Azure Confidential VM-Optionen

Azure bietet mehrere vertrauliche VM-Optionen, die Trusted Execution Environments (TEE)-Technologien von AMD und Intel nutzen, um die Virtualisierungsumgebung zu härten. Diese Technologien ermöglichen es Ihnen, vertrauliche Computerumgebungen mit hervorragendem Preis-Leistungsverhältnis ohne Codeänderungen bereitzustellen.

Vertrauliche AMD-VMs nutzen Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP), das mit 3rd Gen AMD EPYC-Prozessoren™ eingeführt wurde. Vertrauliche VMs von Intel verwenden Trust Domain Extensions (TDX), die mit Intel® Xeon® Prozessoren® der 4. Generation eingeführt wurde.

Größen

Sie können vertrauliche virtuelle Computer in den folgenden Größenfamilien erstellen:

Größenkategorie	TEE	Beschreibung
DCasv5-Serie	AMD SEV-SNP	Universeller CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
DCesv5-Serie	Intel TDX	Universeller CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
DCadsv5-Serie	AMD SEV-SNP	Universeller CVM mit lokaler temporärer Festplatte.
DCedsv5-Serie	Intel TDX	Universeller CVM mit lokaler temporärer Festplatte.
ECasv5-Serie	AMD SEV-SNP	Speicheroptimierter CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
ECesv5-Serie	Intel TDX	Speicheroptimierter CVM mit Remotespeicher. Kein lokaler temporärer Datenträger
ECadsv5-Serie	AMD SEV-SNP	Speicheroptimierter CVM mit lokaler temporärer Festplatte.
ECedsv5-Serie	Intel TDX	Speicheroptimierter CVM mit lokaler temporärer Festplatte.

Hinweis

Speicheroptimierte vertrauliche VMs bieten die doppelte Speicherkapazität pro vCPU.

Azure CLI-Befehle

Sie können die Azure CLI für Ihre vertraulichen virtuellen Computer verwenden.

Führen Sie den folgenden Befehl aus, um eine Liste der Größen vertraulicher VM anzuzeigen. Ersetzen Sie <vm-series> durch die gewünschte Serie. Die Ausgabe umfasst Informationen zu verfügbaren Regionen und Verfügbarkeitszonen.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Führen Sie den folgenden Befehl aus, um eine ausführlichere Liste anzuzeigen:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Überlegungen zur Bereitstellung

Beachten Sie vor dem Bereitstellen vertraulicher VMs folgende Einstellungen und Optionen.

Azure-Abonnement

Zur Bereitstellung einer vertraulichen VM-Instanz sollten Sie ein Abonnement mit nutzungsbasierter Bezahlung oder eine andere Kaufoption in Erwägung ziehen. Wenn Sie ein kostenloses Azure-Konto verwenden, bietet das Kontingent nicht die entsprechende Anzahl von Azure-Computekernen.

Es kann sein, dass Sie das Kontingent für die Speicherkerne in Ihrem Azure-Abonnement anpassen müssen, indem Sie den Standardwert erhöhen. Standardgrenzwerte können je nach Abonnementkategorie variieren. Möglicherweise ist bei Ihrem Abonnement auch die Anzahl von Kernen beschränkt, die in bestimmten VM-Größenkategorien wie der für vertrauliche VMs bereitgestellt werden können.

In diesem Fall können Sie eine Anfrage an den Onlinekundensupport senden und eine Erhöhung des Kontingents anfordern.

Wenn Sie einen umfangreichen Kapazitätsbedarf haben, wenden Sie sich an den Azure-Support. Azure-Kontingente sind Angebotsbeschränkungen, keine Kapazitätsgarantien. Nur die tatsächlich verwendeten Kerne werden in Rechnung gestellt.

Preisberechnung

Preisoptionen finden Sie unter Virtuelle Windows-Computer – Preise.

Regionale Verfügbarkeit

Informationen zur Verfügbarkeit der VM-Produkte finden Sie unter Verfügbare Produkte nach Region

Größenänderung

Vertrauliche VMs werden auf spezieller Hardware ausgeführt, sodass Sie nur die Größe vertraulicher VM-Instanzen in andere vertrauliche Größen in derselben Region ändern können. Wenn Sie z. B. über eine VM der DCasv5-Serie verfügen, können Sie die Größe in eine andere DCasv5- oder DCesv5-Reiheninstanz ändern.

Es ist nicht möglich, die Größe eines nicht vertraulichen virtuellen Computers in die eines vertraulichen virtuellen Computers zu ändern.

Unterstützung des Gastbetriebssystems

Betriebssystem-Images müssen für die Ausführung auf einem vertraulichen VM bestimmte Sicherheits- und Kompatibilitätsanforderungen erfüllen. Qualifizierte Images unterstützen die sichere Einbindung, den Nachweis, die optionale vertrauliche Betriebssystem-Datenträgerverschlüsselung und die Isolation von der zugrunde liegenden Cloudinfrastruktur. Zu diesen Images gehören:

• Ubuntu 20.04 LTS (nur AMD SEV-SNP unterstützt)
• Ubuntu 22.04 LTS
• Red Hat Enterprise Linux 9.3 (nur AMD SEV-SNP unterstützt)
• Windows Server 2019 Datacenter – x64 Gen 2 (nur AMD SEV-SNP unterstützt)
• Windows Server 2019 Datacenter Server Core – x64 Gen 2 (nur AMD SEV-SNP unterstützt)
• Windows Server 2022 Datacenter – x64 Gen2
• Windows Server 2022 Datacenter: Azure Edition Core – x64 Gen2
• Windows Server 2022 Datacenter: Azure Edition – x64 Gen2
• Windows Server 2022 Datacenter Server Core –x64 Gen2
• Windows 11 Enterprise N, Version 22H2 – x64 Gen2
• Windows 11 Pro, Version 22H2 ZH-CN – x64 Gen2
• Windows 11 Pro, Version 22H2 – x64 Gen2
• Windows 11 Pro N, Version 22H2 – x64 Gen2
• Windows 11 Enterprise, Version 22H2 – x64 Gen2
• Windows 11 Enterprise mit mehreren Sitzungen, Version 22H2 – x64 Gen2

Da wir daran arbeiten, weitere Betriebssystemimages mit vertraulicher Betriebssystemdatenträgerverschlüsselung zu integrieren, stehen in der frühen Vorschau verschiedene Images zur Verfügung, die getestet werden können. Sie können sich unten registrieren:

• Red Hat Enterprise Linux 9.3 (Support für Intel TDX)
• SUSE Enterprise Linux 15 SP5 (Unterstützung für Intel TDX, AMD SEV-SNP)
• SUSE Enterprise Linux 15 SAP SP5 (Unterstützung für Intel TDX, AMD SEV-SNP)

Weitere Informationen zu unterstützten und nicht unterstützten VM-Szenarios finden Sie unter Unterstützung für VMs der Generation 2 in Azure.

Hochverfügbarkeit und Notfallwiederherstellung

Für Lösungen zur Hochverfügbarkeit und Notfallwiederherstellung für Ihre vertraulichen virtuellen Computer sind Sie verantwortlich. Die Vorbereitung auf diese Szenarios hilft, längere Ausfallzeiten zu vermeiden.

Bereitstellung mit ARM-Vorlagen

Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Sie können Folgendes ausführen:

• Mithilfe von Verwaltungsfeatures wie der Zugriffssteuerung, Sperren und Tags können Sie Ihre Ressourcen nach der Bereitstellung schützen und organisieren.
• Zum Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Abonnement können Sie die Verwaltungsebene verwenden.
• Verwenden Sie Azure Resource Manager-Vorlagen (ARM-Vorlagen), um vertrauliche VMs auf AMD-Prozessoren bereitzustellen. Es ist eine ARM-Vorlage für vertrauliche VMs verfügbar.

Stellen Sie sicher, dass Sie im Parameterabschnitt (parameters) die folgenden Eigenschaften für Ihren virtuellen Computer angeben:

• VM-Größe (vmSize). Wählen Sie aus den verschiedenen Kategorien und Größen für vertrauliche VM aus.
• Name des Betriebssystemimages (osImageName). Wählen Sie aus den qualifizierten Betriebssystemimages aus.
• Typ der Datenträgerverschlüsselung (securityType). Wählen Sie die Verschlüsselung nur der VMGS-Datenträger (VMGuestStateOnly) und die Vorverschlüsselung des gesamten Betriebssystemdatenträgers (DiskWithVMGuestState) aus. Letztere kann allerdings zu längeren Bereitstellungszeiten führen. Nur für Intel TDX-Instanzen unterstützen wir auch einen anderen Sicherheitstyp (NonPersistedTPM), der keine VMGS- oder Betriebssystemdatenträgerverschlüsselung aufweist.

Nächste Schritte

Bereitstellen einer vertraulichen VM über das Azure-Portal

Weitere Informationen finden Sie in den häufig gestellten Fragen zu vertraulichen virtuellen Computern.