Freigeben über


Azure Confidential VM-Optionen

Azure bietet eine Reihe von TEE-Optionen (Trusted Execution Environment) von AMD und Intel. Diese TEEs ermöglichen die Erstellung vertraulicher VM-Umgebungen mit hervorragendem Preis-Leistungs-Verhältnis ohne erforderliche Codeänderungen.

Bei AMD-basierten vertraulichen VMs kommt die Technologie AMD SEV-SNP zum Einsatz, die mit AMD EPYC™-Prozessoren der dritten Generation eingeführt wurde. Intel-basierte vertrauliche VMs nutzen dagegen Intel TDX – eine Technologie, die mit Intel® Xeon®-Prozessoren der vierten Generation eingeführt wurde. Beide Technologien haben unterschiedliche Implementierungen, bieten jedoch jeweils einen ähnlichen Schutz über den Cloudinfrastrukturstapel.

Größen

Folgende VM-Größen stehen zur Verfügung:

Größenkategorie TEE Beschreibung
DCasv5-Serie AMD SEV-SNP Universeller CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
DCadsv5-Serie AMD SEV-SNP Universeller CVM mit lokaler temporärer Festplatte.
ECasv5-Serie AMD SEV-SNP Speicheroptimierter CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
ECadsv5-Serie AMD SEV-SNP Speicheroptimierter CVM mit lokaler temporärer Festplatte.
DCesv5-Serie Intel TDX Universeller CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
DCedsv5-Serie Intel TDX Universeller CVM mit lokaler temporärer Festplatte.
ECesv5-Serie Intel TDX Speicheroptimierter CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
ECedsv5-Serie Intel TDX Speicheroptimierter CVM mit lokaler temporärer Festplatte.
NCCadsH100v5-Serie AMD SEV-SNP- und NVIDIA H100 Tensor Core-GPUs CVM mit vertraulicher GPU.

Hinweis

Speicheroptimierte vertrauliche VMs bieten die doppelte Speicherkapazität pro vCPU.

Azure CLI-Befehle

Sie können die Azure CLI für Ihre vertraulichen virtuellen Computer verwenden.

Führen Sie den folgenden Befehl aus, um eine Liste der Größen vertraulicher VM anzuzeigen. Ersetzen Sie <vm-series> durch die gewünschte Serie. Die Ausgabe umfasst Informationen zu verfügbaren Regionen und Verfügbarkeitszonen.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Führen Sie den folgenden Befehl aus, um eine ausführlichere Liste anzuzeigen:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Überlegungen zur Bereitstellung

Beachten Sie vor dem Bereitstellen vertraulicher VMs folgende Einstellungen und Optionen.

Azure-Abonnement

Zur Bereitstellung einer vertraulichen VM-Instanz sollten Sie ein Abonnement mit nutzungsbasierter Bezahlung oder eine andere Kaufoption in Erwägung ziehen. Wenn Sie ein kostenloses Azure-Konto verwenden, bietet das Kontingent nicht die entsprechende Anzahl von Azure-Computekernen.

Es kann sein, dass Sie das Kontingent für die Speicherkerne in Ihrem Azure-Abonnement anpassen müssen, indem Sie den Standardwert erhöhen. Standardgrenzwerte können je nach Abonnementkategorie variieren. Möglicherweise ist bei Ihrem Abonnement auch die Anzahl von Kernen beschränkt, die in bestimmten VM-Größenkategorien wie der für vertrauliche VMs bereitgestellt werden können.

In diesem Fall können Sie eine Anfrage an den Onlinekundensupport senden und eine Erhöhung des Kontingents anfordern.

Wenn Sie einen umfangreichen Kapazitätsbedarf haben, wenden Sie sich an den Azure-Support. Azure-Kontingente sind Angebotsbeschränkungen, keine Kapazitätsgarantien. Nur die tatsächlich verwendeten Kerne werden in Rechnung gestellt.

Preisberechnung

Preisoptionen finden Sie unter Virtuelle Windows-Computer – Preise.

Regionale Verfügbarkeit

Informationen zur Verfügbarkeit der VM-Produkte finden Sie unter Verfügbare Produkte nach Region

Größenänderung

Vertrauliche VMs werden auf spezieller Hardware ausgeführt, sodass Sie nur die Größe vertraulicher VM-Instanzen in andere vertrauliche Größen in derselben Region ändern können. Wenn Sie z. B. über eine VM der DCasv5-Serie verfügen, können Sie die Größe in eine andere DCasv5- oder DCesv5-Reiheninstanz ändern.

Es ist nicht möglich, die Größe eines nicht vertraulichen virtuellen Computers in die eines vertraulichen virtuellen Computers zu ändern.

Hochverfügbarkeit und Notfallwiederherstellung

Für Lösungen zur Hochverfügbarkeit und Notfallwiederherstellung für Ihre vertraulichen virtuellen Computer sind Sie verantwortlich. Die Vorbereitung auf diese Szenarios hilft, längere Ausfallzeiten zu vermeiden.

Bereitstellung mit ARM-Vorlagen

Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Sie können Folgendes ausführen:

  • Mithilfe von Verwaltungsfeatures wie der Zugriffssteuerung, Sperren und Tags können Sie Ihre Ressourcen nach der Bereitstellung schützen und organisieren.
  • Zum Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Abonnement können Sie die Verwaltungsebene verwenden.
  • Verwenden Sie Azure Resource Manager-Vorlagen (ARM-Vorlagen), um vertrauliche VMs auf AMD-Prozessoren bereitzustellen.

Stellen Sie sicher, dass Sie im Parameterabschnitt (parameters) die folgenden Eigenschaften für Ihren virtuellen Computer angeben:

  • VM-Größe (vmSize). Wählen Sie aus den verschiedenen Kategorien und Größen für vertrauliche VM aus.
  • Name des Betriebssystemimages (osImageName). Wählen Sie aus den qualifizierten Betriebssystemimages aus.
  • Typ der Datenträgerverschlüsselung (securityType). Wählen Sie die Verschlüsselung nur der VMGS-Datenträger (VMGuestStateOnly) und die Vorverschlüsselung des gesamten Betriebssystemdatenträgers (DiskWithVMGuestState) aus. Letztere kann allerdings zu längeren Bereitstellungszeiten führen. Nur für Intel TDX-Instanzen unterstützen wir auch einen anderen Sicherheitstyp (NonPersistedTPM), der keine VMGS- oder Betriebssystemdatenträgerverschlüsselung aufweist.

Nächste Schritte

Weitere Informationen finden Sie in den häufig gestellten Fragen zu vertraulichen virtuellen Computern.