Vertrauliche Berechnung in Azure Container Apps (Vorschau)

Vertrauliche Berechnung in Azure Container Apps hilft, containerisierte Workloads zu schützen, während Daten verarbeitet werden. In diesem Artikel erfahren Sie, wann Sie vertrauliche Berechnungen verwenden, wie sie mit dedizierten Workloadprofilen funktioniert, wie Sie sie für eine Container-App aktivieren und überprüfen, ob Ihre App in einer vertraulichen Computeinfrastruktur ausgeführt wird.

Important

Die vertrauliche Berechnung ist derzeit in der Vorschau verfügbar und wird nur in bestimmten Regionen und Workloadprofilkonfigurationen unterstützt.

Vorteile von Confidential Computing

Confidential Computing ergänzt die Azure-Verschlüsselung ruhender Daten und die Verschlüsselung bei der Übertragung, indem Daten auch während der Verarbeitung geschützt werden. Wenn Sie Workloads in einem vertraulichen Computeworkloadprofil ausführen, erhalten Sie Folgendes:

  • Hardwarebasierte Isolation mithilfe von vertrauenswürdigen Ausführungsumgebungen (Trusted Execution Environments, TEEs).
  • Verschlüsselung von Daten im Arbeitsspeicher , während Workloads ausgeführt werden.
  • Schutz vor unbefugtem Zugriff auf verwendete Daten, einschließlich des Zugriffs von Infrastrukturbetreibern.

Die Azure-Plattform und die zugrunde liegende vertrauliche VM-Infrastruktur bieten und erzwingen diese Garantien. Weitere Informationen finden Sie unter Azure Vertrauliches Computing.

Wann Confidential Computing verwendet werden sollte

Verwenden Sie vertrauliches Computing in Azure Container Apps, wenn:

  • Ihre Workloads verarbeiten streng vertrauliche oder regulierte Daten.
  • Der Schutz von Daten während der Verarbeitung ist eine Anforderung.
  • Sie möchten die Sicherheitsvorteile vertraulicher Computer nutzen, ohne Infrastruktur zu verwalten oder Anwendungscode zu ändern.

So funktioniert vertrauliches Computing

Sie aktivieren vertrauliche Berechnungen auf Arbeitsauslastungsprofilebene, nicht auf der Ebene der einzelnen Container-App oder Revisionsebene. Wenn Sie Ihrer Umgebung ein dediziertes Workloadprofil der DC-Serie hinzufügen, werden container-Apps, die diesem Profil zugewiesen sind, automatisch auf vertraulichen Computeinfrastrukturen ausgeführt, die von vertraulichen VM-SKUs unterstützt werden.

Sie müssen keine Einstellungen pro App oder pro Container konfigurieren. Bereitstellen von Container-Apps mithilfe der gleichen Images, Tools und Workflows wie nicht vertrauliche Workloads. Sie benötigen keine spezielle Containerlaufzeitkonfiguration oder SDKs.

Voraussetzungen

Bevor Sie die vertrauliche Berechnung aktivieren, überprüfen Sie, ob die folgenden Elemente vorliegen:

  1. Eine Azure Container Apps Umgebung in einer unterstützten Region.
  2. Ein dediziertes Workloadprofil, das einen Workloadprofiltyp der DC-Serie verwendet.
  3. Eine Container-App mit dem zugewiesenen Workloadprofil der DC-Serie.

Aktivieren der vertraulichen Berechnung

Im folgenden Beispiel wird eine Container-Apps-Umgebung mit einem Workloadprofil der DC-Serie erstellt und eine Container-App bereitgestellt, die diesem Profil zugewiesen ist:

  1. Erstellen Sie die Umgebung mit einem Workloadprofil der DC-Serie.

    az containerapp env create \
  --name <ENVIRONMENT_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --location <SUPPORTED_REGION> \
  --workload-profile-type DC4 \
  --workload-profile-name my-wp-confidential

  2. Erstellen Sie die Container-App, und weisen Sie sie dem Workloadprofil zu.

    az containerapp create \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --environment <ENVIRONMENT_NAME> \
  --workload-profile-name my-wp-confidential \
  --image <CONTAINER_IMAGE>

Der --workload-profile-name my-wp-confidential Parameter weist die App dem Workloadprofil der DC-Serie zu, wodurch eine vertrauliche Berechnung ermöglicht wird.

Schritte zum Hinzufügen und Verwalten von Workloadprofilen finden Sie unter Manage-Workloadprofile mit dem Azure CLI.

Konfiguration von Confidential Computing überprüfen

Verwenden Sie diese Schnellüberprüfung, um zu bestätigen, dass die App einem Workloadprofil der DC-Serie zugewiesen ist.

Azure CLI

  1. Rufen Sie das Workloadprofil ab, das der Container-App zugewiesen ist.

    az containerapp show \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --query properties.workloadProfileName \
  -o tsv

    Beispielausgabe:

    my-wp-confidential

  2. Rufen Sie den Typ des Workloadprofils für dieses Profil in der Umgebung ab.

    az containerapp env workload-profile list \
  --name <ENVIRONMENT_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --query "[].{name:name,workloadProfileType:workloadProfileType}"

    Beispielausgabe:

    [
  {
    "name": "my-wp-confidential",
    "workloadProfileType": "DC4"
  }
]

    In diesem Beispiel my-wp-confidential handelt es sich um einen Beispielprofilnamen. Ihr Profilname kann unterschiedlich sein.

Wenn das Ihrer App zugewiesene Profil einen workloadProfileType-Wert hat, der mit DC beginnt, z. B. DC4 oder DC8, wird die App auf einer Infrastruktur für Confidential Computing ausgeführt.

Azure portal

  1. Wechseln Sie im Azure-Portal zu Ihrer Container-App.
  2. Notieren Sie sich auf der Seite Übersicht den Wert von Umgebung und wechseln Sie in diese Umgebung.
  3. Wechseln Sie in der Container-Apps-Umgebung zu Workloadprofilen.
  4. Suchen Sie das von Ihrer App verwendete Workloadprofil, und überprüfen Sie, ob der Profiltyp und die Größe mit DC beginnt, z. B. DC4 oder DC8.

Unterstützte Auslastungsprofile

Confidential Computing ist nur für dedizierte Workloadprofile der DC-Serie verfügbar. Zu den unterstützten Größen gehören:

  • DC4
  • DC8
  • DC16
  • DC32
  • DC48
  • DC64
  • DC96

Die Verfügbarkeit dieser Workloadprofile hängt von der Region ab. Nicht alle Regionen mit Profilen der DC-Serie unterstützen vertrauliches Computing. Die aktuelle Liste der Regionen, in denen vertrauliche Compute verfügbar ist, finden Sie unter "Unterstützte Regionen".

Unterstützte Regionen

Azure Container Apps unterstützt vertrauliche Berechnungen in der Region VAE North. Um eine Region anzufordern, übermitteln Sie ein Problem auf GitHub.

Verwandte Inhalte

  • Last updated on