Guida introduttiva: Distribuire una macchina virtuale riservata da un'immagine della Raccolta di calcolo di Azure usando il portale di Azure
Le macchine virtuali riservate di Azure supportano la creazione e la condivisione di immagini personalizzate con Raccolta di calcolo di Azure. Esistono due tipi di immagini che è possibile creare, in base ai tipi di sicurezza dell'immagine:
- Le immagini di macchine virtuali riservate (
ConfidentialVM
) sono immagini in cui l'origine contiene già le informazioni sullo stato guest della macchina virtuale. Questo tipo di immagine potrebbe anche avere la crittografia del disco riservato abilitata. - Le immagini supportate da macchine virtuali riservate (
ConfidentialVMSupported
) sono immagini in cui l'origine non dispone di informazioni sullo stato guest della macchina virtuale e la crittografia del disco riservato non è abilitata.
Immagini di macchine virtuali riservate
Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su ConfidentialVM
come origine dell'immagine dispone già di informazioni sullo stato guest della macchina virtuale e potrebbe essere abilitata anche la crittografia del disco riservato:
- Acquisizione di macchine virtuali riservate
- Disco del sistema operativo gestito
- Snapshot del disco del sistema operativo gestito
La versione dell'immagine risultante può essere usata solo per creare macchine virtuali riservate.
Questa versione dell'immagine può essere replicata all'interno dell'area di origine, ma non può essere replicata in un'area diversa o tra sottoscrizioni.
Nota
Se si vuole creare un'immagine da una macchina virtuale riservata Windows con crittografia del disco di confidential computing abilitata con una chiave gestita dalla piattaforma o una chiave gestita dal cliente, è possibile creare solo un'immagine specializzata. Questa limitazione esiste perché lo strumento di generalizzazione (sysprep) potrebbe non essere in grado di generalizzare l'origine dell’immagine crittografata. Questa limitazione si applica al disco del sistema operativo, creato in modo implicito insieme alla macchina virtuale riservata di Windows e allo snapshot creato da questo disco del sistema operativo.
Creare un'immagine del tipo di macchina virtuale riservata usando l'acquisizione di macchine virtuali riservate
- Accedere al portale di Azure.
- Passare al servizio Macchine virtuali.
- Aprire la macchina virtuale riservata che si vuole usare come origine dell'immagine.
- Per creare un'immagine generalizzata, rimuovere le informazioni specifiche del computer prima di creare l'immagine.
- Selezionare Acquisisci.
- Nella pagina Crea un'immagine visualizzata creare la definizione e la versione dell'immagine.
- Consentire la condivisione dell'immagine nella Raccolta di calcolo di Azure come versione dell'immagine della macchina virtuale. Le immagini gestite non sono supportate per le macchine virtuali riservate.
- Creare una nuova raccolta o selezionare una raccolta esistente.
- Per lo Stato del sistema operativo, selezionare Generalizzato o Specializzato, a seconda del caso d'uso.
- Creare una definizione di immagine specificando un nome, un editore, un'offerta e i dettagli dello SKU. Assicurarsi che il tipo di sicurezza sia impostato su Riservato.
- Specificare un numero di versione per l'immagine.
- Su Replica modificare il numero di repliche, se necessario.
- Selezionare Rivedi e crea.
- Quando la convalida dell'immagine ha esito positivo, selezionare Crea per completare la creazione dell'immagine.
- Selezionare la versione dell'immagine per passare direttamente alla risorsa. In alternativa, è possibile passare alla versione dell'immagine tramite la definizione dell'immagine. La definizione dell'immagine mostra anche il tipo di crittografia, in modo da poter verificare che l'immagine e la macchina virtuale di origine corrispondano.
- Nella pagina della versione dell'immagine, selezionare Crea macchina virtuale.
È ora possibile creare una macchina virtuale riservata dall'immagine personalizzata.
Creare un'immagine del tipo di macchina virtuale riservata da un disco gestito o uno snapshot
- Accedere al portale di Azure.
- Per creare un'immagine generalizzata, rimuovere le informazioni specifiche del computer per il disco o lo snapshot prima di creare l'immagine.
- Cercare e selezionare Versioni immagine macchina virtuale nella barra di ricerca.
- Selezionare Crea.
- Nella scheda Informazioni di base della pagina Crea versione dell'immagine della macchina virtuale:
- Selezionare una sottoscrizione di Azure.
- Selezionare un gruppo di risorse esistente o crearne uno nuovo.
- Selezionare un'area di Azure.
- Immettere un numero di versione per l'immagine.
- In Origine, selezionare Dischi e/o Snapshot.
- In Discodel sistema operativo, selezionare un disco gestito o lo snapshot del disco gestito.
- In Raccolta di calcolo di Azure di destinazione selezionare o creare una raccolta in cui condividere l'immagine.
- In Stato del sistema operativo selezionare Generalizzato o Specializzato a seconda del caso d'uso.
- Per Definizione dell'immagine della macchina virtuale di destinazione selezionare Crea nuovo.
- Nel riquadro Crea una definizione di immagine di macchina virtuale immettere un nome per la definizione. Assicurarsi che il Tipo di sicurezza sia Riservato. Immettere le informazioni sull'editore, sull'offerta e sullo SKU. Quindi selezionare OK.
- Nella scheda Crittografia, verificare che il Tipo di crittografia di confidential computing corrisponda al tipo di disco di origine o allo snapshot.
- Selezionare Revisione e Creazione per rivedere le impostazioni.
- Dopo aver convalidato le impostazioni, selezionare Crea per completare la creazione della versione dell'immagine.
- Dopo aver creato correttamente la versione dell'immagine, selezionare Crea macchina virtuale.
È ora possibile creare una macchina virtuale riservata dall'immagine personalizzata.
Immagini supportate per le macchine virtuali riservate
Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su ConfidentialVMSupported
perché l'origine dell'immagine non dispone di informazioni sullo stato guest della macchina virtuale e crittografia del disco riservato:
- Disco del sistema operativo VHD
- Immagine gestita Gen2
La versione dell'immagine risultante può essere usata per creare macchine virtuali di Azure Gen2 o macchine virtuali riservate.
Questa immagine può essere replicata all'interno dell'area di origine e in aree di destinazione diverse.
Nota
Il disco rigido virtuale del sistema operativo o l'immagine gestita devono essere creati da un'immagine compatibile con la macchina virtuale riservata. Le dimensioni del disco rigido virtuale o dell'immagine gestita devono essere inferiori a 32 GB
Creare un'immagine del tipo di macchina virtuale riservata supportata
- Accedere al portale di Azure.
- Cercare e selezionare le Versioni delle immagini della macchina virtuale nella barra di ricerca
- Nella pagina Versioni delle immagini della macchina virtuale selezionare Crea.
- Nella pagina Crea versione dell'immagine della macchina virtuale, all’interno della scheda Informazioni di base:
- Selezionare l’abbonamento di Azure.
- Selezionare un gruppo di risorse esistente o crearne uno nuovo.
- Selezionare l'area di Azure.
- Immettere un numero di versione dell'immagine.
- In Origine, selezionare BLOB di archiviazione (VHD) o Immagine gestita.
- Se è stato selezionato BLOB di archiviazione (VHD),, immettere un disco VHD del sistema operativo (senza lo stato guest della macchina virtuale). Assicurarsi di usare un VHD di seconda generazione.
- Se è stata selezionata Immagine gestita, selezionare un'immagine gestita esistente di una macchina virtuale di seconda generazione.
- In Raccolta di calcolo di Azure di destinazione selezionare o creare una raccolta per condividere l'immagine.
- In Stato del sistema operativo selezionare Generalizzato o Specializzato a seconda del caso d'uso. Se si usa un'immagine gestita come origine, selezionare sempre Generalizzata. Se si usa un BLOB di archiviazione (VHD) e si vuole selezionare Generalizzata, seguire la procedura per generalizzare un VHD Linux o generalizzare un VHD Windows prima di continuare.
- In Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo.
- Nel riquadro Crea una definizione di immagine di macchina virtuale immettere un nome per la definizione. Assicurarsi che il tipo di sicurezza sia impostato su Riservato supportato. Immettere le informazioni sull'editore, sull'offerta e sullo SKU. Quindi selezionare OK.
- Nella scheda Replica immettere il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
- Nella scheda Crittografia immettere le informazioni correlate alla crittografia SSE, se necessario.
- Selezionare Rivedi e crea.
- Dopo la convalida della configurazione, selezionare Crea per completare la creazione dell'immagine.
- Dopo aver creato la versione dell'immagine, selezionare Crea macchina virtuale.
Creare una macchina virtuale riservata dall'immagine della raccolta
Ora che è stata creata correttamente un'immagine, è possibile usare tale immagine per creare una macchina virtuale riservata.
- Nella pagina Crea una macchina virtuale configurare la scheda Informazioni di base:
- In Dettagli progetto, alla voce Gruppo di risorse, creare un nuovo gruppo di risorse o selezionare un gruppo di risorse esistente.
- In Dettagli istanza immettere un nome di macchina virtuale e selezionare un'area che supporta macchine virtuali riservate. Per altre informazioni, trovare la serie di macchine virtuali riservate nella tabella Prodotti di macchine virtuali disponibili in base all'area.
- Se si usa un'immagine Riservata, il tipo di sicurezza è impostato su Macchine virtuali riservate e non può essere modificato. Se si usa un'immagine Riservata supportata, è necessario selezionare il tipo di sicurezza impostandolo su Macchine virtuali riservate da Standard.
- TPM virtuale è abilitato per impostazione predefinita e non può essere modificato.
- Avvio protetto è abilitato per impostazione predefinita. Per modificare l'impostazione, usare Configura funzionalità di sicurezza. L'avvio protetto è necessario per usare la crittografia di calcolo riservato.
- Nella scheda Dischi configurare le impostazioni di crittografia, se necessario.
- Se si usa un'immagine Riservata, la crittografia di calcolo riservato e il set di crittografia dei dischi riservati (se si usano chiavi gestite dal cliente) vengono popolati in base alla versione dell'immagine selezionata e tale scelta non può essere modificata.
- Se si usa un'immagine supportata da Riservato, è possibile selezionare crittografia di confidential computing, se necessario. Specificare quindi un set di crittografia del disco riservato, se si vogliono usare chiavi gestite dal cliente.
- Immettere le informazioni sull'account amministratore.
- Configurare le regole delle porte in ingresso.
- Selezionare Rivedi e crea.
- Nella pagina di convalida esaminare i dettagli della macchina virtuale.
- Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.
Passaggi successivi
Per altre informazioni sul Confidential computing, vedere la pagina Panoramica sul Confidential computing.