Condividi tramite


Avvio rapido: Creare una macchina virtuale riservata nel portale di Azure

Tramite il portale di Azure è possibile creare rapidamente una macchina virtuale riservata basata su un'immagine di Azure Marketplace. Sono disponibili diverse opzioni di macchine virtuali riservate in AMD e Intel con tecnologia AMD SEV-SNP e Intel TDX.

Prerequisiti

  • Una sottoscrizione di Azure. Le versioni di prova gratuite dell'account non possono accedere alle VM utilizzate in questa esercitazione. Una possibile opzione è l'uso di una sottoscrizione con pagamento in base al consumo.

  • Se si usa una macchina virtuale riservata basata su Linux, utilizzare una shell BASH per SSH o installare un client SSH, ad esempio PuTTY.

  • Se fosse richiesta la crittografia dischi riservata con una chiave gestita dal cliente, eseguire il comando seguente per acconsentire esplicitamente all'entità servizio Confidential VM Orchestrator per il tenant. Installare Microsoft Graph SDK per eseguire i comandi seguenti.

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
    New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"
    

Creare una macchina virtuale riservata

Per creare una macchina virtuale riservata nel portale di Azure usando un'immagine di Azure Marketplace:

  1. Accedere al portale di Azure.

  2. Selezionare o cercare Macchine virtuali.

  3. Nel menu della pagina Macchine virtuali selezionare Crea>Macchina virtuale.

  4. Nella scheda Informazioni di base configurare le impostazioni seguenti:

    a. In Dettagli del progetto, per Sottoscrizione selezionare una sottoscrizione di Azure che soddisfi i prerequisiti.

    b. Per Gruppo di risorse selezionare Crea nuovo per creare un nuovo gruppo di risorse. Immettere un nome e selezionare OK.

    c. In Dettagli istanza, per Nome macchina virtuale immettere un nome per la nuova macchina virtuale.

    d. Per Area selezionare l'area di Azure in cui distribuire la macchina virtuale.

    Nota

    Le macchine virtuali riservate non sono disponibili in tutte le posizioni. Per le posizioni attualmente supportate, vedere quali prodotti VM sono disponibili in base all'area di Azure.

    e. Per Opzioni di disponibilità, selezionare Nessuna ridondanza infrastruttura richiesta per le singole macchine virtuali o Set di scalabilità di macchine virtuali per più macchine virtuali.

    f. Per Tipo di sicurezza, selezionare Macchine virtuali riservate.

    g. Per Immagine, selezionare l'immagine del sistema operativo da usare per la macchina virtuale. Selezionare Visualizza tutte le immagini per aprire Azure Marketplace. Selezionare il filtro Tipo di sicurezza>Riservato per visualizzare tutte le immagini di macchina virtuale riservate disponibili.

    h. Attivare o disattivare le immagini Gen 2. Le macchine virtuali riservate vengono eseguite solo nelle immagini Gen 2. Per verificare, in Immagine, selezionare Configura generazione macchina virtuale. Nel riquadro Configura generazione macchina virtuale, per Generazione macchina virtuale selezionare Gen 2. Selezionare quindi Applica.

    Nota

    Per la serie NCCH100v5, attualmente è supportata solo l'immagine Ubuntu Server 22.04 LTS (Confidential VM).

    i. Per Dimensioni, selezionare una dimensione della macchina virtuale. Per altre informazioni, vedere le famiglie di macchine virtuali riservate supportate.

    j. Per Tipo di autenticazione, selezionare Chiave pubblica SSH se si crea una macchina virtuale Linux. Se non si dispone già di chiavi SSH, creare le chiavi SSH per le macchine virtuali Linux.

    k. In Account amministratore, per Nome utente immettere un nome di amministratore per la macchina virtuale.

    l. Per Chiave pubblica SSH, se applicabile, immettere la chiave pubblica RSA.

    m. Per Password e Conferma password, se applicabile, immettere una password amministratore.

    n. In Regole porta in ingresso selezionare Consenti porte selezionate per Porte in ingresso pubbliche.

    o. Per Selezionare le porte in ingresso scegliere le porte in ingresso dal menu a discesa. Per le macchine virtuali Windows, selezionare HTTP (80) e RDP (3389). Per le macchine virtuali Linux, selezionare SSH (22) e HTTP (80).

    Nota

    Non è consigliabile consentire porte RDP/SSH per le distribuzioni di produzione.

  5. Nella scheda Dischi, configurare le impostazioni seguenti:

    1. In Opzioni disco, abilitare Crittografia dischi sistema operativo riservato se si desidera eseguire la crittografia del disco del sistema operativo della macchina virtuale durante la creazione.

    2. Per Gestione chiavi, selezionare il tipo di chiave da usare.

    3. Se è selezionata l'opzione Crittografia dischi riservata con una chiave gestita dal cliente, creare un set di crittografia dischi riservato prima di creare la macchina virtuale riservata.

    4. Se si desidera eseguire la crittografare del disco temporaneo della macchina virtuale, vedere la documentazione seguente.

  6. (Facoltativo) Se necessario, creare un set di crittografia dischi riservato come indicato di seguito.

    1. Creare un insieme di credenziali delle chiavi di Azure usando il piano tariffario Premium che include il supporto per le chiavi supportate dal modulo di protezione hardware. È anche importante abilitare la protezione dalla rimozione per le misure di sicurezza aggiunte. Per la configurazione di accesso usare inoltre i "Criteri di accesso all'insieme di credenziali" nella scheda "Configurazione di accesso". In alternativa è possibile creare un modulo di protezione hardware (HSM) gestito di Azure Key Vault.

    2. Nel portale di Azure, cercare e selezionare Set di crittografia dischi.

    3. Seleziona Crea.

    4. Per Sottoscrizione selezionare la sottoscrizione di Azure che si desidera usare.

    5. Per Gruppo di risorse, selezionare o creare un nuovo gruppo di risorse da usare.

    6. Per Nome set di crittografia dischi, immettere un nome per il set.

    7. Per Area, selezionare un'area di Azure disponibile.

    8. Per Tipo di crittografia selezionare Crittografia dischi riservata con una chiave gestita dal cliente.

    9. Per Key Vault, selezionare l'insieme di credenziali delle chiavi già creato.

    10. In Key Vault selezionare Crea nuova per creare una nuova chiave.

      Nota

      Se in precedenza è stato selezionato un modulo di protezione hardware gestito di Azure, usare PowerShell o l'interfaccia della riga di comando di Azure per creare la nuova chiave.

    11. Per Nome, immettere un nome per la chiave.

    12. Per il tipo di chiave, selezionare RSA-HSM.

    13. Selezionare le dimensioni della chiave

    n. In Opzioni chiave riservate selezionare Esportabile e impostare i criteri di operazione riservata su Criteri di operazione riservata CVM.

    o. Selezionare Crea per completare la creazione della chiave.

    p. Selezionare Rivedi e crea per creare il nuovo set di crittografia dischi. Attendere il corretto completamento della creazione della risorsa.

    q. Passare alla risorsa set di crittografia dischi nel portale di Azure.

    r. Quando viene visualizzato un banner di informazioni blu, seguire le istruzioni fornite per concedere l'accesso. In caso di banner rosa, è sufficiente selezionarlo per concedere le autorizzazioni necessarie ad Azure Key Vault.

    Importante

    È necessario eseguire questo passaggio per creare correttamente la macchina virtuale riservata.

  7. Se necessario, apportare modifiche alle impostazioni nelle schede Rete, Gestione, Configurazione guest e Tag.

  8. Selezionare Rivedi e crea per convalidare la configurazione.

  9. Attendere il completamento della convalida. Se necessario, risolvere eventuali problemi di convalida, quindi selezionare nuovamente Rivedi e crea.

  10. Nel riquadro Rivedi e crea selezionare Crea.

Connettersi alla macchina virtuale riservata

Esistono diversi metodi per connettersi alle macchine virtuali riservate Windows e alle macchine virtuali riservate Linux.

Connettersi alle macchine virtuali Windows

Per connettersi a una macchina virtuale riservata con sistema operativo Windows, vedere Come connettersi e accedere a una macchina virtuale di Azure che esegue Windows.

Connettersi a VM Linux

Per connettersi a una macchina virtuale riservata con sistema operativo Linux, vedere le istruzioni del sistema operativo del computer.

Prima di iniziare, assicurarsi di avere l'indirizzo IP pubblico della macchina virtuale. Per trovare l'indirizzo IP:

  1. Accedere al portale di Azure.

  2. Selezionare o cercare Macchine virtuali.

  3. Nella pagina Macchine virtuali selezionare la macchina virtuale riservata.

  4. Nella pagina della panoramica della macchina virtuale riservata copiare l'indirizzo IP pubblico.

    Per altre informazioni sulla connessione alle macchine virtuali Linux, vedere Guida di avvio rapido - Creare una macchina virtuale Linux nel portale di Azure.

  5. Aprire il client SSH, ad esempio PuTTY.

  6. Immettere l'indirizzo IP pubblico della macchina virtuale riservata.

  7. Connettersi alla VM. In PuTTY, selezionare Apri.

  8. Immettere il nome utente e la password dell'amministratore della macchina virtuale.

    Nota

    Se si usa PuTTY, è possibile che venga visualizzato un avviso di sicurezza che indica che la chiave host del server non è memorizzata nella cache nel Registro di sistema. Se si considera attendibile l'host, selezionare per aggiungere la chiave nella cache di PuTTY e continuare con la connessione. Per connettersi una sola volta senza aggiungere la chiave, selezionare No. Se non si considera l'host attendibile, selezionare Annulla per abbandonare la connessione.

Pulire le risorse

Dopo aver completato l'avvio rapido, è possibile pulire la macchina virtuale riservata, il gruppo di risorse e le altre risorse correlate.

  1. Accedere al portale di Azure.

  2. Selezionare o cercare Gruppi di risorse.

  3. Nella pagina Gruppi di risorse selezionare il gruppo di risorse creato per questo avvio rapido.

  4. Nel menu del gruppo di risorse, selezionare Elimina gruppo di risorse.

  5. Nel riquadro di avviso immettere il nome del gruppo di risorse per confermare l'eliminazione.

  6. Selezionare Elimina.

Passaggi successivi