Démarrage rapide : Créer une machine virtuelle confidentielle dans le portail Azure
Vous pouvez utiliser le portail Azure pour créer rapidement une machine virtuelle confidentielle basée sur une image de la Place de marché Azure. Il existe plusieurs options de machine virtuelle confidentielle sur AMD et Intel avec la technologie AMD SEV-SNP et Intel TDX.
Prérequis
Un abonnement Azure. Les comptes d’essai gratuits n’ont pas accès aux machines virtuelles utilisées dans ce didacticiel. L’une des options consiste à utiliser un abonnement assorti d’un paiement à l’utilisation.
Si vous utilisez une machine virtuelle confidentielle Linux, utilisez un interpréteur de commandes BASH pour SSH ou installez un client SSH, tel que PuTTY.
Si le chiffrement de disque confidentiel avec une clé gérée par le client est requis, exécutez la commande ci-dessous pour activer le principal de service
Confidential VM Orchestratorpour votre abonné. Installez le SDK Microsoft Graph pour exécuter les commandes ci-dessous.Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
Créer une machine virtuelle confidentielle
Pour créer une machine virtuelle confidentielle dans le portail Azure à l’aide d’une image de la Place de marché Azure :
Connectez-vous au portail Azure.
Sélectionnez ou recherchez Machines virtuelles.
Dans le menu de la page Machines virtuelles, sélectionnez Créer>Machine virtuelle.
Sous l’onglet Informations de base, configurez les paramètres suivants :
a. Sous Détails du projet, pour Abonnement, sélectionnez un abonnement Azure conforme aux prérequis.
b. Pour Groupe de ressources, sélectionnez Créer nouveau afin de créer un groupe de ressources. Entrez un nom, puis sélectionnez OK.
c. Sous Détails de l’instance, pour Nom de la machine virtuelle, saisissez un nom pour votre nouvelle machine virtuelle.
d. Pour Région, sélectionnez la région Azure dans laquelle déployer votre machine virtuelle.
Notes
Les machines virtuelles confidentielles ne sont pas disponibles dans tous les emplacements. Pour les emplacements actuellement pris en charge, consultez la disponibilité des produits de machines virtuelles par région Azure.
e. Pour Options de disponibilité, sélectionnez Aucune redondance d’infrastructure nécessaire si vous avez des machines virtuelles individuelles ou Groupe de machines virtuelles identiques si vous avez plusieurs machines virtuelles.
f. Pour Type de sécurité, sélectionnez Machines virtuelles confidentielles.
g. Pour Image, sélectionnez l’image du système d’exploitation à utiliser pour votre machine virtuelle. Sélectionnez Afficher toutes les images pour ouvrir Azure Marketplace. Sélectionnez le filtre Type de sécurité>Confidentielle pour afficher toutes les images de machines virtuelles confidentielles disponibles.
.h Basculez vers les images Génération 2. Les machines virtuelles confidentielles s’exécutent uniquement sur des images de Génération 2. Pour vous en assurer, sous Image, sélectionnez Configurer la génération de machine virtuelle. Dans le volet Configurer la génération de machine virtuelle, pour la Génération de machine virtuelle, sélectionnez Génération 2. Ensuite, sélectionnez Appliquer.
i. Pour Raille, sélectionnez une taille de machine virtuelle. Pour plus d’informations, consultez les familles de machines virtuelles confidentielles prises en charge.
j. Pour Type d’authentification, si vous créez une machine virtuelle Linux, sélectionnez Clé publique SSH. Si vous n’avez pas encore de clé SSH, créez des clés SSH pour vos machines virtuelles Linux.
k. Sous Compte administrateur, pour Nom d’utilisateur, entrez un nom d’administrateur pour votre machine virtuelle.
l. Pour Clé publique SSH, le cas échéant, entrez votre clé publique RSA.
m. Pour Mot de passe et Confirmer le mot de passe, le cas échéant, entrez un mot de passe d’administrateur.
n. Sous Règles des ports d’entrée, pour Ports d’entrée publics, sélectionnez Autoriser les ports sélectionnés.
o. Pour Sélectionner des ports d’entrée, sélectionnez vos ports d’entrée dans le menu déroulant. Pour les machines virtuelles Windows, sélectionnez HTTP (80) et RDP (3389). Pour les machines virtuelles Linux, sélectionnez SSH (22) et http (80).
Notes
Il n’est pas recommandé d’autoriser les ports RDP/SSH pour des déploiements de production.
Sous l’onglet Disques, configurez les paramètres suivants :
Sous Options de disque, activez Chiffrement du disque de système d’exploitation confidentiel si vous voulez chiffrer le disque de système d’exploitation de votre machine virtuelle pendant la création.
Pour Gestion des clés, sélectionnez le type de clé à utiliser.
Si Chiffrement de disque confidentiel avec une clé gérée par le client est sélectionné, créez un Jeu de chiffrement de disque confidentiel avant de créer votre machine virtuelle confidentielle.
Si vous souhaitez chiffrer le disque temporaire de votre machine virtuelle, reportez-vous à la documentation suivante.
(Facultatif) Si nécessaire, vous devez créer un Jeu de chiffrement de disque confidentiel comme suit.
Créez un coffre de clés Azure en sélectionnant le niveau tarifaire Premium qui comprend la prise en charge des clés HSM et active la protection contre la suppression définitive. Sinon, vous pouvez créer un Module de sécurité matériel (HSM) managé par Azure Key Vault.
Dans le portail Azure, recherchez et sélectionnez Jeux de chiffrement de disque.
Sélectionnez Create (Créer).
Pour Abonnement, sélectionnez l’abonnement Azure à utiliser.
Pour Groupe de ressources, sélectionnez un groupe de ressources à utiliser ou créez-en un nouveau.
Pour Nom du jeu de chiffrement de disque, entrez un nom pour le jeu.
Pour Région, sélectionnez une région Azure disponible.
Pour Type de chiffrement, sélectionnez Chiffrement de disque confidentiel avec une clé gérée par le client.
Pour Coffre de clés, sélectionnez le coffre de clés que vous avez déjà créé.
Sous Coffre de clés, sélectionnez Créer pour créer un coffre de clés.
Notes
Si vous avez précédemment sélectionné un HSM managé Azure, utilisez PowerShell ou Azure CLI pour créer la nouvelle clé place.
Pour Nom, entrez un nom pour la clé.
Pour le type de clé, sélectionnez RSA-HSM
Sélectionnez la taille de votre clé
n. Sous Options de clé confidentielle, sélectionnez Exportable et définissez la stratégie d’opération confidentielle en tant que stratégie d’opération confidentielle CVM.
o. Sélectionnez Créer pour terminer la création de la clé.
p. Sélectionnez Vérifier + créer pour créer un jeu de chiffrement de disque. Attendez que la création de ressource se termine correctement.
q. Accédez à la ressource du jeu de chiffrement de disque dans le portail Azure.
r. Sélectionnez la bannière rose pour attribuer des autorisations à Azure Key Vault.
Important
Vous devez effectuer cette étape pour créer correctement la machine virtuelle confidentielle.
Si nécessaire, modifiez les paramètres sous les onglets Mise en réseau, Gestion, Configuration invité et Étiquettes.
Sélectionnez Vérifier + créer pour valider votre configuration.
Attendez que la validation se termine. Si nécessaire, corrigez les problèmes de validation, puis sélectionnez à nouveau Vérifier + créer.
Dans le volet Vérifier + créer, sélectionnez Créer.
Connecter à une machine virtuelle confidentielle
Il existe différentes méthodes de connexion à des machines virtuelles confidentielles Windows et des machines virtuelles confidentielles Linux.
Se connecter à des machines virtuelles Windows
Pour vous connecter à une machine virtuelle confidentielle dotée d’un système d’exploitation Windows, consultez Connexion à une machine virtuelle Azure exécutant Windows.
Se connecter à des machines virtuelles Linux
Pour vous connecter à une machine virtuelle confidentielle dotée d’un système d’exploitation Linux, consultez les instructions relatives au système d’exploitation de votre ordinateur.
Avant de commencer, assurez-vous que vous disposez de l’adresse IP publique de votre machine virtuelle. Pour trouver l’adresse IP :
Connectez-vous au portail Azure.
Sélectionnez ou recherchez Machines virtuelles.
Sur la page Machines virtuelles, sélectionnez votre machine virtuelle confidentielle.
Sur la page de vue d’ensemble de votre machine virtuelle confidentielle, copiez l’adresse IP publique.
Pour plus d’informations sur la connexion à des machines virtuelles Linux, consultez Démarrage rapide : Créer une machine virtuelle Linux sur le Portail Azure.
Ouvrez votre client SSH, par exemple, PuTTy.
Entrez l’adresse IP publique de votre machine virtuelle confidentielle.
Connectez-vous à la machine virtuelle. Dans PuTTY, sélectionnez Ouvrir.
Entrez le nom d’utilisateur et le mot de passe administrateur de votre machine virtuelle.
Notes
Si vous utilisez PuTTY, il se peut que vous receviez une alerte de sécurité indiquant que la clé hôte du serveur n’est pas mise en cache dans le registre. Si vous faites confiance à l’ordinateur hôte, sélectionnez Yes (Oui) pour ajouter la clé à la mémoire cache de PuTTY et poursuivre la connexion. Pour vous connecter une seule fois sans ajouter la clé, sélectionnez No (non). Si vous ne faites pas confiance à l’ordinateur hôte, sélectionnez Cancel (Annuler) pour abandonner la connexion.
Nettoyer les ressources
Après avoir suivi le Démarrage rapide, vous pouvez nettoyer la machine virtuelle confidentielle, le groupe de ressources et d’autres ressources associées.
Connectez-vous au portail Azure.
Sélectionnez ou recherchez Groupes de ressources.
Dans la page Groupes de ressources, sélectionnez le groupe de ressources que vous avez créé pour ce démarrage rapide.
Dans le menu du groupe de ressources, sélectionnez Supprimer un groupe de ressources.
Dans le volet d’avertissement, entrez le nom du groupe de ressources pour confirmer la suppression.
Sélectionnez Supprimer.