Краткое руководство. Развертывание конфиденциальной виртуальной машины из образа коллекции вычислений Azure с помощью портал Azure

Конфиденциальные виртуальные машины Azure поддерживают создание и совместное использование пользовательских образов с помощью коллекции вычислений Azure. Существует два типа изображений, которые можно создать на основе типов безопасности образа:

• Конфиденциальные образы виртуальных машин — это образы, в которых источник уже содержит сведения о состоянии гостевой виртуальной машиныConfidentialVM. Этот тип образа также может включать шифрование конфиденциальных дисков.
• Поддерживаемые конфиденциальные образы виртуальных машин — это образы, в которых источник не содержит сведения о состоянии гостевой виртуальной машиныConfidentialVMSupported, а шифрование конфиденциальных дисков не включено.

Конфиденциальные образы виртуальных машин

Для следующих источников образов тип безопасности определения образа должен быть задан ConfidentialVM в качестве источника образа, который уже содержит сведения о состоянии гостевой виртуальной машины, а также может включать шифрование конфиденциальных дисков:

• Сбор конфиденциальных виртуальных машин
• Управляемый диск ОС
• Моментальный снимок управляемого диска ОС

Результирующая версия образа может использоваться только для создания конфиденциальных виртуальных машин.

Эту версию образа можно реплика в исходном регионе, но в настоящее время нельзя реплика в другой регион или между подписками.

Примечание.

Если вы хотите создать образ из конфиденциальной виртуальной машины Windows с включенным шифрованием конфиденциального вычислительного диска с помощью управляемого платформой ключа или ключа, управляемого клиентом, можно создать только специализированный образ. Это ограничение существует, так как средство обобщения (sysprep) может не иметь возможности обобщенного источника зашифрованного образа. Это ограничение применяется к диску ОС, который неявно создается вместе с конфиденциальной виртуальной машиной Windows и моментальным снимком, созданным на этом диске ОС.

Создание образа типа конфиденциальной виртуальной машины с помощью записи конфиденциальных виртуальных машин

1. Войдите на портал Azure.
2. Перейдите в службу виртуальных машин .
3. Откройте конфиденциальную виртуальную машину, которую вы хотите использовать в качестве источника образа.
4. Если вы хотите создать обобщенное изображение, удалите сведения для конкретного компьютера перед созданием образа.
5. Выберите Запись.
6. На открывающейся странице создания изображения создайте определение и версию образа.
   1. Разрешить общий доступ образа к коллекции вычислений Azure в качестве версии образа виртуальной машины. Управляемые образы не поддерживаются для конфиденциальных виртуальных машин.
   2. Создайте новую коллекцию или выберите существующую коллекцию.
   3. Для состояния операционной системы выберите "Обобщенный" или "Специализированный" в зависимости от варианта использования.
   4. Создайте определение изображения, указав имя, издателя, предложение и номер SKU. Убедитесь, что для типа безопасности задано значение "Конфиденциально".
   5. Укажите номер версии для образа.
   6. При необходимости измените количество реплика репликации.
   7. Выберите Review + Create (Просмотреть и создать).
   8. После успешной проверки образа нажмите кнопку "Создать ", чтобы завершить создание образа.
7. Выберите версию образа, чтобы перейти к ресурсу напрямую. Кроме того, можно перейти к версии образа с помощью определения образа. Определение образа также показывает тип шифрования, поэтому вы можете проверка, что соответствует образу и исходной виртуальной машине.
8. На странице версии образа выберите "Создать виртуальную машину".

Теперь вы можете создать конфиденциальную виртуальную машину из пользовательского образа.

Создание образа типа конфиденциальной виртуальной машины с управляемого диска или моментального снимка

1. Войдите на портал Azure.
2. Если вы хотите создать обобщенный образ, удалите сведения для конкретного компьютера для диска или моментального снимка перед созданием образа.
3. Найдите и выберите версии образов виртуальных машин в строке поиска.
4. Нажмите кнопку Создать
5. На вкладке "Основные сведения" на странице "Создание образа виртуальной машины"
   1. Выберите подписку Azure.
   2. Выберите существующую группу ресурсов или создайте новую группу ресурсов.
   3. Выберите регион Azure.
   4. Введите номер версии для изображения.
   5. В качестве источника выберите диски и (или) моментальные снимки.
   6. Для диска ОС выберите управляемый диск или моментальный снимок управляемого диска.
   7. Для целевой коллекции вычислений Azure выберите или создайте коллекцию, чтобы предоставить общий доступ к образу.
   8. Для состояния операционной системы выберите "Обобщенный " или "Специализированный " в зависимости от варианта использования.
   9. Для определения образа целевой виртуальной машины нажмите кнопку "Создать".
   10. В области определения образа виртуальной машины введите имя определения. Убедитесь, что тип безопасности является конфиденциальным. Введите сведения о издателе, предложении и номере SKU. Затем нажмите кнопку "ОК".
6. На вкладке "Шифрование" убедитесь, что тип шифрования конфиденциальных вычислений соответствует исходному диску или типу моментального снимка.
7. Нажмите кнопку "Рецензирование и создание", чтобы просмотреть параметры.
8. После проверки параметров нажмите кнопку "Создать ", чтобы завершить создание версии образа.
9. После успешного создания версии образа нажмите кнопку "Создать виртуальную машину".

Теперь вы можете создать конфиденциальную виртуальную машину из пользовательского образа.

Поддерживаемые образы конфиденциальных виртуальных машин

Для следующих источников образов необходимо задать ConfidentialVMSupported тип безопасности определения образа, так как источник образа не содержит сведения о состоянии гостевой виртуальной машины и шифрование конфиденциальных дисков:

• Виртуальный жесткий диск ОС
• Управляемый образ 2-го поколения

Полученную версию образа можно использовать для создания виртуальных машин Azure 2-го поколения или конфиденциальных виртуальных машин.

Это изображение можно реплика в исходном регионе и в разные целевые регионы.

Примечание.

На основе образа, совместимого с конфиденциальной виртуальной машиной, необходимо создать виртуальный жесткий диск ОС или управляемый образ. Размер виртуального жесткого диска или управляемого образа должен быть меньше 32 ГБ

Создание образа поддерживаемого типа конфиденциальной виртуальной машины

1. Войдите на портал Azure.
2. Поиск и выбор версий образов виртуальной машины в строке поиска
3. На странице версий образов виртуальной машины нажмите кнопку "Создать".
4. На странице "Создание образа виртуальной машины" на вкладке "Основные сведения":
   1. Выберите подписку Azure.
   2. Выберите существующую группу ресурсов или создайте новую.
   3. Выберите регион Azure.
   4. Введите номер версии образа.
   5. В качестве источника выберите служба хранилища БОЛЬШИЕ двоичные объекты (VHD) или Управляемый образ.
   6. Если вы выбрали служба хранилища BLOB-объекты (VHD), введите виртуальный жесткий диск ОС (без состояния гостевой виртуальной машины). Обязательно используйте виртуальный жесткий диск 2-го поколения.
   7. Если выбран управляемый образ, выберите существующий управляемый образ виртуальной машины 2-го поколения.
   8. Для целевой коллекции вычислений Azure выберите или создайте коллекцию, чтобы предоставить общий доступ к изображению.
   9. Для состояния операционной системы выберите "Обобщенный " или "Специализированный " в зависимости от варианта использования. Если вы используете управляемый образ в качестве источника, всегда выберите "Обобщенный". Если вы используете большой двоичный объект хранилища (VHD) и хотите выбрать обобщенный, выполните действия, чтобы обобщить виртуальный жесткий диск Linux или обобщение виртуального жесткого диска Windows, прежде чем продолжить.
   10. Для определения образа целевой виртуальной машины нажмите кнопку "Создать".
   11. В области определения образа виртуальной машины введите имя определения. Убедитесь, что для типа безопасности задано значение "Конфиденциальный". Введите сведения о издателе, предложении и номере SKU. Затем нажмите кнопку "ОК".
5. На вкладке репликации введите количество реплика и целевые области для реплика изображения при необходимости.
6. На вкладке "Шифрование" введите сведения, связанные с шифрованием SSE, при необходимости.
7. Выберите Review + Create (Просмотреть и создать).
8. После успешной проверки конфигурации нажмите кнопку "Создать ", чтобы завершить создание образа.
9. После создания версии образа нажмите кнопку "Создать виртуальную машину".

Создание конфиденциальной виртуальной машины из образа коллекции

Теперь, когда вы успешно создали образ, вы можете использовать этот образ для создания конфиденциальной виртуальной машины.

1. На странице "Создание виртуальной машины" настройте вкладку "Основные сведения":
   1. В разделе "Сведения о проекте" для группы ресурсов создайте новую группу ресурсов или выберите существующую группу ресурсов.
   2. В разделе " Сведения об экземпляре" введите имя виртуальной машины и выберите регион, поддерживающий конфиденциальные виртуальные машины. Дополнительные сведения см. в таблице продуктов виртуальных машин, доступных по регионам.
   3. Если вы используете конфиденциальный образ, тип безопасности имеет значение "Конфиденциальные виртуальные машины" и не может быть изменен. Если вы используете образ с конфиденциальной поддержкой, необходимо выбрать тип безопасности в качестве конфиденциальных виртуальных машин из категории "Стандартный".
   4. VTPM включен по умолчанию и не может быть изменен.
   5. Безопасная загрузка включена по умолчанию. Чтобы изменить этот параметр, используйте функции настройки безопасности. Безопасная загрузка требуется для использования шифрования конфиденциальных вычислений.
2. На вкладке "Диски" при необходимости настройте параметры шифрования.
   1. Если вы используете конфиденциальный образ, шифрование конфиденциальных вычислений и набор шифрования конфиденциальных дисков (если вы используете ключи, управляемые клиентом), заполняются на основе выбранной версии образа и не могут быть изменены.
   2. Если вы используете конфиденциальный поддерживаемый образ, при необходимости можно выбрать шифрование конфиденциальных вычислений. Затем укажите набор шифрования конфиденциальных дисков, если вы хотите использовать ключи, управляемые клиентом.
3. Введите сведения об учетной записи администратора.
4. Настройте все правила входящего порта.
5. Выберите Review + Create (Просмотреть и создать).
6. На странице проверки просмотрите сведения о виртуальной машине.
7. После успешной проверки нажмите кнопку "Создать ", чтобы завершить создание виртуальной машины.

Следующие шаги

Дополнительные сведения о конфиденциальных вычислениях см. на странице обзора конфиденциальных вычислений.