حلول على Azure ل Intel SGX

يمكنك نشر أجهزة Intel Software Guard Extension (Intel SGX) الظاهرية (VM) للاستخدام في الحوسبة السرية ل Azure.

الأحجام والمناطق المتوفرة الحالية

للحصول على قائمة بأحجام Intel SGX VM، استخدم واجهة سطر الأوامر Azure (Azure CLI). قم بتثبيت Azure CLI إذا لم تكن قد فعلت ذلك بالفعل. ثم قم بتشغيل الأمر التالي لسرد أحجام Intel SGX مع معلومات المنطقة ومنطقة التوفر.

az vm list-skus `
    --size Standard_DC `
    --all `
    --output table

متطلبات المضيف المخصص

يؤدي نشر Standard_DC8_v2 أو Standard_DC48s_v3 أو سلسلة Standard_DC48ds_v3 VM إلى احتلال المضيف الكامل. لا يشارك المستأجرون أو الاشتراكات الأخرى المضيف. توفر هذه العائلة من وحدات SKU للجهاز الظاهري العزلة التي قد تحتاجها لتلبية المتطلبات التنظيمية للامتثال والأمان. عادة، قد تحتاج إلى خدمة مضيف مخصصة لتلبية هذه المتطلبات.

بالنسبة لأحجام الأجهزة الظاهرية هذه، يخصص خادم المضيف الفعلي جميع موارد الأجهزة المتوفرة، بما في ذلك ذاكرة EPC، إلى جهازك الظاهري فقط. هذا النشر ليس هو نفسه خدمة Azure Dedicated Host في عائلات الأجهزة الظاهرية الأخرى.

اعتبارات النشر

ضع في اعتبارك العوامل التالية عند التخطيط لتوزيع Intel SGX VM على Azure.

اشتراك Azure

لنشر مثيل جهاز ظاهري للحوسبة السرية، ضع في اعتبارك اشتراك الدفع أولا بأول أو خيار شراء آخر. لا تحتوي حسابات Azure المجانية على حصة نسبية عالية بما يكفي للعدد الضروري من مراكز حساب Azure.

التسعير والتوافر الإقليمي

ابحث عن تسعير DCsv2 وDCsv3 وDCdsv3VMs في صفحة تسعير أجهزة Azure الظاهرية. تحقق من جدول المنتجات المتوفرة حسب المنطقة للتوفر في مناطق Azure المختلفة.

الحصة النسبية للنوى

قد تحتاج إلى زيادة الحصة النسبية للذاكرات الأساسية في اشتراك Azure من القيمة الافتراضية. قد يحد اشتراكك أيضا من عدد الذاكرات الأساسية التي يمكنك نشرها في مجموعات معينة بحجم الجهاز الظاهري، بما في ذلك DCsv2-Series. يمكنك طلب زيادة الحصة دون أي رسوم. قد تختلف الحدود الافتراضية استنادا إلى فئة اشتراكك.

إذا كانت لديك احتياجات سعة واسعة النطاق، فاتصل بدعم Azure. حصص Azure هي حدود ائتمانية، وليست ضمانات للسعة. مهما كانت حصتك النسبية، يتم تحصيل رسوم منك فقط مقابل الذاكرات الأساسية التي تستخدمها.

تغيير حجم

بسبب أجهزتهم المتخصصة، يمكنك فقط تغيير حجم مثيلات Intel SGX VM ضمن نفس حجم العائلة. على سبيل المثال، يمكنك فقط تغيير حجم جهاز ظاهري من سلسلة DCsv2 من حجم سلسلة DCsv2 إلى آخر.

الصورة

لتوفير دعم Intel SGX على مثيلات الحوسبة السرية، يجب تشغيل جميع عمليات التوزيع على صور الجيل 2. تدعم الحوسبة السرية Azure أحمال العمل التي تعمل على Ubuntu 20.04 Gen 2 وWindows Server 2019 Gen 2 وUbuntu 22.04 Gen 2. لمزيد من المعلومات حول السيناريوهات المدعومة وغير المدعومة، راجع دعم الأجهزة الظاهرية من الجيل 2 على Azure.

التخزين

تدعم الأجهزة الظاهرية من سلسلة DCsv2 SSD القياسية وSSD المميزة، باستثناء DC8_v2.

تدعم الأجهزة الظاهرية من سلسلة DCsv3 وDCdsv3 SSD القياسية وSSD المتميزة والقرص الفائق.

اعتبارات التوافر العالي والتعافي من الكوارث

عند استخدام أجهزة Azure الظاهرية، تكون مسؤولا عن إنشاء حل قابلية وصول عالية (HA) والتعافي من الكوارث لتجنب أي وقت تعطل.

لا تدعم الحوسبة السرية في Azure تكرار المنطقة من خلال مناطق توفر Azure في الوقت الحالي. للحصول على أعلى قابلية وصول وتكرار للحوسبة السرية، استخدم مجموعات التوفر. بسبب قيود الأجهزة، يمكن أن تحتوي مجموعات التوفر لمثيلات الحوسبة السرية على 10 مجالات تحديث كحد أقصى فقط.

النشر باستخدام قالب Azure Resource Manager (ARM)

Azure Resource Manager هي خدمة التوزيع والإدارة التي توفرها Azure. يمكنك استخدام طبقة إدارة الخدمة لإنشاء الموارد وتحديثها وحذفها في اشتراك Azure. هناك ميزات إدارة مثل التحكم في الوصول والأقفال والعلامات. استخدم هذه الميزات لتأمين الموارد وتنظيمها بعد التوزيع.

للتعرف على قوالب Azure Resource Manager (قوالب ARM)، راجع نظرة عامة على القوالب.

للنشر باستخدام قوالب ARM، راجع الأجهزة الظاهرية في قالب Azure Resource Manager. تأكد من تحديد الخصائص الصحيحة ل vmSize و imageReference.

أحجام الجهاز الظاهري

حدد أحد الأحجام التالية في قالب ARM في مورد الجهاز الظاهري. هذه السلسلة vmSize في الخصائص.

  [
        "Standard_DC1s_v2",
        "Standard_DC2s_v2",
        "Standard_DC4s_v2",
        "Standard_DC8_v2",
        "Standard_DC1s_v3",
        "Standard_DC2s_v3",
        "Standard_DC4s_v3",
        "Standard_DC8s_v3",
        "Standard_DC16s_v3",
        "Standard_DC24s_v3",
        "Standard_DC32s_v3",
        "Standard_DC48s_v3",
        "Standard_DC1ds_v3",
        "Standard_DC2ds_v3",
        "Standard_DC4ds_v3",
        "Standard_DC8ds_v3",
        "Standard_DC16ds_v3",
        "Standard_DC24ds_v3",
        "Standard_DC32ds_v3",
        "Standard_DC48ds_v3",
      ],

صورة نظام التشغيل Gen2

ضمن الخصائص، يجب عليك أيضا تحديد صورة ضمن storageProfile. استخدم صورة واحدة فقط من الصور التالية ل imageReference.

  "2019-datacenter-gensecond": {
    "offer": "WindowsServer",
    "publisher": "MicrosoftWindowsServer",
    "sku": "2019-datacenter-gensecond",
    "version": "latest"
  },
  "20_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-focal",
    "publisher": "Canonical",
    "sku": "20_04-lts-gen2",
    "version": "latest"
  }
  "22_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-jammy",
    "publisher": "Canonical",
    "sku": "22_04-lts-gen2",
    "version": "latest"
  },

الخطوة التالية

إنشاء جهاز ظاهري Intel SGX باستخدام Azure Marketplace