Краткое руководство: Развертывание конфиденциальной виртуальной машины из образа Галереи образов Azure с помощью портала Azure.

Azure Confidential Virtual Machines поддерживают создание и совместное использование пользовательских образов с помощью Azure Compute Gallery. Существует два типа изображений, которые можно создать на основе типов безопасности образа:

• ConfidentialVM, в которых источник уже содержит сведения о состоянии гостевой виртуальной машины. Этот тип образа также может включать шифрование конфиденциальных дисков.
• ConfidentialVMSupported, в которых источник не содержит сведения о состоянии гостевой виртуальной машины, а шифрование конфиденциальных дисков не включено.

Конфиденциальные образы виртуальных машин

Для следующих источников образов тип безопасности в определении образа должен быть установлен ConfidentialVM, так как источник уже содержит информацию о состоянии виртуальной машины (VM) и также может включать шифрование конфиденциальных дисков:

• Захват конфиденциальной виртуальной машины
• Управляемый диск ОС
• Снимок управляемого диска операционной системы

Результирующая версия образа может использоваться только для создания конфиденциальных виртуальных машин.

Эта версия образа может быть реплицирована в исходном регионе , но в настоящее время не может быть реплицирована в другой регион или между подписками.

Создание образа типа конфиденциальной виртуальной машины с помощью записи конфиденциальных виртуальных машин

1. Войдите на портал Azure.
2. Перейдите в службу виртуальных машин .
3. Откройте конфиденциальную виртуальную машину, которую вы хотите использовать в качестве источника образа.
4. Если вы хотите создать обобщенное изображение, удалите сведения для конкретного компьютера перед созданием образа.
5. Выберите Запись.
6. На открывающейся странице создания изображения создайте определение и версию образа.
   1. Разрешить общий доступ образа к коллекции вычислений Azure в качестве версии образа виртуальной машины. Управляемые образы не поддерживаются для конфиденциальных виртуальных машин.
   2. Создайте новую коллекцию или выберите существующую коллекцию.
   3. Для состояния операционной системы выберите "Обобщенный" или "Специализированный" в зависимости от варианта использования.
   4. Создайте определение изображения, указав имя, издателя, предложение и номер SKU. Убедитесь, что для типа безопасности задано значение "Конфиденциально".
   5. Укажите номер версии для образа.
   6. При необходимости измените число реплик для репликации.
   7. Выберите Проверить и создать.
   8. После успешной проверки образа нажмите кнопку "Создать ", чтобы завершить создание образа.
7. Выберите версию образа, чтобы перейти к ресурсу напрямую. Кроме того, можно перейти к версии образа с помощью определения образа. Определение образа также показывает тип шифрования, чтобы проверить соответствие образа и исходной виртуальной машины.
8. На странице версии образа выберите "Создать виртуальную машину".

Теперь вы можете создать конфиденциальную виртуальную машину из пользовательского образа.

Создать образ конфиденциальной виртуальной машины из управляемого диска или моментального снимка

1. Войдите на портал Azure.
2. Если вы хотите создать обобщенный образ, удалите информацию, специфичную для машины, из диска или моментального снимка перед созданием образа.
3. В строке поиска найдите и выберите версии образов ВМ.
4. Нажмите кнопку Создать
5. На вкладке "Основные сведения" на странице "Создание образа виртуальной машины"
   1. Выберите подписку Azure.
   2. Выберите существующую группу ресурсов или создайте новую группу ресурсов.
   3. Выберите регион Azure.
   4. Введите номер версии для изображения.
   5. В качестве источника выберите диски и (или) моментальные снимки.
   6. Для диска ОС выберите либо управляемый диск, либо моментальный снимок этого диска.
   7. Для целевой галереи вычислений Azure выберите или создайте галерею для общего доступа к образу.
   8. Для состояния операционной системы выберите "Обобщенный " или "Специализированный " в зависимости от варианта использования.
   9. Для определения образа целевой виртуальной машины нажмите кнопку "Создать".
   10. В области Создание определения образа ВМ введите имя для определения. Убедитесь, что тип безопасности является конфиденциальным. Введите сведения о издателе, предложении и номере SKU. Затем нажмите кнопку "ОК".
6. На вкладке "Шифрование" убедитесь, что тип шифрования конфиденциальных вычислений соответствует исходному диску или типу моментального снимка.
7. Нажмите кнопку "Рецензирование и создание", чтобы просмотреть параметры.
8. После проверки параметров нажмите кнопку "Создать ", чтобы завершить создание версии образа.
9. После успешного создания версии образа нажмите кнопку "Создать виртуальную машину".

Теперь вы можете создать конфиденциальную виртуальную машину из пользовательского образа.

Поддерживаемые образы конфиденциальных виртуальных машин

Для следующих источников образов необходимо задать ConfidentialVMSupported тип безопасности определения образа, так как источник образа не содержит сведения о состоянии гостевой виртуальной машины и шифрование конфиденциальных дисков:

• VHD-диск ОС
• Управляемый образ 2-го поколения

Полученную версию образа можно использовать для создания виртуальных машин Azure 2-го поколения или конфиденциальных виртуальных машин.

Это изображение можно воспроизвести в исходном регионе и в разных целевых регионах.

Создание образа поддерживаемого типа конфиденциальной виртуальной машины

1. Войдите на портал Azure.
2. Поиск и выбор версий образов виртуальной машины в строке поиска
3. На странице версий образов виртуальной машины нажмите кнопку "Создать".
4. На странице "Создание образа виртуальной машины" на вкладке "Основные сведения":
   1. Выберите подписку Azure.
   2. Выберите существующую группу ресурсов или создайте новую.
   3. Выберите регион Azure.
   4. Введите номер версии образа.
   5. Для источника выберите либо двоичные объекты хранилища (VHD), либо управляемый образ.
   6. Если выбрано Blob-хранилище (VHD), введите виртуальный жесткий диск операционной системы (без состояния гостевой виртуальной машины). Обязательно используйте VHD 2-го поколения.
   7. Если выбран управляемый образ, выберите существующий управляемый образ виртуальной машины 2-го поколения.
   8. Для целевой коллекции вычислений Azure выберите или создайте коллекцию, чтобы предоставить общий доступ к изображению.
   9. Для состояния операционной системы выберите "Обобщенный " или "Специализированный " в зависимости от варианта использования. Если вы используете управляемый образ в качестве источника, всегда выберите "Обобщенный". Если вы используете большой двоичный объект хранилища (VHD) и хотите выбрать Обобщённый, выполните действия по обобщению виртуального жесткого диска Linux или обобщению виртуального жесткого диска Windows перед продолжением.
   10. Для определения образа целевой виртуальной машины нажмите кнопку "Создать".
   11. В области Создание определения образа ВМ введите имя для определения. Убедитесь, что для типа безопасности задано значение "Конфиденциальный". Введите сведения о издателе, предложении и номере SKU. Затем нажмите кнопку "ОК".
5. На вкладке "Репликация" введите количество реплик и целевые регионы для репликации изображений при необходимости.
6. На вкладке "Шифрование" введите сведения, связанные с шифрованием SSE, при необходимости.
7. Выберите Проверить и создать.
8. После успешной проверки конфигурации нажмите кнопку "Создать ", чтобы завершить создание образа.
9. После создания версии образа нажмите кнопку "Создать виртуальную машину".

Создание конфиденциальной виртуальной машины из образа галереи

Теперь, когда вы успешно создали образ, вы можете использовать этот образ для создания конфиденциальной виртуальной машины.

1. На странице "Создание виртуальной машины" настройте вкладку "Основные сведения":
   1. В разделе "Сведения о проекте" для группы ресурсов создайте новую группу ресурсов или выберите существующую группу ресурсов.
   2. В разделе " Сведения об экземпляре" введите имя виртуальной машины и выберите регион, поддерживающий конфиденциальные виртуальные машины. Для получения дополнительной информации найдите серию конфиденциальных виртуальных машин в таблице продуктов виртуальных машин, доступных по регионам.
   3. Если вы используете конфиденциальный образ, тип безопасности имеет значение "Конфиденциальные виртуальные машины" и не может быть изменен. Если вы используете изображение с поддержкой конфиденциальности , необходимо выбрать тип безопасности как Конфиденциальные виртуальные машины из Стандартный.
   4. VTPM включен по умолчанию и не может быть изменен.
   5. Безопасная загрузка включена по умолчанию. Чтобы изменить этот параметр, используйте функции настройки безопасности. Безопасная загрузка требуется для использования шифрования конфиденциальных вычислений.
2. На вкладке "Диски" при необходимости настройте параметры шифрования.
   1. Если вы используете конфиденциальный образ, шифрование конфиденциальных вычислений и набор шифрования конфиденциальных дисков (если вы используете ключи, управляемые клиентом), заполняются на основе выбранной версии образа и не могут быть изменены.
   2. Если вы используете образ, поддерживаемый Confidential, при необходимости можно выбрать шифрование для конфиденциальных вычислений. Затем укажите набор шифрования конфиденциальных дисков, если вы хотите использовать ключи, управляемые клиентом.
3. Введите сведения об учетной записи администратора.
4. Настройте все правила входящего порта.
5. Выберите Проверить и создать.
6. На странице проверки просмотрите сведения о виртуальной машине.
7. После успешной проверки нажмите кнопку "Создать ", чтобы завершить создание виртуальной машины.

Следующие шаги

Дополнительные сведения о конфиденциальных вычислениях см. на странице обзора конфиденциальных вычислений.