Guia de início rápido: implantar uma VM confidencial a partir de uma imagem da Galeria de Computação do Azure usando o portal do Azure

As máquinas virtuais confidenciais do Azure dão suporte à criação e ao compartilhamento de imagens personalizadas usando a Galeria de Computação do Azure. Há dois tipos de imagens que você pode criar, com base nos tipos de segurança da imagem:

  • As imagens confidenciais da VM (ConfidentialVM) são imagens em que a fonte já tem as informações de estado do Convidado da VM. Esse tipo de imagem também pode ter a criptografia de disco confidencial habilitada.
  • As imagens confidenciais suportadas por VM (ConfidentialVMSupported) são imagens em que a origem não tem informações de estado do Convidado da VM e a encriptação de disco confidencial não está ativada.

Imagens confidenciais de VM

Para as seguintes fontes de imagem, o tipo de segurança na definição de imagem deve ser definido como ConfidentialVM uma vez que a fonte da imagem já tem informações de Estado Convidado da VM e também pode ter a criptografia de disco confidencial habilitada:

  • Captura confidencial de VM
  • Disco SO gerido
  • Instantâneo de disco do sistema operacional gerenciado

A versão da imagem resultante só pode ser usada para criar VMs confidenciais.

Essa versão da imagem pode ser replicada dentro da região de origem, mas não pode ser replicada para uma região diferente ou entre assinaturas atualmente.

Nota

Se você quiser criar uma imagem de uma VM confidencial do Windows que tenha a criptografia de disco de computação confidencial habilitada com uma chave gerenciada pela plataforma ou uma chave gerenciada pelo cliente, você só poderá criar uma imagem especializada. Essa limitação existe porque a ferramenta de generalização (sysprep) pode não ser capaz de generalizar a fonte de imagem criptografada. Essa limitação se aplica ao disco do sistema operacional, que é criado implicitamente junto com a VM confidencial do Windows, e ao instantâneo criado a partir desse disco do sistema operacional.

Criar uma imagem do tipo VM confidencial usando a captura de VM confidencial

  1. Inicie sessão no portal do Azure.
  2. Vá para o serviço Máquinas virtuais.
  3. Abra a VM confidencial que você deseja usar como fonte da imagem.
  4. Se quiser criar uma imagem generalizada, remova as informações específicas da máquina antes de criar a imagem.
  5. Selecione Capturar.
  6. Na página Criar uma imagem que é aberta, crie a definição e a versão da imagem.
    1. Permita que a imagem seja compartilhada na Galeria de Computação do Azure como uma versão de imagem de VM. As imagens gerenciadas não são suportadas para VMs confidenciais.
    2. Crie uma nova galeria ou selecione uma galeria existente.
    3. Para o estado do sistema operacional, selecione Generalizado ou Especializado, dependendo do seu caso de uso.
    4. Crie uma definição de imagem fornecendo um nome, editor, oferta e detalhes de SKU. Verifique se o tipo de segurança está definido como Confidencial.
    5. Forneça um número de versão para a imagem.
    6. Para Replicação, modifique a contagem de réplicas, se necessário.
    7. Selecione Rever + Criar.
    8. Quando a validação da imagem for bem-sucedida, selecione Criar para concluir a criação da imagem.
  7. Selecione a versão da imagem para ir diretamente para o recurso. Ou, você pode ir para a versão da imagem através da definição da imagem. A definição de imagem também mostra o tipo de criptografia, para que você possa verificar se a imagem e a VM de origem coincidem.
  8. Na página da versão da imagem, selecione Criar VM.

Agora, você pode criar uma VM confidencial a partir de sua imagem personalizada.

Criar uma imagem confidencial do tipo VM a partir de disco gerenciado ou instantâneo

  1. Inicie sessão no portal do Azure.
  2. Se você quiser criar uma imagem generalizada, remova as informações específicas da máquina para o disco ou instantâneo antes de criar a imagem.
  3. Procure e selecione Versões de imagem de VM na barra de pesquisa.
  4. Selecione Criar
  5. Na guia Noções básicas da página Criar versão da imagem da VM:
    1. Selecione uma subscrição do Azure.
    2. Selecione um grupo de recursos existente ou crie um novo grupo de recursos.
    3. Selecione uma região do Azure.
    4. Insira um número de versão para a imagem.
    5. Em Source, selecione Disks e/ou Snapshots.
    6. Para o disco do sistema operacional, selecione um disco gerenciado ou um instantâneo de disco gerenciado.
    7. Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
    8. Para Estado do sistema operacional, selecione Generalizado ou Especializado , dependendo do seu caso de uso.
    9. Para Definição de imagem da VM de destino, selecione Criar nova.
    10. No painel Criar uma definição de imagem VM, insira um nome para a definição. Certifique-se de que o tipo de Segurança é Confidencial. Insira as informações do editor, da oferta e da SKU. Em seguida, selecione Ok.
  6. Na guia Criptografia, verifique se o tipo de criptografia de computação confidencial corresponde ao disco de origem ou ao tipo de instantâneo.
  7. Selecione Rever + Criar para rever as suas definições.
  8. Depois que as configurações forem validadas, selecione Criar para concluir a criação da versão da imagem.
  9. Depois que a versão da imagem for criada com êxito, selecione Criar VM.

Agora, você pode criar uma VM confidencial a partir de sua imagem personalizada.

Imagens confidenciais suportadas por VM

Para as seguintes fontes de imagem, o tipo de segurança na definição de imagem deve ser definido como ConfidentialVMSupported uma vez que a fonte da imagem não tem informações de estado do Convidado da VM e criptografia de disco confidencial:

  • VHD do disco do SO
  • Imagem gerenciada Gen2

A versão da imagem resultante pode ser usada para criar VMs do Azure Gen2 ou VMs confidenciais.

Esta imagem pode ser replicada dentro da região de origem e para diferentes regiões de destino.

Nota

O VHD do disco do SO ou a Imagem Gerenciada deve ser criada a partir de uma imagem compatível com VM confidencial. O tamanho do VHD ou da imagem gerenciada deve ser inferior a 32 GB

Criar uma imagem de tipo confidencial suportada por VM

  1. Inicie sessão no portal do Azure.
  2. Pesquisar e selecionar versões de imagem de VM na barra de pesquisa
  3. Na página Versões de imagem da VM, selecione Criar.
  4. Na página Criar versão da imagem da VM, na guia Noções básicas:
    1. Selecione a assinatura do Azure.
    2. Selecione um grupo de recursos existente ou crie um novo grupo de recursos.
    3. Selecione a região do Azure.
    4. Insira um número de versão da imagem.
    5. Em Source, selecione Storage Blobs (VHD) ou Managed Image.
    6. Se você selecionou Blobs de Armazenamento (VHD), insira um VHD de disco do sistema operacional (sem o estado Convidado da VM). Certifique-se de usar um VHD Gen 2.
    7. Se você selecionou Imagem gerenciada, selecione uma imagem gerenciada existente de uma VM Gen 2.
    8. Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
    9. Para Estado do sistema operacional, selecione Generalizado ou Especializado , dependendo do seu caso de uso. Se você estiver usando uma imagem gerenciada como fonte, sempre selecione Generalizado. Se você estiver usando um blob de armazenamento (VHD) e quiser selecionar Generalizado, siga as etapas para generalizar um VHD Linux ou generalizar um VHD do Windows antes de continuar.
    10. Para Definição de Imagem da VM de Destino, selecione Criar novo.
    11. No painel Criar uma definição de imagem VM, insira um nome para a definição. Certifique-se de que o tipo de segurança está definido como Confidencial suportado. Insira as informações do editor, da oferta e da SKU. Em seguida, selecione Ok.
  5. Na guia Replicação, insira a contagem de réplicas e as regiões de destino para replicação de imagens, se necessário.
  6. Na guia Criptografia, insira informações relacionadas à criptografia SSE, se necessário.
  7. Selecione Rever + Criar.
  8. Depois que a configuração for validada com êxito, selecione Criar para concluir a criação da imagem.
  9. Depois que a versão da imagem for criada, selecione Criar VM.

Agora que você criou uma imagem com êxito, agora pode usá-la para criar uma VM confidencial.

  1. Na página Criar uma máquina virtual, configure a guia Noções básicas:
    1. Em Detalhes do projeto, para Grupo de recursos, crie um novo grupo de recursos ou selecione um grupo de recursos existente.
    2. Em Detalhes da instância, insira um nome de VM e selecione uma região que ofereça suporte a VMs confidenciais. Para obter mais informações, localize a série de VM confidencial na tabela de produtos VM disponíveis por região.
    3. Se estiver a utilizar uma imagem Confidencial , o tipo de segurança é definido como Máquinas virtuais Confidenciais e não pode ser modificado. Se estiver a utilizar uma imagem Confidencial Suportada , tem de selecionar o tipo de segurança como Máquinas virtuais Confidenciais a partir de Standard.
    4. O vTPM está ativado por padrão e não pode ser modificado.
    5. A Inicialização Segura está habilitada por padrão. Para modificar a configuração, use Configurar recursos de segurança. A Inicialização Segura é necessária para usar criptografia de computação confidencial.
  2. Na guia Discos, defina as configurações de criptografia, se necessário.
    1. Se você estiver usando uma imagem confidencial , a criptografia de computação confidencial e o conjunto de criptografia de disco confidencial (se você estiver usando chaves gerenciadas pelo cliente) serão preenchidos com base na versão da imagem selecionada e não poderão ser modificados.
    2. Se estiver a utilizar uma imagem suportada por Confidencial, pode selecionar encriptação de computação confidencial, se necessário. Em seguida, forneça um conjunto confidencial de criptografia de disco, se quiser usar chaves gerenciadas pelo cliente.
  3. Insira as informações da conta de administrador.
  4. Configure quaisquer regras de porta de entrada.
  5. Selecione Rever + Criar.
  6. Na página de validação, revise os detalhes da VM.
  7. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

Próximos passos

Para obter mais informações sobre computação confidencial, consulte a página de visão geral de computação confidencial.