correctamente la versión de la imagen, seleccione Crear máquina virtual.

Ahora, puede crear una máquina virtual confidencial a partir de la imagen personalizada.

Imágenes compatibles con máquinas virtuales confidenciales

Para los siguientes orígenes de imagen, el tipo de seguridad de la definición de imagen debe establecerse en ConfidentialVMSupported, ya que el origen de la imagen no tiene información de estado invitado de máquina virtual ni el cifrado de disco confidencial:

• VHD del disco del sistema operativo
• Imagen administrada de segunda generación

La versión de la imagen resultante se puede usar para crear máquinas virtuales Gen2 de Azure o máquinas virtuales confidenciales.

Esta imagen se puede replicar dentro de la región de origen y en diferentes regiones de destino.

Nota

El VHD del disco del sistema operativo o la imagen administrada se deben crear a partir de una imagen compatible con la máquina virtual confidencial. El tamaño del VHD o de la imagen administrada debe ser inferior a 32 GB.

Creación de una imagen de tipo compatible con una máquina virtual confidencial

1. Inicie sesión en Azure Portal.
2. Busque y seleccione Versiones de imagen de máquina virtual en la barra de búsqueda.
3. En la página Versiones de imagen de máquina virtual, seleccione Crear.
4. En la pestaña Aspectos básicos de la página Crear la versión de la imagen de máquina virtual:
   1. seleccione la suscripción de Azure.
   2. Seleccione un grupo de recursos existente o cree uno nuevo.
   3. Seleccione la región de Azure.
   4. Escriba un número de versión de imagen.
   5. En Origen, seleccione Blobs de almacenamiento (VHD) o Imagen administrada.
   6. Si seleccionó Blobs de almacenamiento (VHD), escriba un VHD de disco del sistema operativo (sin el estado de invitado de la máquina virtual). Asegúrese de usar un VHD Gen2.
   7. Si seleccionó Imagen administrada, seleccione una imagen administrada existente de una máquina virtual Gen2.
   8. En Galería de procesos de Azure objetivo, seleccione o cree una galería para compartir la imagen.
   9. En Estado del sistema operativo, seleccione Generalizado o Especializado, en función de su caso de uso. Si usa una imagen administrada como origen, seleccione Generalizado siempre. Si usa un blob de almacenamiento (VHD) y quiere seleccionar Generalizado, siga los pasos para generalizar un VHD Linux o generalizar un VHD Windows antes de continuar.
   10. En Definición de imagen de máquina virtual de destino, seleccione Crear nuevo.
   11. En el panel Crear una definición de imagen de máquina virtual, escriba un nombre para la definición. Asegúrese de que el tipo de seguridad está establecido en Compatible con confidenciales. Escriba la información del publicador, la oferta y la SKU. Luego, seleccione Aceptar.
5. En la pestaña Replicación, escriba el recuento de réplicas y las regiones de destino para la replicación de imágenes, si es necesario.
6. En la pestaña Cifrado, escriba información relacionada con el cifrado SSE, si es necesario.
7. Seleccione Revisar + crear.
8. Una vez validada correctamente la configuración, seleccione Crear para terminar de crear la imagen.
9. Una vez creada la versión de la imagen, seleccione Crear máquina virtual.

Creación de una máquina virtual confidencial a partir de una imagen de la galería

Ahora que ha creado correctamente una imagen, ya puede usar esa imagen para crear una máquina virtual confidencial.

1. En la página Crear una máquina virtual, configure la pestaña Aspectos básicos :
   1. En Detalles del proyecto, para Grupo de recursos, cree un grupo de recursos o seleccione uno existente.
   2. En Detalles de la instancia, escriba un nombre de máquina virtual y seleccione una región que admita máquinas virtuales confidenciales. Para más información, busque la serie de máquinas virtuales confidenciales en la tabla de productos de máquina virtual disponibles por región.
   3. Si usa una imagen Confidencial, el tipo de seguridad se establece en Máquinas virtuales confidenciales y no se puede modificar. Si usa una imagen Compatible con confidenciales, debe seleccionar el tipo de seguridad como Máquinas virtuales confidenciales de Estándar.
   4. vTPM está habilitado de forma predeterminada y no se puede modificar.
   5. La característica Arranque seguro está habilitada de forma predeterminada. Para modificar la configuración, use Configurar características de seguridad. El arranque seguro es necesario para usar el cifrado de proceso confidencial.
2. En la pestaña Discos, configure las opciones de cifrado si es necesario.
   1. Si usa una imagen Confidencial, el cifrado de proceso confidencial y el conjunto de cifrado de disco confidencial (si usa claves administradas por el cliente) se rellenan en función de la versión de la imagen seleccionada y no se pueden modificar.
   2. Si usa una imagen Compatible con confidenciales, puede seleccionar el cifrado de proceso confidencial, si es necesario. A continuación, proporcione un conjunto de cifrado de disco confidencial si desea usar claves administradas por el cliente.
3. Escriba la información de la cuenta de administrador.
4. Configure las reglas del puerto de entrada.
5. Seleccione Revisar + crear.
6. En la página de validación, revise los detalles de la máquina virtual.
7. Una vez que la validación se ha realizado correctamente, seleccione Crear para terminar de crear la máquina virtual.

Pasos siguientes

Para obtener más información sobre la computación confidencial, consulte la página de Introducción a la computación confidencial.