Řešení v Azure pro Intel SGX
Virtuální počítače Intel Software Guard Extension (Intel SGX) můžete nasadit pro použití v důvěrných výpočetních prostředcích Azure.
Aktuální dostupné velikosti a oblasti
Seznam velikostí virtuálních počítačů Intel SGX získáte pomocí rozhraní příkazového řádku Azure (Azure CLI). Pokud jste to ještě neudělali, nainstalujte Azure CLI . Potom spuštěním následujícího příkazu zobrazte seznam velikostí Intel SGX s informacemi o oblasti a zóně dostupnosti.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Požadavky na vyhrazeného hostitele
Nasazení virtuálního počítače řady Standard_DC8_v2, Standard_DC48s_v3 nebo Standard_DC48ds_v3 zabírá celého hostitele. Ostatní tenanti nebo předplatná nesdílí hostitele. Tato řada skladových položek virtuálních počítačů poskytuje izolaci, kterou možná budete potřebovat ke splnění požadavků na dodržování předpisů a dodržování předpisů zabezpečení. Za normálních okolností můžete k splnění těchto požadavků potřebovat vyhrazenou hostitelskou službu.
U těchto velikostí virtuálních počítačů přidělí fyzický hostitelský server všechny dostupné hardwarové prostředky, včetně paměti EPC, jenom vašemu virtuálnímu počítači. Toto nasazení není stejné jako služba Azure Dedicated Host v jiných rodinách virtuálních počítačů.
Aspekty nasazení
Při plánování nasazení virtuálního počítače Intel SGX v Azure zvažte následující faktory.
Předplatné Azure
Pokud chcete nasadit instanci důvěrného výpočetního virtuálního počítače, zvažte předplatné s průběžným platbou nebo jinou možnost nákupu. Bezplatné účty Azure nemají dostatečnou kvótu pro potřebný počet výpočetních jader Azure.
Ceny a regionální dostupnost
Ceny virtuálních počítačů DCsv2, DCsv3 a DCdsv3 najdete na stránce s cenami virtuálních počítačů Azure. Projděte si tabulku produktů dostupných v jednotlivých oblastech a zjistěte dostupnost v různých oblastech Azure.
Kvóta jader
Možná budete muset zvýšit kvótu jader ve vašem předplatném Azure z výchozí hodnoty. Vaše předplatné může také omezit počet jader , která můžete nasadit v určitých rodinách velikostí virtuálních počítačů, včetně DCsv2-Series. Navýšení kvóty si můžete vyžádat bez poplatků. Výchozí limity se můžou lišit v závislosti na vaší kategorii předplatného.
Pokud potřebujete velkou kapacitu, obraťte se na podporu Azure. Kvóty Azure jsou limity kreditů, nikoli záruky kapacity. Bez ohledu na kvótu se vám účtují jenom jádra, která používáte.
Změna velikosti
Kvůli specializovanému hardwaru můžete změnit velikost instancí virtuálních počítačů Intel SGX pouze v rámci stejné řady velikostí. Velikost virtuálního počítače řady DCsv2-series můžete například změnit jenom z jedné velikosti řady DCsv2 na jiný.
Image
Pokud chcete poskytnout podporu Intel SGX u důvěrných výpočetních instancí, musí všechna nasazení běžet na imagích generace 2. Důvěrné výpočetní prostředí Azure podporuje úlohy běžící na Ubuntu 20.04 Gen2, Windows Serveru 2019 Gen2 a Ubuntu 22.04 Gen 2. Další informace o podporovaných a nepodporovaných scénářích najdete v tématu podpora virtuálních počítačů generace 2 v Azure.
Úložiště
Virtuální počítače řady DCsv2 podporují SSD úrovně Standard a SSD úrovně Premium s výjimkou DC8_v2.
Virtuální počítače řady DCsv3 a DCdsv3 podporují disky SSD úrovně Standard, SSD úrovně Premium a Ultra.
Důležité informace o vysoké dostupnosti a zotavení po havárii
Při používání virtuálních počítačů Azure zodpovídáte za vytvoření řešení vysoké dostupnosti (HA) a zotavení po havárii, abyste se vyhnuli výpadkům.
Důvěrné výpočetní prostředí Azure v tuto chvíli nepodporuje zónovou redundanci prostřednictvím zón dostupnosti Azure. Pro zajištění nejvyšší dostupnosti a redundance důvěrných výpočtů použijte skupiny dostupnosti. Kvůli hardwarovým omezením můžou skupiny dostupnosti pro důvěrné výpočetní instance mít maximálně 10 aktualizačních domén.
Nasazení pomocí šablony Azure Resource Manageru (ARM)
Azure Resource Manager je služba nasazování a správy pro Azure. Vrstvu správy služby můžete použít k vytváření, aktualizaci a odstraňování prostředků ve vašem předplatném Azure. Existují funkce správy, jako je řízení přístupu, zámky a značky. Pomocí těchto funkcí můžete prostředky po nasazení zabezpečit a uspořádat.
Další informace o šablonách Azure Resource Manageru (šablony ARM) najdete v přehledu šablon.
Pokud chcete nasadit pomocí šablon ARM, přečtěte si téma Virtuální počítače v šabloně Azure Resource Manageru. Nezapomeňte zadat správné vlastnosti pro vmSize a imageReference.
Velikosti virtuálních počítačů
Zadejte jednu z následujících velikostí v šabloně ARM v prostředku virtuálního počítače. Tento řetězec je vmSize ve vlastnostech.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Image operačního systému Gen2
V části vlastnosti musíte také zadat image v rámci storageProfile. Pro imageReference použijte pouze jeden z následujících obrázků.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},