Início Rápido: Criar uma VM confidencial no portal do Azure

Você pode usar o portal do Azure para criar rapidamente uma VM confidencial baseada em uma imagem do Azure Marketplace. Há várias opções de VM confidenciais no AMD e na Intel com tecnologia AMD SEV-SNP e Intel TDX.

Pré-requisitos

  • Uma assinatura do Azure. As contas de avaliação gratuita não têm acesso às VMs usadas neste tutorial. Uma opção é usar uma assinatura paga conforme o uso.

  • Se você estiver usando uma VM confidencial baseada em Linux, use um shell BASH para SSH ou instale um cliente SSH, como o PuTTY.

  • Se a criptografia de disco confidencial com uma chave gerenciada pelo cliente for necessária, execute o comando abaixo para aceitar a entidade de serviço Confidential VM Orchestrator para seu locatário. Instalar o SDK do Microsoft Graph para executar os comandos abaixo.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
    New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
    

Criar VM confidencial

Para criar uma VM confidencial no portal do Azure usando uma imagem do Azure Marketplace:

  1. Entre no portal do Azure.

  2. Selecione ou pesquise por Máquinas virtuais.

  3. No menu da página Máquinas virtuais, selecione Criar>Máquina virtual.

  4. Na guia Básico, configure os seguintes valores:

    a. Em Detalhes do projeto, para Assinatura, selecione uma assinatura do Azure que atenda aos pré-requisitos.

    b. Para Grupo de recursos, selecione Criar para criar um grupo de recursos. Insira um nome e selecione OK.

    c. Em Detalhes da instância, para Nome da máquina virtual, insira um nome para a nova VM.

    d. Para Região, selecione a região do Azure na qual deseja implantar a VM.

    Observação

    As VMs confidenciais não estão disponíveis em todos os locais. Para locais com suporte no momento, confira quais produtos de VM estão disponíveis por região do Azure.

    e. Para Opções de disponibilidade, selecione Nenhuma redundância de infraestrutura necessária para VMs isoladas ou Conjunto de dimensionamento de máquinas virtuais para várias VMs.

    f. Para Tipo de segurança, selecione Máquinas virtuais confidenciais.

    g. Para Imagem, selecione a imagem do SO a ser usada para sua VM. Opcionalmente, selecione Ver todas as imagens pata abrir o Azure Marketplace. Selecione o filtro Tipo de Segurança>Confidencial para mostrar todas as imagens de VM confidenciais disponíveis.

    .h Alterne para as imagens da Geração 2. VMs confidenciais são executadas somente em imagens da Geração 2. Para garantir, em Imagem, selecione Configurar geração da VM. No painel Configurar geração da VM, para geração da VM, selecione Geração 2. Em seguida, selecione Aplicar.

    Observação

    Para a série NCCH100v5, só há suporte no momento à imagem do Ubuntu Server 22.04 LTS (VM confidencial).

    i. Para Tamanho, selecione um tamanho de VM. Para obter mais informações, confira famílias de VMs confidenciais com suporte.

    j. Selecione Tipo de autenticação. Se estiver criando uma VM do Linux, selecione Chave pública SSH. Se ainda não tiver chaves SSH, crie chaves SSH para suas VMs Linux.

    k. Em Conta de administrador, para Nome de usuário, insira um nome de administrador para a VM.

    l. Para Chave pública SSH, se aplicável, insira a chave pública RSA.

    m. Para Senha e Confirmar senha, se aplicável, insira uma senha de administrador.

    n. Em Regras de porta de entrada, para Portas de entrada públicas, selecione Permitir portas selecionadas.

    o. Para Selecionar portas de entrada, selecione as portas de entrada no menu suspenso. Para VMs Windows, selecione HTTP (80) e RDP (3389). Para VMs Linux, selecione SSH (22) e HTTP (80).

    Observação

    A permissão de portas RDP/SSH não é recomendada para implantações de produção.

  5. Na guia Discos, configure os seguintes valores:

    1. Em Opções de disco, habilite Criptografia de disco de sistema operacional confidencial se quiser criptografar o disco do sistema operacional da sua VM durante a criação.

    2. Para Gerenciamento de Chaves, selecione o tipo de chave a ser usado.

    3. Se a Criptografia de disco confidencial com uma chave gerenciada pelo cliente for selecionada, crie um Conjunto de criptografia de disco confidencial antes de criar sua VM confidencial.

    4. Se você quiser criptografar o disco temporário da VM, confira a documentação a seguir.

  6. (Opcional) Se necessário, você precisa criar um conjunto de criptografia de disco Confidencial da seguinte maneira.

    1. Crie um Azure Key Vault usando o tipo de preço Premium que inclui suporte para chaves com suporte de HSM. Também é importante habilitar a proteção contra limpeza para medidas de segurança adicionais. Além disso, para a configuração de acesso, use a "política de acesso do cofre" na guia "Configuração de acesso". Como alternativa, você pode criar um Módulo de Segurança de Hardware (HSM) gerenciado do Azure Key Vault.

    2. No portal do Azure, pesquise e selecione Conjuntos de criptografia de disco.

    3. Selecione Criar.

    4. Em Assinatura, selecione a assinatura do Azure que será usada.

    5. Em Grupo de recursos, selecione ou crie um novo grupo de recursos para usar.

    6. Em Nome do conjunto de criptografia de disco, insira um nome para o conjunto.

    7. Em Região, selecione uma região disponível do Azure.

    8. Em Tipo criptografia, selecione Criptografia de disco confidencial com uma chave gerenciada pelo cliente.

    9. Em Cofre de chaves, selecione o cofre de chaves que você já criou.

    10. Em Cofre de chaves, selecione Criar novo para criar uma nova chave.

      Observação

      Se você selecionou um HSM gerenciado do Azure anteriormente, use o PowerShell ou a CLI do Azure para criar a nova chave.

    11. Em Nome, insira um nome para a chave.

    12. Para o tipo de chave, selecione RSA-HSM

    13. Selecione o tamanho da chave

    n. Em Opções de Chave Confidencial, selecione Exportável e configure a política de operação Confidencial como política de operação confidencial CVM.

    o. Selecione Criar para terminar de criar a chave.

    p. Selecione Examinar + criar para criar um novo conjunto de criptografia de disco. Aguarde a conclusão bem-sucedida da criação do recurso.

    q. Vá para o recurso de conjunto de criptografia de disco no portal do Azure.

    r. Quando você vir uma faixa de informações azul, siga as instruções fornecidas para conceder acesso. Ao encontrar uma faixa rosa, basta selecioná-la para conceder as permissões necessárias ao Azure Key Vault.

    Importante

    Você deve executar esta etapa para criar com êxito a VM confidencial.

  7. Conforme necessário, faça alterações nas configurações nas guias Rede, Gerenciamento, Configuração de Convidado e Marcas.

  8. Selecione Examinar + criar para validar a configuração.

  9. Aguarde a conclusão da validação. Se necessário, corrija os problemas de validação e selecione Revisar + criar novamente.

  10. No painel Examinar + criar, selecione Criar.

Conectar-se à VM confidencial

Há diferentes métodos para se conectar a VMs confidenciais do Windows e VMs confidenciais do Linux.

Conectar-se a VMs do Windows

Para se conectar a uma VM confidencial com um SO Windows, confira Como se conectar e entrar em uma máquina virtual do Azure que executa o Windows.

Conectar-se a VMs do Linux

Para se conectar a uma VM confidencial com um SO Linux, consulte as instruções para o SO do seu computador.

Antes de começar, verifique se você tem o endereço IP público da VM. Para encontrar o endereço IP:

  1. Entre no portal do Azure.

  2. Selecione ou pesquise por Máquinas virtuais.

  3. Na página Máquinas virtuais, selecione a VM confidencial.

  4. Na página de visão geral da VM confidencial, copie o endereço IP público.

    Para obter mais informações sobre como se conectar a VMs do Linux, consulte Início Rápido: Criar uma máquina virtual do Linux no portal do Azure.

  5. Abra o cliente SSH, como o PuTTY.

  6. Insira o endereço IP público da VM confidencial.

  7. Conecte-se à VM. No PuTTY, selecione Abrir.

  8. Insira o nome de usuário de administrador e a senha da VM.

    Observação

    Se estiver usando o PuTTY, você poderá receber um alerta de segurança informando de que a chave de host do servidor não está armazenada em cache no registro. Se você confia no host, selecione Sim para adicionar a chave ao cache do PuTTY e continuar a conexão. Para se conectar apenas uma vez, sem adicionar a chave, selecione Não. Se você não confia no host, selecione Cancelar para abandonar a conexão.

Limpar os recursos

Depois de concluir o início rápido, você pode limpar a VM confidencial, o grupo de recursos e outros recursos relacionados.

  1. Entre no portal do Azure.

  2. Selecione ou pesquise Grupos de recursos.

  3. Na página Grupos de recursos, selecione o grupo de recursos criado para este início rápido.

  4. No menu do grupo de recursos, selecione Excluir grupo de recursos.

  5. No painel de aviso, insira o nome do grupo de recursos para confirmar a exclusão.

  6. Selecione Excluir.

Próximas etapas