Možnosti důvěrného virtuálního počítače Azure
Azure nabízí možnost TEE (Trusted Execution Environment) od AMD i Intel. Tyto TEE umožňují vytvářet důvěrná prostředí virtuálních počítačů s vynikajícím poměrem ceny a výkonu, a to vše bez nutnosti změn kódu.
U důvěrných virtuálních počítačů založených na AMD je použitá technologie AMD SEV-SNP, která byla zavedena s procesory AMD EPYC™ třetí generace. Na druhou stranu důvěrné virtuální počítače založené na Intelu využívají technologii TDX založenou na Intelu, která byla představena se 4. generace procesory Intel® Xeon®. Obě technologie mají různé implementace, ale obě poskytují podobnou ochranu ze zásobníku cloudové infrastruktury.
Velikosti
Nabízíme následující velikosti virtuálních počítačů:
| Velikost rodiny | TEE | Popis |
|---|---|---|
| Řada DCasv5 | AMD SEV-SNP | CvM pro obecné účely se vzdáleným úložištěm Žádný místní dočasný disk. |
| Řada DCadsv5 | AMD SEV-SNP | CVM pro obecné účely s místním dočasným diskem. |
| Řada ECasv5 | AMD SEV-SNP | CVM optimalizované pro paměť se vzdáleným úložištěm. Žádný místní dočasný disk. |
| Řada ECadsv5 | AMD SEV-SNP | CVM optimalizované pro paměť s místním dočasným diskem. |
| Řada DCesv5 | Intel TDX | CvM pro obecné účely se vzdáleným úložištěm Žádný místní dočasný disk. |
| Řada DCedsv5 | Intel TDX | CVM pro obecné účely s místním dočasným diskem. |
| Řada ECesv5 | Intel TDX | CVM optimalizované pro paměť se vzdáleným úložištěm. Žádný místní dočasný disk. |
| Řada ECedsv5 | Intel TDX | CVM optimalizované pro paměť s místním dočasným diskem. |
Poznámka:
Důvěrné virtuální počítače optimalizované pro paměť nabízejí dvojnásobný poměr paměti na počet vCPU.
Příkazy Azure CLI
Azure CLI můžete použít s důvěrnými virtuálními počítači.
Pokud chcete zobrazit seznam důvěrných velikostí virtuálních počítačů, spusťte následující příkaz. Nahraďte <vm-series> řadou, kterou chcete použít. Výstup zobrazuje informace o dostupných oblastech a zónách dostupnosti.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Podrobnější seznam zobrazíte spuštěním následujícího příkazu:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Aspekty nasazení
Před nasazením důvěrných virtuálních počítačů zvažte následující nastavení a volby.
Předplatné Azure
Pokud chcete nasadit důvěrnou instanci virtuálního počítače, zvažte předplatné s průběžným platbou nebo jinou možnost nákupu. Pokud používáte bezplatný účet Azure, kvóta neumožňuje odpovídající počet výpočetních jader Azure.
Možná budete muset zvýšit kvótu jader ve vašem předplatném Azure z výchozí hodnoty. Výchozí limity se liší v závislosti na vaší kategorii předplatného. Vaše předplatné může také omezit počet jader, která můžete nasadit v určitých rodinách velikostí virtuálních počítačů, včetně důvěrných velikostí virtuálních počítačů.
Pokud chcete požádat o navýšení kvóty, otevřete online žádost o zákaznickou podporu.
Pokud potřebujete velkou kapacitu, obraťte se na podporu Azure. Kvóty Azure jsou limity kreditů, nikoli záruky kapacity. Za jádra, která používáte, se účtují jenom poplatky.
Ceny
Cenové možnosti najdete v tématu Ceny virtuálních počítačů s Linuxem.
Regionální dostupnost
Informace o dostupnosti najdete v produktech virtuálních počítačů, které jsou dostupné v jednotlivých oblastech Azure.
Změna velikosti
Důvěrné virtuální počítače běží na specializovaném hardwaru, takže můžete změnit velikost jenom důvěrných instancí virtuálních počítačů na jiné důvěrné velikosti ve stejné oblasti. Pokud máte například virtuální počítač řady DCasv5-series, můžete změnit velikost na jinou instanci DCasv5-series nebo instanci DCesv5-series.
Není možné změnit velikost neutajení virtuálního počítače na důvěrný virtuální počítač.
Podpora hostovaného operačního systému
Image operačního systému pro důvěrné virtuální počítače musí splňovat určité požadavky na zabezpečení a kompatibilitu. Kvalifikované image podporují zabezpečené připojení, ověření identity, volitelné důvěrné šifrování disku s operačním systémem a izolaci od základní cloudové infrastruktury. Mezi tyto obrázky patří:
- Ubuntu 20.04 LTS (podporuje pouze AMD SEV-SNP)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (podporuje pouze AMD SEV-SNP)
- Windows Server 2019 Datacenter – x64 Gen2 (podporuje se pouze AMD SEV-SNP)
- Windows Server 2019 Datacenter Server Core – x64 Gen2 (podporuje pouze AMD SEV-SNP)
- Windows Server 2022 Datacenter – x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition Core – x64 Gen2
- Windows Server 2022 Datacenter: Azure Edition – x64 Gen2
- Jádro serveru Windows Server 2022 Datacenter – x64 Gen2
- Windows 11 Enterprise N verze 22H2 -x64 Gen2
- Windows 11 Pro verze 22H2 ZH-CN -x64 Gen 2
- Windows 11 Pro verze 22H2 -x64 Gen 2
- Windows 11 Pro N verze 22H2 -x64 Gen 2
- Windows 11 Enterprise verze 22H2 -x64 Gen 2
- Více relací Windows 11 Enterprise verze 22H2 -x64 Gen 2
Při práci na onboardingu dalších imagí operačního systému s důvěrným šifrováním disků s operačním systémem jsou k dispozici různé image, které je možné testovat v rané verzi Preview. Můžete se zaregistrovat níže:
- Red Hat Enterprise Linux 9.3 (podpora pro Intel TDX)
- SUSE Enterprise Linux 15 SP5 (podpora pro Intel TDX, AMD SEV-SNP)
- SUSE Enterprise Linux 15 SAP SP5 (podpora pro Intel TDX, AMD SEV-SNP)
Další informace o podporovaných a nepodporovaných scénářích virtuálních počítačů najdete v tématu podpora virtuálních počítačů generace 2 v Azure.
Vysoká dostupnost a zotavení po havárii
Zodpovídáte za vytváření řešení pro vysokou dostupnost a zotavení po havárii pro vaše důvěrné virtuální počítače. Plánování těchto scénářů pomáhá minimalizovat a vyhnout se prodlouženým výpadkům.
Nasazení pomocí šablon ARM
Azure Resource Manager je služba nasazování a správy pro Azure. Můžete provádět následující akce:
- Zabezpečte a uspořádejte prostředky po nasazení pomocí funkcí pro správu, jako je řízení přístupu, zámky a značky.
- Vytvářejte, aktualizujte a odstraňujte prostředky ve vašem předplatném Azure pomocí vrstvy správy.
- Pomocí šablon Azure Resource Manageru (šablon ARM) nasaďte důvěrné virtuální počítače na procesory AMD. K dispozici je šablona ARM pro důvěrné virtuální počítače.
Nezapomeňte zadat následující vlastnosti pro virtuální počítač v části parametrů (parameters):
- Velikost virtuálního počítače (
vmSize). Vyberte si z různých důvěrných rodin a velikostí virtuálních počítačů. - Název image operačního systému (
osImageName). Vyberte si z kvalifikovaných imagí operačního systému. - Typ šifrování disku (
securityType). Vyberte si šifrování pouze VMGS (VMGuestStateOnly) nebo úplné předběžné šifrování disku s operačním systémem (DiskWithVMGuestState), což může vést k delší době zřizování. Pro instance Intel TDX podporujeme také jiný typ zabezpečení (NonPersistedTPM), který nemá šifrování disku VMGS ani operačního systému.
Další kroky
Další informace najdete v nejčastějších dotazech k důvěrným virtuálním počítačům.