Confidential compute in Azure Container Apps (preview)

يساعد Confidential compute in Azure Container Apps في حماية أحمال العمل المحووية أثناء معالجة البيانات. في هذا المقال، تتعلم متى تستخدم الحوسبة السرية، وكيف تعمل مع ملفات تعريف عبء العمل المخصصة، وكيفية تفعيلها لتطبيق الحاويات، وكيفية التحقق من أن تطبيقك يعمل على بنية تحتية حسابية سرية.

هام

الحساب السري متاح حاليا في مرحلة المعاينة ويدعم فقط في المناطق المحددة وتكوينات ملفات تعريف عبء العمل.

فوائد الحوسبة السرية

تكمل الحوسبة السرية تشفير Azure أثناء السكون والتشفير أثناء النقل من خلال حماية البيانات أثناء معالجتها. عندما تشغل أحمال العمل على ملف عبء عمل حسابي سري، تحصل على:

• عزل قائم على الأجهزة باستخدام بيئات التنفيذ الموثوقة (TEEs).
• تشفير البيانات في الذاكرة أثناء تشغيل أحمال العمل.
• الحماية ضد الوصول غير المصرح به إلى البيانات المستخدمة، بما في ذلك الوصول من مشغلي البنية التحتية.

توفر منصة Azure والبنية التحتية السرية للأجهزة الافتراضية هذه الضمانات وتنفذها. لمزيد من المعلومات، راجع Azure الحوسبة السرية.

متى تستخدم الحوسبة السرية

Use confidential compute in Azure Container Apps when:

• أعباء عملك تعالج بيانات حساسة أو منظمة للغاية.
• حماية البيانات أثناء معالجتها هو شرط.
• تريد فوائد الأمان للحوسبة السرية دون إدارة البنية التحتية أو تعديل كود التطبيق.

كيف تعمل الحوسبة السرية

تقوم بتمكين الحساب السري على مستوى ملف ملف العمل، وليس عند تطبيق الحاوية الفردية أو مستوى الإصدار. عند إضافة ملف تعريف عبء عمل مخصص من سلسلة DC إلى بيئتك، تعمل أي تطبيقات حاوية معينة لذلك الملف تلقائيا على بنية تحتية حسابية سرية مدعومة بوحدات تخزين سرية للآلات الافتراضية.

لا تحتاج إلى تكوين أي إعدادات لكل تطبيق أو لكل حاوية. نشر تطبيقات الحاويات باستخدام نفس الصور والأدوات وسير العمل مثل أحمال العمل غير السرية. لا تحتاج إلى إعدادات تشغيل الحاويات الخاصة أو SDKs.

المتطلبات المسبقه

قبل تفعيل الحساب السروي، تحقق من أن لديك العناصر التالية:

1. An Azure Container Apps environment in a supported region.
2. ملف عبء عمل مخصص يستخدم نوع ملف عبء العمل من سلسلة DC.
3. تطبيق حاوية مع ملف عبء العمل من سلسلة DC مخصص.

تمكين الحساب السري

المثال التالي ينشئ بيئة تطبيقات الحاويات مع ملف تعريف عبء عمل من سلسلة DC وينشر تطبيق حاوية معين لذلك الملف الشخصي:

1. أنشئ بيئة باستخدام ملف عبء عمل من سلسلة DC.

   az containerapp env create \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --location <SUPPORTED_REGION> \
     --workload-profile-type DC4 \
     --workload-profile-name my-wp-confidential
   

2. أنشئ تطبيق الحاوية وخصصه لملف ملف عبء العمل.

   az containerapp create \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --environment <ENVIRONMENT_NAME> \
     --workload-profile-name my-wp-confidential \
     --image <CONTAINER_IMAGE>
   

يقوم هذا --workload-profile-name my-wp-confidential المعامل بتعيين التطبيق إلى ملف عبء العمل من سلسلة DC، مما يتيح الحوسبة السرية.

للاطلاع على خطوات إضافة وإدارة ملفات تعريف عبء العمل، راجع إدارة ملفات تعريف عبء العمل باستخدام Azure CLI.

تحقق من تكوين الحوسبة السرية

استخدم هذا الفحص السريع للتأكد من أن التطبيق مخصص لملف عبء العمل من سلسلة DC.

Azure CLI

1. قم بتعيين ملف عبء العمل لتطبيق الحاوية.

   az containerapp show \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query properties.workloadProfileName \
     -o tsv
   

   مثال على الإخراج:

   my-wp-confidential
   

2. احصل على نوع ملف عبء العمل لذلك الملف في البيئة.

   az containerapp env workload-profile list \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query "[].{name:name,workloadProfileType:workloadProfileType}"
   

   مثال على الإخراج:

   [
     {
       "name": "my-wp-confidential",
       "workloadProfileType": "DC4"
     }
   ]
   

   في هذا المثال، my-wp-confidential هناك اسم ملف تعريفي نموذجي. اسم ملفك الشخصي قد يكون مختلفا.

إذا كان الملف الشخصي المخصص لتطبيقك يحتوي على workloadProfileType قيمة تبدأ ب DC، مثل DC4 ، أو DC8، فإن التطبيق يعمل على بنية تحتية حسابية سرية.

مدخل Azure

1. في مدخل Microsoft Azure، انتقل إلى تطبيق الحاوية الخاص بك.
2. في صفحة النظرة العامة ، لاحظ قيمة البيئة واذهب إلى تلك البيئة.
3. في بيئة تطبيقات الحاويات، اذهب إلى ملفات تعريف Workload.
4. ابحث عن ملف عبء العمل المستخدم في تطبيقك وتحقق من أن نوع الملف الشخصي وحجمه يبدأ ب DC، مثل DC4 أو DC8.

ملفات تعريف عبء العمل المدعومة

يتوفر حساب سري فقط على ملفات تعريف عبء العمل المخصصة لسلسلة DC. تشمل الأحجام المدعومة:

• DC4
• DC8
• DC16
• DC32
• DC48
• DC64
• DC96

توفر هذه الملفات العبء تعتمد على المنطقة. ليست كل المناطق التي تحتوي على ملفات تعريف من سلسلة DC تدعم الحوسبة السرية. للاطلاع على القائمة الحالية للمناطق التي تتوفر فيها الحوسبة السرية، انظر المناطق المدعومة.

المناطق المدعومة

Azure Container Apps يدعم الحوسبة السرية في منطقة شمال الإمارات. لطلب المنطقة، قدم مشكلة على GitHub.

المحتوى ذو الصلة

• نظرة عامة على الأمان في Azure Container Apps
• نظرة عامة على ملفات تعريف حمل العمل
• الحوسبة السرية في Azure