Sdílet prostřednictvím


Možnosti důvěrného virtuálního počítače Azure

Azure nabízí možnost TEE (Trusted Execution Environment) od AMD i Intel. Tyto TEE umožňují vytvářet důvěrná prostředí virtuálních počítačů s vynikajícím poměrem ceny a výkonu, a to vše bez nutnosti změn kódu.

U důvěrných virtuálních počítačů založených na AMD je použitá technologie AMD SEV-SNP, která byla zavedena s procesory AMD EPYC™ třetí generace. Na druhou stranu důvěrné virtuální počítače založené na Intelu využívají technologii TDX založenou na Intelu, která byla představena se 4. generace procesory Intel® Xeon®. Obě technologie mají různé implementace, ale obě poskytují podobnou ochranu ze zásobníku cloudové infrastruktury.

Velikosti

Nabízíme následující velikosti virtuálních počítačů:

Velikost rodiny TEE Popis
Řada DCasv5 AMD SEV-SNP CvM pro obecné účely se vzdáleným úložištěm Žádný místní dočasný disk.
Řada DCadsv5 AMD SEV-SNP CVM pro obecné účely s místním dočasným diskem.
Řada ECasv5 AMD SEV-SNP CVM optimalizované pro paměť se vzdáleným úložištěm. Žádný místní dočasný disk.
Řada ECadsv5 AMD SEV-SNP CVM optimalizované pro paměť s místním dočasným diskem.
Řada DCesv5 Intel TDX CvM pro obecné účely se vzdáleným úložištěm Žádný místní dočasný disk.
Řada DCedsv5 Intel TDX CVM pro obecné účely s místním dočasným diskem.
Řada ECesv5 Intel TDX CVM optimalizované pro paměť se vzdáleným úložištěm. Žádný místní dočasný disk.
Řada ECedsv5 Intel TDX CVM optimalizované pro paměť s místním dočasným diskem.
NCCadsH100v5-series AMD SEV-SNP a NVIDIA H100 Tensor Core GPU CVM s důvěrným GPU.

Poznámka:

Důvěrné virtuální počítače optimalizované pro paměť nabízejí dvojnásobný poměr paměti na počet vCPU.

Příkazy Azure CLI

Azure CLI můžete použít s důvěrnými virtuálními počítači.

Pokud chcete zobrazit seznam důvěrných velikostí virtuálních počítačů, spusťte následující příkaz. Nahraďte <vm-series> řadou, kterou chcete použít. Výstup zobrazuje informace o dostupných oblastech a zónách dostupnosti.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Podrobnější seznam zobrazíte spuštěním následujícího příkazu:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Aspekty nasazení

Před nasazením důvěrných virtuálních počítačů zvažte následující nastavení a volby.

Předplatné Azure

Pokud chcete nasadit důvěrnou instanci virtuálního počítače, zvažte předplatné s průběžným platbou nebo jinou možnost nákupu. Pokud používáte bezplatný účet Azure, kvóta neumožňuje odpovídající počet výpočetních jader Azure.

Možná budete muset zvýšit kvótu jader ve vašem předplatném Azure z výchozí hodnoty. Výchozí limity se liší v závislosti na vaší kategorii předplatného. Vaše předplatné může také omezit počet jader, která můžete nasadit v určitých rodinách velikostí virtuálních počítačů, včetně důvěrných velikostí virtuálních počítačů.

Pokud chcete požádat o navýšení kvóty, otevřete online žádost o zákaznickou podporu.

Pokud potřebujete velkou kapacitu, obraťte se na podporu Azure. Kvóty Azure jsou limity kreditů, nikoli záruky kapacity. Za jádra, která používáte, se účtují jenom poplatky.

Ceny

Cenové možnosti najdete v tématu Ceny virtuálních počítačů s Linuxem.

Regionální dostupnost

Informace o dostupnosti najdete v produktech virtuálních počítačů, které jsou dostupné v jednotlivých oblastech Azure.

Změna velikosti

Důvěrné virtuální počítače běží na specializovaném hardwaru, takže můžete změnit velikost jenom důvěrných instancí virtuálních počítačů na jiné důvěrné velikosti ve stejné oblasti. Pokud máte například virtuální počítač řady DCasv5-series, můžete změnit velikost na jinou instanci DCasv5-series nebo instanci DCesv5-series.

Není možné změnit velikost neutajení virtuálního počítače na důvěrný virtuální počítač.

Vysoká dostupnost a zotavení po havárii

Zodpovídáte za vytváření řešení pro vysokou dostupnost a zotavení po havárii pro vaše důvěrné virtuální počítače. Plánování těchto scénářů pomáhá minimalizovat a vyhnout se prodlouženým výpadkům.

Nasazení pomocí šablon ARM

Azure Resource Manager je služba nasazování a správy pro Azure. Můžete provádět následující akce:

  • Zabezpečte a uspořádejte prostředky po nasazení pomocí funkcí pro správu, jako je řízení přístupu, zámky a značky.
  • Vytvářejte, aktualizujte a odstraňujte prostředky ve vašem předplatném Azure pomocí vrstvy správy.
  • Pomocí šablon Azure Resource Manageru (šablon ARM) nasaďte důvěrné virtuální počítače na procesory AMD.

Nezapomeňte zadat následující vlastnosti pro virtuální počítač v části parametrů (parameters):

  • Velikost virtuálního počítače (vmSize). Vyberte si z různých důvěrných rodin a velikostí virtuálních počítačů.
  • Název image operačního systému (osImageName). Vyberte si z kvalifikovaných imagí operačního systému.
  • Typ šifrování disku (securityType). Vyberte si šifrování pouze VMGS (VMGuestStateOnly) nebo úplné předběžné šifrování disku s operačním systémem (DiskWithVMGuestState), což může vést k delší době zřizování. Pro instance Intel TDX podporujeme také jiný typ zabezpečení (NonPersistedTPM), který nemá šifrování disku VMGS ani operačního systému.

Další kroky

Další informace najdete v nejčastějších dotazech k důvěrným virtuálním počítačům.