Azure Confidential VM-Optionen
Azure bietet eine Reihe von TEE-Optionen (Trusted Execution Environment) von AMD und Intel. Diese TEEs ermöglichen die Erstellung vertraulicher VM-Umgebungen mit hervorragendem Preis-Leistungs-Verhältnis ohne erforderliche Codeänderungen.
Bei AMD-basierten vertraulichen VMs kommt die Technologie AMD SEV-SNP zum Einsatz, die mit AMD EPYC™-Prozessoren der dritten Generation eingeführt wurde. Intel-basierte vertrauliche VMs nutzen dagegen Intel TDX – eine Technologie, die mit Intel® Xeon®-Prozessoren der vierten Generation eingeführt wurde. Beide Technologien haben unterschiedliche Implementierungen, bieten jedoch jeweils einen ähnlichen Schutz über den Cloudinfrastrukturstapel.
Größen
Folgende VM-Größen stehen zur Verfügung:
Größenkategorie | TEE | Beschreibung |
---|---|---|
DCasv5-Serie | AMD SEV-SNP | Universeller CVM mit Remotespeicher. Kein lokaler temporärer Datenträger |
DCadsv5-Serie | AMD SEV-SNP | Universeller CVM mit lokaler temporärer Festplatte. |
ECasv5-Serie | AMD SEV-SNP | Speicheroptimierter CVM mit Remotespeicher. Kein lokaler temporärer Datenträger |
ECadsv5-Serie | AMD SEV-SNP | Speicheroptimierter CVM mit lokaler temporärer Festplatte. |
DCesv5-Serie | Intel TDX | Universeller CVM mit Remotespeicher. Kein lokaler temporärer Datenträger |
DCedsv5-Serie | Intel TDX | Universeller CVM mit lokaler temporärer Festplatte. |
ECesv5-Serie | Intel TDX | Speicheroptimierter CVM mit Remotespeicher. Kein lokaler temporärer Datenträger |
ECedsv5-Serie | Intel TDX | Speicheroptimierter CVM mit lokaler temporärer Festplatte. |
NCCadsH100v5-Serie | AMD SEV-SNP- und NVIDIA H100 Tensor Core-GPUs | CVM mit vertraulicher GPU. |
Hinweis
Speicheroptimierte vertrauliche VMs bieten die doppelte Speicherkapazität pro vCPU.
Azure CLI-Befehle
Sie können die Azure CLI für Ihre vertraulichen virtuellen Computer verwenden.
Führen Sie den folgenden Befehl aus, um eine Liste der Größen vertraulicher VM anzuzeigen. Ersetzen Sie <vm-series>
durch die gewünschte Serie. Die Ausgabe umfasst Informationen zu verfügbaren Regionen und Verfügbarkeitszonen.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Führen Sie den folgenden Befehl aus, um eine ausführlichere Liste anzuzeigen:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Überlegungen zur Bereitstellung
Beachten Sie vor dem Bereitstellen vertraulicher VMs folgende Einstellungen und Optionen.
Azure-Abonnement
Zur Bereitstellung einer vertraulichen VM-Instanz sollten Sie ein Abonnement mit nutzungsbasierter Bezahlung oder eine andere Kaufoption in Erwägung ziehen. Wenn Sie ein kostenloses Azure-Konto verwenden, bietet das Kontingent nicht die entsprechende Anzahl von Azure-Computekernen.
Es kann sein, dass Sie das Kontingent für die Speicherkerne in Ihrem Azure-Abonnement anpassen müssen, indem Sie den Standardwert erhöhen. Standardgrenzwerte können je nach Abonnementkategorie variieren. Möglicherweise ist bei Ihrem Abonnement auch die Anzahl von Kernen beschränkt, die in bestimmten VM-Größenkategorien wie der für vertrauliche VMs bereitgestellt werden können.
In diesem Fall können Sie eine Anfrage an den Onlinekundensupport senden und eine Erhöhung des Kontingents anfordern.
Wenn Sie einen umfangreichen Kapazitätsbedarf haben, wenden Sie sich an den Azure-Support. Azure-Kontingente sind Angebotsbeschränkungen, keine Kapazitätsgarantien. Nur die tatsächlich verwendeten Kerne werden in Rechnung gestellt.
Preisberechnung
Preisoptionen finden Sie unter Virtuelle Windows-Computer – Preise.
Regionale Verfügbarkeit
Informationen zur Verfügbarkeit der VM-Produkte finden Sie unter Verfügbare Produkte nach Region
Größenänderung
Vertrauliche VMs werden auf spezieller Hardware ausgeführt, sodass Sie nur die Größe vertraulicher VM-Instanzen in andere vertrauliche Größen in derselben Region ändern können. Wenn Sie z. B. über eine VM der DCasv5-Serie verfügen, können Sie die Größe in eine andere DCasv5- oder DCesv5-Reiheninstanz ändern.
Es ist nicht möglich, die Größe eines nicht vertraulichen virtuellen Computers in die eines vertraulichen virtuellen Computers zu ändern.
Hochverfügbarkeit und Notfallwiederherstellung
Für Lösungen zur Hochverfügbarkeit und Notfallwiederherstellung für Ihre vertraulichen virtuellen Computer sind Sie verantwortlich. Die Vorbereitung auf diese Szenarios hilft, längere Ausfallzeiten zu vermeiden.
Bereitstellung mit ARM-Vorlagen
Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Sie können Folgendes ausführen:
- Mithilfe von Verwaltungsfeatures wie der Zugriffssteuerung, Sperren und Tags können Sie Ihre Ressourcen nach der Bereitstellung schützen und organisieren.
- Zum Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Abonnement können Sie die Verwaltungsebene verwenden.
- Verwenden Sie Azure Resource Manager-Vorlagen (ARM-Vorlagen), um vertrauliche VMs auf AMD-Prozessoren bereitzustellen.
Stellen Sie sicher, dass Sie im Parameterabschnitt (parameters
) die folgenden Eigenschaften für Ihren virtuellen Computer angeben:
- VM-Größe (
vmSize
). Wählen Sie aus den verschiedenen Kategorien und Größen für vertrauliche VM aus. - Name des Betriebssystemimages (
osImageName
). Wählen Sie aus den qualifizierten Betriebssystemimages aus. - Typ der Datenträgerverschlüsselung (
securityType
). Wählen Sie die Verschlüsselung nur der VMGS-Datenträger (VMGuestStateOnly
) und die Vorverschlüsselung des gesamten Betriebssystemdatenträgers (DiskWithVMGuestState
) aus. Letztere kann allerdings zu längeren Bereitstellungszeiten führen. Nur für Intel TDX-Instanzen unterstützen wir auch einen anderen Sicherheitstyp (NonPersistedTPM
), der keine VMGS- oder Betriebssystemdatenträgerverschlüsselung aufweist.
Nächste Schritte
Weitere Informationen finden Sie in den häufig gestellten Fragen zu vertraulichen virtuellen Computern.