مشاركة عبر

التشغيل السريع - إنشاء VM Intel SGX في مدخل Azure

  • مقالة

يرشدك هذا البرنامج التعليمي خلال عملية نشر VM Intel SGX باستخدام مدخل Azure. وإلا، نوصي باتباع قوالب سوق Azure التالية.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك في Azure، يتعين إنشاء حساب مجاني قبل البدء.

إشعار

لا تتمتع الحسابات التجريبية المجانية بإمكانية الوصول إلى الأجهزة الافتراضية في هذا البرنامج التعليمي. يرجى الترقية إلى اشتراك الدفع حسب الاستخدام في أي وقت.

تسجيل الدخول إلى Azure

  1. تسجيل الدخول إلى مدخل Azure.

  2. في القائمة، حدد Create a resource.

  3. في الجانب الأيسر، حدد حساب.

  4. حدد إنشاء VM.

    توزيع جهاز ظاهري

تكوين VM من Intel SGX

  1. في علامة التبويب أساسيات، حدد مجموعة الاشتراكوالموارد.

  2. في Virtual machine name، أدخل اسماً للجهاز الظاهري الجديد الخاص بك.

  3. اكتب أو حدد القيم التالية:

    • المنطقة: تحديد منطقة Azure المناسبة لك.

      إشعار

      تعمل أجهزة Intel SGX الظاهرية على أجهزة متخصصة في مناطق معينة. للحصول على أحدث معلومات حول التوافر الإقليمي، ابحث عن سلسلة DCsv2 أو سلسلة DCsv3/DCdsv3 في المناطق المتاحة.

  4. قم بتكوين صورة نظام التشغيل التي ترغب في استخدامها للجهاز الظاهري الخاص بك.

    • Choose Image: لهذا البرنامج التعليمي، حدد Ubuntu 20.04 LTS (Gen 2). يمكنك أيضًا تحديد Ubuntu 18.04 LTS - Gen2، أو Windows Server 2019.

    • تحديث إلى الجيل 2: تحت الصورة، حدد تكوين جيل VM، في التحليق، ثم حدد الجيل 2.

      صورة

  5. اختر جهازا ظاهريا مزودا بقدرات Intel SGX بالنقر فوق + إضافة عامل تصفية لإنشاء عامل تصفية، وحدد النوع لنوع عامل التصفية، وتحقق فقط من الحوسبة السرية من القائمة في القائمة المنسدلة التالية.

    الأجهزة الظاهرية من السلسلة DCsv2

    تلميح

    يجب أن تشاهد أحجام DC(number)s_v2، و DC(number)s_v3 و DC(number)ds_v3. اعرف المزيد.

  6. املأ المعلومات التالية:

    • Authentication type: حدد SSH public key إذا كنت تقوم بإنشاء جهاز Linux الظاهري.

      إشعار

      لديك خيار استخدام مفتاح عام SSH أو كلمة مرور للمصادقة. SSH هو أكثر أمناً. للحصول على إرشادات حول كيفية إنشاء مفتاح SSH، يرجى الاطلاع على إنشاء مفاتيح SSH على Linux وMac لأجهزة Linux الظاهرية في Azure.

    • اسم المستخدم: أدخل اسم المسؤول عن الجهاز الظاهري.

    • SSH public key: أدخل المفتاح العام RSA إذا كان ذلك ممكنًا.

    • Password: إذا كان ذلك ممكناً، أدخل كلمة المرور للمصادقة.

    • Public inbound ports: اختر Allow selected ports ثم اختر SSH (22) وHTTP (80) في قائمة Select public inbound ports. إذا كنت تقوم بتوزيع جهاز Windows الظاهري، فحدد HTTP (80) وRDP (3389).

    إشعار

    لا ينصح بالسماح بمنافذ RDP/SSH لعمليات توزيع الإنتاج.

    المنافذ الواردة

  7. قم بإجراء تغييرات في علامة التبويب الأقراص.

    • تدعم سلسلة DCsv2 Standard SSD، وPremium SSD المدعوم عبر DC1 وDC2 وDC4.
    • تدعم كلتا سلسلتي DCsv3 وDCdsv3 Standard SSD، وPremium SSD و Ultra Disk

  8. قم بإجراء أي تغييرات تريدها على الإعدادات في علامات التبويب التالية أو احتفظ بالإعدادات الافتراضية.

    • التواصل الشبكي
    • الإدارة
    • تكوين الضيف
    • العلامات

  9. حدد "Review + create".

  10. من خلال صفحة المراجعة + الإنشاء، تحديد إنشاء.

إشعار

انتقل إلى القسم التالي وتابع هذا البرنامج التعليمي إذا قمت بتوزيع جهاز Linux الظاهري. إذا قمت بتوزيع جهاز Windows الظاهري، اتبع الخطوات التالية للاتصال بجهاز Windows الظاهري ثم بادر بتثبيت OE SDK على Windows.

الاتصال بجهاز Linux الظاهري

افتح عميل SSH الذي تختاره، مثل Bash على Linux أو PowerShell على Windows. ssh يتم تضمين الأمر عادة في Linux وmacOS وWindows. إذا كنت تستخدم Windows 7 أو أقدم، حيث لا يتم تضمين Win32 OpenSSH بشكل افتراضي، ففكر في تثبيت WSL أو استخدام Azure Cloud Shell من المستعرض. في الأمر التالي، استبدل اسم مستخدم الجهاز الظاهري وعنوان "أي بي" من أجل الاتصال بـ Linux VM.

ssh azureadmin@40.55.55.555

يمكنك العثور على عنوان IP العام للجهاز الظاهري الخاص بك في مدخل Azure، ضمن القسم Overview على الجهاز الظاهري الخاص بك.

عنوان IP في مدخل Azure

لمزيد من المعلومات حول الاتصال بأجهزة Linux الظاهرية، يرجى الاطلاع على إنشاء جهاز Linux الظاهري على Azure باستخدام المدخل.

تثبيت عميل Azure DCAP

يجلب Azure Data Center Attestation Primitives (DCAP)، وهو بديل لمكتبة موفر عرض أسعار Intel (QPL)، ضمانات إنشاء الاقتباس والتحقق من صحة الاقتباس مباشرة من خدمة THIM.

تعالج خدمة إدارة هوية الأجهزة الموثوق بها (THIM) إدارة ذاكرة التخزين المؤقت للشهادات لجميع بيئات التنفيذ الموثوق بها (TEE) الموجودة في Azure وتوفر معلومات قاعدة الحوسبة الموثوق بها (TCB) لفرض حد أدنى أساسي لحلول التصديق.

تدعم DCsv3 و DCdsv3 فقط الشهادة المستندة إلى ECDSA ويطلب من المستخدمين لتثبيت عميل Azure DCAP للتفاعل مع THIM وجلب ضمانات TEE لتوليد الاقتباس أثناء عملية الشهادة. تستمر DCsv2 في دعم التوثيق القائم على EPID.

تنظيف الموارد

عندما لا تكون هناك حاجة، يمكنك حذف مجموعة الموارد، وVM، وكافة الموارد المرتبطة بها.

حدد مجموعة الموارد للجهاز الظاهري، ثم حدد Delete. تأكيد اسم مجموعة الموارد لإنهاء حذف الموارد.

الخطوات التالية

في هذا التشغيل السريع، قمت بنشر Intel SGX VM الخاص بك وتوصيله. لمزيد من المعلومات، راجع الحلول على الأجهزة الظاهرية.

اكتشف كيف يمكنك إنشاء تطبيقات الحوسبة السرية، من خلال المتابعة إلى نماذج Open Enclave SDK على GitHub.

إنشاء نماذج Open Enclave SDK

توثيق Microsoft Azure مجانية وهو إطار عمل توثيق قائم على ECDSA، للتحقق عن بعد من مصداقية العديد من TEEs وسلامة الثنائيات التي تعمل داخله. تعرف على المزيد