Quickstart: Een vertrouwelijke VM maken in Azure Portal

  • Artikel

U kunt Azure Portal gebruiken om snel een vertrouwelijke VM te maken op basis van een Azure Marketplace-installatiekopieën. Er zijn meerdere vertrouwelijke VM-opties op AMD en Intel met AMD SEV-SNP en Intel TDX-technologie.

Vereisten

  • Een Azure-abonnement. Gratis proefaccounts hebben geen toegang tot de VM's die in deze zelfstudie worden gebruikt. Een optie is om een abonnement op basis van betalen per gebruik te gebruiken.

  • Als u een vertrouwelijke virtuele Linux-machine gebruikt, gebruikt u een BASH-shell voor SSH of installeert u een SSH-client, zoals PuTTY.

  • Als vertrouwelijke schijfversleuteling met een door de klant beheerde sleutel is vereist, voert u de onderstaande opdracht uit om de service-principal Confidential VM Orchestrator voor uw tenant in te schakelen. Installeer Microsoft Graph SDK om de onderstaande opdrachten uit te voeren.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

Vertrouwelijke VM maken

Een vertrouwelijke VM maken in Azure Portal met behulp van een Azure Marketplace-installatiekopieën:

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer of zoek naar virtuele machines.

  3. Selecteer In het paginamenu Virtuele machines de optie Virtuele machine maken>.

  4. Configureer op het tabblad Basisbeginselen de volgende instellingen:

    a. Selecteer onder Projectdetails voor Abonnement een Azure-abonnement dat voldoet aan de vereisten.

    b. Selecteer voor Resourcegroep Nieuwe maken om een nieuwe resourcegroep te maken. Voer een naam in en selecteer OK.

    c. Voer onder Exemplaardetails een naam in voor de naam van de virtuele machine.

    d. Selecteer voor Regio de Azure-regio waarin u uw VIRTUELE machine wilt implementeren.

    Notitie

    Vertrouwelijke VM's zijn niet beschikbaar op alle locaties. Voor momenteel ondersteunde locaties kunt u zien welke VM-producten beschikbaar zijn per Azure-regio.

    e. Selecteer voor beschikbaarheidsopties geen infrastructuurredundantie vereist voor enkelvoudige VM's of virtuele-machineschaalset voor meerdere VM's.

    f. Voor beveiligingstype selecteert u Vertrouwelijke virtuele machines.

    g. Selecteer voor installatiekopieën de installatiekopieën van het besturingssysteem die u voor uw VIRTUELE machine wilt gebruiken. Selecteer Alle installatiekopieën weergeven om Azure Marketplace te openen. Selecteer het filter Security Type>Confidential om alle beschikbare vertrouwelijke VM-installatiekopieën weer te geven.

    h. Schakel afbeeldingen van generatie 2 in. Vertrouwelijke VM's worden alleen uitgevoerd op installatiekopieën van de tweede generatie. Selecteer onder Installatiekopieën de optie VM-generatie configureren. Selecteer generatie 2 van de virtuele machine in het deelvenster VM-generatie configureren. Selecteer Vervolgens Toepassen.

    i. Selecteer voor Grootte een VM-grootte. Zie ondersteunde vertrouwelijke VM-families voor meer informatie.

    j. Als u een linux-VM maakt, selecteert u voor verificatietype de openbare SSH-sleutel. Als u nog geen SSH-sleutels hebt, maakt u SSH-sleutels voor uw Linux-VM's.

    k. Voer onder Beheer naam voor gebruikersnaam een beheerdersnaam in voor uw virtuele machine.

    l. Voer voor de openbare SSH-sleutel, indien van toepassing, uw openbare RSA-sleutel in.

    m. Voer, indien van toepassing, een beheerderswachtwoord in voor wachtwoord en bevestig het wachtwoord.

    n. Selecteer voor Openbare binnenkomende poorten onder Regels voor binnenkomende poort de optie Geselecteerde poorten toestaan.

    O. Voor Binnenkomende poorten selecteren, selecteert u uw binnenkomende poorten in de vervolgkeuzelijst. Voor Windows-VM's selecteert u HTTP (80) en RDP (3389). Voor Linux-VM's selecteert u SSH (22) en HTTP (80).

    Notitie

    Het wordt niet aanbevolen om RDP-/SSH-poorten toe te staan voor productie-implementaties.

  5. Configureer op het tabblad Schijven de volgende instellingen:

    1. Schakel onder Schijfopties Vertrouwelijke besturingssysteemschijfversleuteling in als u de besturingssysteemschijf van uw VIRTUELE machine wilt versleutelen tijdens het maken.

    2. Selecteer voor Sleutelbeheer het type sleutel dat u wilt gebruiken.

    3. Als Vertrouwelijke schijfversleuteling met een door de klant beheerde sleutel is geselecteerd, maakt u een vertrouwelijke schijfversleutelingsset voordat u uw vertrouwelijke VM maakt.

    4. Als u de tijdelijke schijf van uw VIRTUELE machine wilt versleutelen, raadpleegt u de volgende documentatie.

  6. (Optioneel) Indien nodig moet u als volgt een versleutelingsset voor vertrouwelijke schijven maken.

    1. Maak een Azure Key Vault die de Premium-prijscategorie selecteert met ondersteuning voor sleutels met HSM-ondersteuning en schakel beveiliging tegen opschonen in. U kunt ook een door Azure Key Vault beheerde HSM (Hardware Security Module) maken.

    2. Zoek en selecteer schijfversleutelingssets in Azure Portal.

    3. Selecteer Maken.

    4. Selecteer voor Abonnement welk Azure-abonnement u wilt gebruiken.

    5. Selecteer of maak voor de resourcegroep een nieuwe resourcegroep die u wilt gebruiken.

    6. Voer voor de naam van de schijfversleutelingsset een naam in voor de set.

    7. Selecteer voor Regio een beschikbare Azure-regio.

    8. Voor het versleutelingstype selecteert u Vertrouwelijke schijfversleuteling met een door de klant beheerde sleutel.

    9. Selecteer voor Key Vault de sleutelkluis die u al hebt gemaakt.

    10. Selecteer Onder Key Vault de optie Nieuwe maken om een nieuwe sleutel te maken.

      Notitie

      Als u eerder een door Azure beheerde HSM hebt geselecteerd, gebruikt u PowerShell of de Azure CLI om de nieuwe sleutel te maken.

    11. Voer bij Naam een naam in voor de sleutel.

    12. Selecteer RSA-HSM voor het sleuteltype

    13. De sleutelgrootte selecteren

    n. Selecteer onder Opties voor vertrouwelijke sleutels de optie Exporteren en stel het beleid voor vertrouwelijke bewerking in als beleid voor vertrouwelijke bewerking van CVM.

    O. Selecteer Maken om het maken van de sleutel te voltooien.

    P. Selecteer Beoordelen en maken om een nieuwe schijfversleutelingsset te maken. Wacht tot het maken van de resource is voltooid.

    V. Ga naar de resource voor schijfversleutelingssets in Azure Portal.

    R. Selecteer de roze banner om machtigingen te verlenen aan Azure Key Vault.

    Belangrijk

    U moet deze stap uitvoeren om de vertrouwelijke VM te maken.

  7. Breng indien nodig wijzigingen aan in instellingen onder de tabbladen Netwerken, Beheer, Gastconfiguratie en Tags.

  8. Selecteer Beoordelen en maken om uw configuratie te valideren.

  9. Wacht tot de validatie is voltooid. Los indien nodig validatieproblemen op en selecteer Vervolgens Controleren en opnieuw maken .

  10. Selecteer in het deelvenster Controleren + maken de optie Maken.

Verbinding maken naar een vertrouwelijke VM

Er zijn verschillende methoden om verbinding te maken met vertrouwelijke virtuele Windows-machines en virtuele Linux-machines.

Verbinding maken naar Windows-VM's

Als u verbinding wilt maken met een vertrouwelijke VM met een Windows-besturingssysteem, raadpleegt u Hoe u verbinding maakt en zich aanmeldt bij een virtuele Machine van Azure waarop Windows wordt uitgevoerd.

Verbinding maken met virtuele Linux-machines

Als u verbinding wilt maken met een vertrouwelijke VM met een Linux-besturingssysteem, raadpleegt u de instructies voor het besturingssysteem van uw computer.

Voordat u begint, moet u ervoor zorgen dat u het openbare IP-adres van uw VIRTUELE machine hebt. Het IP-adres zoeken:

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer of zoek naar virtuele machines.

  3. Selecteer uw vertrouwelijke VM op de pagina Virtuele machines .

  4. Kopieer op de overzichtspagina van uw vertrouwelijke VM het openbare IP-adres.

    Zie de quickstart: Een virtuele Linux-machine maken in Azure Portal voor meer informatie over het maken van verbinding met virtuele Linux-machines.

  5. Open uw SSH-client, zoals PuTTY.

  6. Voer het openbare IP-adres van uw vertrouwelijke VM in.

  7. Maak verbinding met de VM. Selecteer Openen in PuTTY.

  8. Voer de gebruikersnaam en het wachtwoord van uw VM-beheerder in.

    Notitie

    Als u PuTTY gebruikt, ontvangt u mogelijk een beveiligingswaarschuwing dat de hostsleutel van de server niet in de cache van het register is opgeslagen. Als u de host vertrouwt, selecteert u Ja om de sleutel toe te voegen aan de cache van PuTTY en blijft u verbinding maken. Als u slechts eenmaal verbinding wilt maken zonder de sleutel toe te voegen, selecteert u Nee. Als u de host niet vertrouwt, selecteert u Annuleren om de verbinding af te breken.

Resources opschonen

Nadat u klaar bent met de quickstart, kunt u de vertrouwelijke VM, de resourcegroep en andere gerelateerde resources opschonen.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer of zoek naar Resourcegroepen.

  3. Selecteer op de pagina Resourcegroepen de resourcegroep die u voor deze quickstart hebt gemaakt.

  4. Selecteer resourcegroep verwijderen in het menu van de resourcegroep.

  5. Voer in het waarschuwingsvenster de naam van de resourcegroep in om de verwijdering te bevestigen.

  6. Selecteer Verwijderen.

Volgende stappen

Een vertrouwelijke VM maken met een ARM-sjabloon