Schnellstart: Bereitstellen einer vertraulichen VM aus einem Azure Compute Gallery-Image mithilfe des Azure-Portal

Azure vertrauliche virtuelle Computer unterstützt die Erstellung und Freigabe von benutzerdefinierten Images mithilfe von Azure Compute Gallery. Es gibt zwei Arten von Images, die Sie erstellen können, basierend auf den Sicherheitstypen des Images:

Vertrauliche VM-Images

Für die folgenden Imagequellen sollte der Sicherheitstyp für die Imagedefinition als ConfidentialVM festgelegt werden, da die Imagequelle bereits VM-Gaststatusinformationen enthält und für sie möglicherweise auch vertrauliche Datenträgerverschlüsselung aktiviert ist:

  • Vertrauliche VM-Aufnahme
  • Verwalteter Betriebssystemdatenträger
  • Momentaufnahme verwalteter Betriebssystemdatenträger

Die resultierende Imageversion kann nur zum Erstellen vertraulicher VMs verwendet werden.

Diese Bildversion kann innerhalb des Quellbereichs repliziert werden, kann jedoch nicht in eine andere Region oder über Abonnements hinweg repliziert werden.

Hinweis

Wenn Sie ein Image aus einer vertraulichen Windows-VM erstellen möchten, für die ein plattformgesteuerter Schlüssel oder ein kundengesteuerter Schlüssel aktiviert ist, können Sie nur ein spezielles Bild erstellen. Diese Einschränkung ist vorhanden, da das Generalisierungstool (sysprep) möglicherweise nicht in der Lage ist, die verschlüsselte Imagequelle zu generalisieren. Diese Einschränkung gilt für den Betriebssystemdatenträger, der implizit zusammen mit der vertraulichen Windows-VM erstellt wird, und die Momentaufnahme, die aus diesem Betriebssystemdatenträger erstellt wurde.

Erstellen eines vertraulichen VM-Typ-Images mit vertraulicher VM-Aufnahme

  1. Melden Sie sich beim Azure-Portal an.
  2. Wechseln Sie zum Dienst Virtuelle Computer.
  3. Öffnen Sie die vertrauliche VM, die Sie als Bildquelle verwenden möchten.
  4. Wenn Sie ein generalisiertes Bild erstellen möchten, entfernen Sie computerspezifische Informationen, bevor Sie das Images erstellen.
  5. Wählen Sie die Option Erfassen aus.
  6. Erstellen Sie auf der Seite Ein Image erstellen, die sich öffnet, Ihre Imagedefinition und -version.
    1. Lassen Sie zu, dass das Image als VM-Imageversion für Azure Compute Gallery freigegeben werden kann. Verwaltete Images werden für vertrauliche VMs nicht unterstützt.
    2. Erstellen Sie entweder einen neuen Katalog, oder wählen Sie einen vorhandenen Katalog aus.
    3. Wählen Sie für den Betriebssystemzustand je nach Fall Generalisiert oder Spezialisiert aus.
    4. Erstellen Sie eine neue Imagedefinition, indem Sie einen Namen, einen Herausgeber, ein Angebot und SKU-Details bereitstellen. Stellen Sie sicher, dass der Sicherheitstyp als Vertraulich festgelegt ist.
    5. Geben Sie eine Versionsnummer für das Image ein.
    6. Ändern Sie für die Replikation die Replikatanzahl, falls erforderlich.
    7. Klicken Sie auf Überprüfen + erstellen.
    8. Wenn die Imageüberprüfung erfolgreich verläuft, wählen Sie Erstellen aus, um das Erstellen des Bilds abzuschließen.
  7. Wählen Sie die Imageversion aus, um direkt zur Ressource zu wechseln. Oder Sie können über die Imagedefinition zur Imageversion gehen. Die Imagedefinition zeigt auch den Verschlüsselungstyp an, sodass Sie überprüfen können, ob das Image und die Quell-VM übereinstimmen.
  8. Wählen Sie auf der Seite Imageversion VM erstellen aus.

Sie können jetzt eine vertrauliche VM aus Ihrem benutzerdefinierten Image erstellen.

Erstellen eines vertraulichen VM-Typ-Images aus verwaltetem Datenträger oder Momentaufnahme

  1. Melden Sie sich beim Azure-Portal an.
  2. Wenn Sie ein generalisiertes Image erstellen möchten, entfernen Sie computerspezifische Informationen für den Datenträger oder die Momentaufnahme, bevor Sie das Images erstellen.
  3. Suchen Sie in der Suchleiste nach VM-Imageversionen und wählen Sie es aus.
  4. Klicken Sie auf Erstellen
  5. Klicken Sie auf der Seite VM-Imageversion auf die Registerkarte Grundlagen:
    1. Wählen Sie ein Azure-Abonnement aus.
    2. Wählen Sie eine vorhandene Ressourcengruppe aus oder erstellen Sie eine neue Ressourcengruppe.
    3. Wählen Sie eine Azure-Region.
    4. Geben Sie eine Versionsnummer für das Image ein.
    5. Wählen Sie für die Quelle die Option Datenträger und/oder Momentaufnahmen aus.
    6. Wählen Sie für den Betriebssystemdatenträger entweder einen verwalteten Datenträger oder eine verwaltete Datenträgeraufnahme aus.
    7. Wählen oder erstellen Sie einen Katalog für Ziel-Azure Compute Gallery, um das Image freizugeben.
    8. Wählen Sie für den Betriebssystemzustand je nach Ihrem Anwendungsfall Generalisiert oder Spezialisiert aus.
    9. Wählen Sie für die Ziel-VM-Imagedefinition die Option Neu erstellen aus.
    10. Geben Sie im Bereich VM-Imagedefinition erstellen einen Namen für die Definition ein. Stellen Sie sicher, dass der Sicherheitstyp als Vertraulich festgelegt ist. Geben Sie Herausgeber, Angebot und SKU-Informationen an. Wählen Sie anschließend OK aus.
  6. Stellen Sie auf der Registerkarte Verschlüsselung sicher, dass der vertrauliche Compute-Verschlüsselungstyp dem Quelldatenträger oder dem Momentaufnahmetyp entspricht.
  7. Wählen Sie Überprüfen und erstellen aus, um Ihre Einstellungen zu überprüfen.
  8. Nachdem die Einstellungen überprüft wurden, wählen Sie Erstellen aus, um das Erstellen der Imageversion abzuschließen.
  9. Nachdem die Imageversion erfolgreich erstellt wurde, wählen Sie VM erstellen aus.

Sie können jetzt eine vertrauliche VM aus Ihrem benutzerdefinierten Image erstellen.

Vertrauliche VM-unterstützte Images

Für die folgenden Imagequellen sollte der Sicherheitstyp für die Imagedefinition als ConfidentialVMSupported festgelegt werden, da die Imagequelle keine VM-Gaststatusinformationen und keine vertrauliche Datenträgerverschlüsselung enthält:

  • OS Disk VHD
  • Gen2 verwaltetes Image

Die resultierende Imageversion kann verwendet werden, um entweder Azure Gen2-VMs oder vertrauliche VMs zu erstellen.

Dieses Image kann innerhalb der Quellregion und in verschiedene Zielregionen repliziert werden.

Hinweis

Der Betriebssystemdatenträger VHD oder das verwaltetes Image sollte aus einem Image erstellt werden, das mit vertraulicher VM kompatibel ist. Die Größe des VHD- oder verwalteten Images sollte kleiner als 32 GB sein

Erstellen eines durch eine vertrauliche VM unterstützte Typimages

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach VM-Imageversionen in der Suchleiste und wählen Sie es aus
  3. Wählen Sie auf der Seite VM-Imageversionen die Option Erstellen aus.
  4. Auf der Seite VM-Imageversion erstellen, auf der Registerkarte Grundlagen:
    1. Wählen Sie das Azure-Abonnement aus.
    2. Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.
    3. Wählen Sie die Azure-Region aus.
    4. Geben Sie eine Imageversionsnummer ein.
    5. Wählen Sie als Quelle entweder Speicher-Blobs (VHD) oder verwaltetes Image aus.
    6. Wenn Sie Speicher blobs (VHD) ausgewählt haben, geben Sie eine Betriebssystemdatenträger-VHD (ohne den VM-Gaststatus) ein. Stellen Sie sicher, dass Sie eine Gen 2 VHD verwenden.
    7. Wenn Sie Verwaltetes Image ausgewählt haben, wählen Sie ein vorhandenes verwaltetes Image einer Gen2-VM aus.
    8. Wählen oder erstellen Sie einen Katalog für Ziel-Azure Compute Gallery, um das Image freizugeben.
    9. Wählen Sie für den Betriebssystemzustand je nach Ihrem Anwendungsfall Generalisiert oder Spezialisiert aus. Wenn Sie ein verwaltetes Image als Quelle verwenden, wählen Sie immer Generalisiert aus. Wenn Sie ein Speicher-Blob (VHD) verwenden und Generalisiert auswählen möchten, führen Sie die Schritte aus, um eine Linux-VHD zu generalisieren oder eine Windows-VHD zu generalisieren, bevor Sie fortfahren.
    10. Wählen Sie für die Ziel-VM-Imagedefinition die Option Neu erstellen aus.
    11. Geben Sie im Bereich VM-Imagedefinition erstellen einen Namen für die Definition ein. Stellen Sie sicher, dass der Sicherheitstyp als Vertraulich unterstützt festgelegt ist. Geben Sie Herausgeber, Angebot und SKU-Informationen an. Wählen Sie anschließend OK aus.
  5. Mit der Registerkarte Replikation können die Replikatanzahl und die Zielregionen für die Imagereplikation festgelegt werden, falls erforderlich.
  6. Geben Sie auf der Registerkarte Verschlüsselung SSE-Verschlüsselungsbezogene Informationen ein, falls erforderlich.
  7. Klicken Sie auf Überprüfen + erstellen.
  8. Nachdem die Konfiguration erfolgreich überprüft wurde, wählen Sie Erstellen aus, um das Erstellen des Images abzuschließen.
  9. Nachdem die Imageversion erfolgreich erstellt wurde, wählen Sie VM erstellen aus.

Nachdem Sie ein Image erfolgreich erstellt haben, können Sie dieses Image jetzt verwenden, um eine vertrauliche VM zu erstellen.

  1. Konfigurieren Sie auf der Seite Einen virtuellen Computer erstellen die Registerkarte Grundlagen:
    1. Erstellen Sie unter Projektdetails für Ressourcengruppe eine neue Ressourcengruppe oder wählen Sie eine bestehende Ressourcengruppe aus.
    2. Geben Sie unter Instanzdetails einen VM-Namen ein und wählen Sie einen Bereich aus, der vertrauliche VMs unterstützt. Weitere Informationen finden Sie in der Reihe vertraulicher VMs in der Tabelle VM-Produkte verfügbar nach Region.
    3. Wenn Sie ein vertrauliches Image verwenden, wird der Sicherheitstyp auf vertrauliche virtuelle Computer festgelegt und kann nicht geändert werden. Wenn Sie ein Image der Art Vertraulich unterstützt verwenden, müssen Sie den Sicherheitstyp als Vertrauliche virtuelle Computer aus Standard auswählen.
    4. vTPM ist standardmäßig aktiviert und kann nicht geändert werden.
    5. Secure Boot ist standardmäßig aktiviert. Um die Einstellung zu ändern, verwenden Sie Sicherheitsfeatures konfigurieren. Der sichere Start ist erforderlich, um vertrauliche Compute-Verschlüsselung zu verwenden.
  2. Konfigurieren Sie auf der Registerkarte Datenträger Ihre Verschlüsselungseinstellungen bei Bedarf.
    1. Wenn Sie ein vertrauliches Bild verwenden, werden die vertrauliche Compute-Verschlüsselung und der vertrauliche Datenträgerverschlüsselungssatz (wenn Sie kundenverwaltete Schlüssel verwenden) basierend auf der ausgewählten Imageversion ausgefüllt und können nicht geändert werden.
    2. Wenn Sie ein Image der Art Vertraulich unterstützt verwenden, können Sie bei Bedarf vertrauliche Compute-Verschlüsselung auswählen. Geben Sie dann einen vertraulichen Datenträgerverschlüsselungssatz an, wenn Sie kundengesteuerte Schlüssel verwenden möchten.
  3. Geben Sie die Administratorkontoinformationen ein.
  4. Konfigurieren Sie alle eingehenden Portregeln.
  5. Klicken Sie auf Überprüfen + erstellen.
  6. Überprüfen Sie auf der Überprüfungsseite die Details des virtuellen Computers.
  7. Wenn die Überprüfung erfolgreich verläuft, wählen Sie Erstellen aus, um das Erstellen der VM abzuschließen.

Nächste Schritte

Weitere Informationen zu vertraulichem Computing finden Sie auf der Seite Vertrauliches Computing.