Opciones de VM de Azure Confidential

Azure ofrece una selección de opciones del entorno de ejecución de confianza (TEE) tanto de AMD como de Intel. Estos TEE permiten crear entornos de VM confidenciales con excelentes relaciones de precio a rendimiento, todo ello sin necesidad de cambios de código.

En el caso de las máquinas virtuales confidenciales basadas en AMD, la tecnología utilizada es AMD SEV-SNP, que se introdujo con procesadores AMD EPYC™ de 3ª generación. Por otro lado, las máquinas virtuales confidenciales basadas en Intel usan Intel TDX, una tecnología introducida con procesadores Intel® Xeon® de 4ª generación. Ambas tecnologías tienen implementaciones diferentes, pero proporcionan protecciones similares de la pila de infraestructura en la nube.

Tamaños

Ofrecemos los siguientes tamaños de máquina virtual:

Familia de tamaños	TEE	Descripción
Serie DCasv5	AMD SEV-SNP	CVM de uso general con almacenamiento remoto. No hay ningún disco temporal local.
Serie DCadsv5	AMD SEV-SNP	CVM de uso general con disco temporal local.
Serie ECasv5	AMD SEV-SNP	CVM optimizadas para memoria con almacenamiento remoto. No hay ningún disco temporal local.
Serie ECadsv5	AMD SEV-SNP	CVM optimizadas para memoria con disco temporal local.
Serie DCesv5	Intel TDX	CVM de uso general con almacenamiento remoto. No hay ningún disco temporal local.
Serie DCedsv5	Intel TDX	CVM de uso general con disco temporal local.
Serie ECesv5	Intel TDX	CVM optimizadas para memoria con almacenamiento remoto. No hay ningún disco temporal local.
Serie ECedsv5	Intel TDX	CVM optimizadas para memoria con disco temporal local.

Nota:

Las máquinas virtuales confidenciales optimizadas para memoria ofrecen el doble de memoria por recuento de vCPU.

Comandos de la CLI de Azure

Puede usar la CLI de Azure con las máquinas virtuales confidenciales.

Para ver una lista de tamaños de máquina virtual confidenciales, ejecute el siguiente comando. Reemplace <vm-series> por la versión que desea usar. La salida muestra información sobre las regiones disponibles y las zonas de disponibilidad.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Para obtener una lista más detallada, ejecute el siguiente comando en su lugar:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Consideraciones de la implementación

Tenga en cuenta la siguiente configuración y opciones antes de implementar máquinas virtuales confidenciales.

Suscripción de Azure

Para implementar una instancia de máquina virtual confidencial, puede usar una suscripción de pago por uso u otra opción de compra. Si está usando una cuenta gratuita de Azure, la cuota no permite el número apropiado de núcleos de proceso de Azure.

Quizá tenga que aumentar la cuota de núcleos de su suscripción de Azure partiendo del valor predeterminado. Los límites predeterminados varían en función de la categoría de suscripción. La suscripción también puede limitar el número de núcleos que puede implementar en determinadas familias de tamaños de máquina virtual, incluidos los tamaños de máquina virtual confidenciales.

Para solicitar un aumento de cuota, abra una solicitud de soporte técnico al cliente en línea.

Si tiene necesidades de capacidad a gran escala, póngase en contacto con el Soporte técnico de Azure. Las cuotas de Azure son límites de crédito, no garantías de capacidad. Solo se incurre en cargos por los núcleos que use.

Precios

Para ver las opciones de precios, consulte los precios de Linux Virtual Machines.

Disponibilidad regional

Para obtener información sobre disponibilidad, consulte qué productos de máquina virtual están disponibles por región de Azure.

Cambio de tamaño

Las máquinas virtuales confidenciales se ejecutan en hardware especializado, por lo que solo puede cambiar el tamaño de las instancias de máquina virtual confidenciales a otros tamaños confidenciales de la misma región. Por ejemplo, si tiene una máquina virtual de la serie DCasv5, puede cambiar el tamaño a otra instancia de la serie DCasv5 o a una instancia de la serie DCesv5.

No es posible cambiar el tamaño de una máquina virtual no confidencial a una máquina virtual confidencial.

Compatibilidad con sistema operativo de invitado

Las imágenes de sistema operativo para máquinas virtuales confidenciales deben cumplir determinados requisitos de seguridad y compatibilidad. Las imágenes cualificadas admiten el montaje seguro, la atestación, el cifrado opcional del disco del sistema operativo confidencial y el aislamiento de la infraestructura de nube subyacente. Estas imágenes incluyen:

• Ubuntu 20.04 LTS (solo se admite AMD SEV-SNP)
• Ubuntu 22.04 LTS
• Red Hat Enterprise Linux 9.3 (solo se admite AMD SEV-SNP)
• Windows Server 2019 Datacenter: x64 Gen 2 (solo se admite AMD SEV-SNP)
• Windows Server 2019 Datacenter Server Core: x64 Gen 2 (solo se admite AMD SEV-SNP)
• Windows Server 2022 Datacenter: x64 Gen 2
• Windows Server 2022 Datacenter: Azure Edition (Core): x64 Gen 2
• Windows Server 2022 Datacenter: Azure Edition: x64 Gen 2
• Windows Server 2022 Datacenter Server Core: x64 Gen 2
• Windows 11 Enterprise N, versión 22H2: x64 Gen 2
• Windows 11 Pro, versión 22H2 ZH-CN: x64 Gen 2
• Windows 11 Pro, versión 22H2: x64 Gen 2
• Windows 11 Pro N, versión 22H2: x64 Gen 2
• Windows 11 Enterprise, versión 22H2: x64 Gen 2
• Windows 11 Enterprise multisesión, versión 22H2: x64 Gen 2

A medida que trabajamos para incorporar más imágenes de sistema operativo con cifrado de disco del sistema operativo confidencial, hay varias imágenes disponibles en la versión preliminar temprana que se pueden probar. Puede registrarse a continuación:

• Red Hat Enterprise Linux 9.3 (se admite Intel TDX)
• SUSE Enterprise Linux 15 SP5 (se admite Intel TDX, AMD SEV-SNP)
• SUSE Enterprise Linux 15 SAP SP5 (se admite Intel TDX, AMD SEV-SNP)

Para más información sobre los escenarios de máquina virtual admitidos y no admitidos, consulte Compatibilidad con máquinas virtuales de generación 2 en Azure.

Alta disponibilidad y recuperación ante desastres

Es responsable de crear soluciones de alta disponibilidad y recuperación ante desastres para las máquinas virtuales confidenciales. La planificación de estos escenarios ayuda a minimizar y evitar los tiempos de inactividad prolongados.

Implementación con plantillas de ARM

Azure Resource Manager es el servicio de implementación y administración para Azure. Puede:

• Proteja y organice los recursos después de la implementación con las características de administración, como el control de acceso, los bloqueos y las etiquetas.
• Cree, actualice y elimine recursos en su suscripción de Azure mediante la capa de administración.
• Use plantillas de Azure Resource Manager (plantillas de ARM) para implementar máquinas virtuales confidenciales en procesadores AMD. Hay una plantilla de ARM disponible para máquinas virtuales confidenciales.

Asegúrese de especificar las siguientes propiedades para la máquina virtual en la sección de parámetros (parameters):

• Tamaño de máquina virtual (vmSize). Elija entre las diferentes familias y tamaños confidenciales de máquinas virtuales.
• Nombre de imagen del sistema operativo (osImageName). Elija entre las imágenes de sistema operativo calificadas.
• Tipo de cifrado de disco (securityType). Elija entre cifrado solo de VMGS (VMGuestStateOnly) o cifrado previo de disco completo del sistema operativo (DiskWithVMGuestState), lo que podría dar lugar a tiempos de aprovisionamiento más largos. En el caso de las instancias de Intel TDX, solo se admite otro tipo de seguridad (NonPersistedTPM) que no tenga cifrado de disco vmGS ni del sistema operativo.

Pasos siguientes

Implementación de una VM confidencial desde Azure Portal

Para obtener más información, consulte las preguntas más frecuentes sobre máquinas virtuales confidenciales.