Включение доверенного запуска на существующих виртуальных машинах Azure

Включите доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью портал Azure.

1. Войдите на портал Azure.

2. Убедитесь, что поколение виртуальной машины — версия 2 и выберите "Остановить " для виртуальной машины.

   

3. На странице "Обзор" в свойствах виртуальной машины в разделе "Тип безопасности" выберите "Стандартный". Откроется страница конфигурации виртуальной машины.

   

4. На странице "Конфигурация" в разделе "Тип безопасности" выберите раскрывающийся список типов безопасности.

   

5. В раскрывающемся списке выберите доверенный запуск. Установите флажки, чтобы включить безопасную загрузку и vTPM. После внесения изменений нажмите кнопку "Сохранить".

   Примечание.

   • Виртуальные машины поколения 2, созданные с помощью коллекции вычислений Azure (ACG), управляемого образа или диска ОС, нельзя обновить до доверенного запуска с помощью портала. Убедитесь, что версия ОС поддерживается для доверенного запуска. Используйте PowerShell, Azure CLI или шаблон Azure Resource Manager (шаблон ARM) для запуска обновления.

   

6. После успешного завершения обновления закройте страницу конфигурации . На странице "Обзор" в свойствах виртуальной машины подтвердите параметры типа безопасности.

   

7. Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью протокола удаленного рабочего стола (RDP) для виртуальных машин Windows или протокола Secure Shell (SSH) для виртуальных машин Linux.

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью Azure CLI.

Убедитесь, что вы установили последнюю версию Azure CLI и вошли в учетную запись Azure с помощью az login.

1. Войдите в подписку Azure виртуальной машины.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Освободите виртуальную машину.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Включите доверенный запуск, установив для TrustedLaunchпараметра --security-type значение .

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Проверьте выходные данные предыдущей команды. Убедитесь, что securityProfile конфигурация возвращается с выходными данными команды.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Запустите виртуальную машину.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью Azure PowerShell.

Установите последнюю версию Azure PowerShell и войдете в учетную запись Azure с помощью Connect-AzAccount.

1. Войдите в подписку Azure виртуальной машины.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Освободите виртуальную машину.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Включите доверенный запуск, установив для TrustedLaunchпараметра -SecurityType значение .

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Проверьте securityProfile в обновленной конфигурации виртуальной машины.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Запустите виртуальную машину.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью шаблона ARM.

Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.

1. Изучите шаблон.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Измените parameters JSON-файл с виртуальными машинами, которые будут обновлены с TrustedLaunch помощью типа безопасности.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Определение файла параметров

   Свойство	Описание свойства	Пример значения в шаблоне
   vmName	Имя виртуальной машины поколения 2 Azure.	myVm
   расположение	Расположение виртуальной машины поколения 2 Azure.	westus3
   secureBootEnabled	Включите безопасную загрузку с помощью типа безопасности доверенного запуска.	true

3. Отмена размещения всех виртуальных машин поколения 2 Azure, которые будут обновлены.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Запустите развертывание шаблона ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).