Soluciones en Azure para Intel SGX
Puede implementar máquinas virtuales (VM) de la extensión de protección Intel Software (Intel SGX) para su uso en la computación confidencial de Azure.
Tamaños y regiones disponibles actualmente
Para obtener una lista de tamaños de VM de Intel SGX, use la Interfaz de la línea de comandos de Azure (CLI de Azure). Instale la CLI de Azure si no lo ha hecho ya. Después, ejecute el siguiente comando para hacer una lista de los tamaños de Intel SGX, con información de la región y de la zona de disponibilidad.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Requisitos de host dedicados
La implementación de una VM de serie Standard_DC8_v2, Standard_DC48s_v3 o Standard_DC48ds_v3 ocupa el host completo. Otros inquilinos o suscripciones no comparten el host. Esta familia de SKU de VM proporciona el aislamiento que puede necesitar para cumplir los requisitos normativos de cumplimiento y seguridad. Normalmente, necesita un servicio de host dedicado para cumplir estos requisitos.
Para estos tamaños de VM, el servidor host físico asigna todos los recursos de hardware disponibles, incluida la memoria EPC, solo a la máquina virtual. Esta implementación no es la misma que el servicio Azure Dedicated Host que proporcionan otras familias de VM.
Consideraciones de la implementación
Tenga en cuenta los siguientes factores al planear la implementación de la VM Intel SGX en Azure.
Suscripción de Azure
Para implementar una instancia de VM de computación confidencial, considere la posibilidad de usar una suscripción de pago por uso u otra opción de compra. Las cuentas gratuitas de Azure no tienen una cuota lo bastante alta para el número necesario de núcleos de proceso de Azure.
Precios y disponibilidad regional
Busque los precios de las VM DCsv2, DCsv3 y DCdsv3 en la página de precios de las VM de Azure. Consulte la tabla de productos disponibles por región para ver la disponibilidad en las distintas regiones de Azure.
Cuota de núcleos
Quizá tenga que aumentar la cuota de núcleos de su suscripción de Azure partiendo del valor predeterminado. La suscripción también podría limitar el número de núcleos que se pueden implementar en ciertas familias de tamaño de VM, como la serie DCsv2. Puede solicitar un aumento de la cuota sin cargo alguno. Los límites predeterminados pueden ser diferentes en función de la categoría de suscripción.
Si tiene necesidades de capacidad a gran escala, póngase en contacto con el Soporte técnico de Azure. Las cuotas de Azure son límites de crédito, no garantías de capacidad. Sea cual sea la cuota, solamente se le cobrarán los núcleos que use.
Cambio de tamaño
Debido a su hardware especializado, el tamaño de las instancias de VM Intel SGX solo se puede cambiar dentro de la misma familia de tamaño. Por ejemplo, una VM de la serie DCsv2 solo se puede cambiar de un tamaño de la serie DCsv2 a otro.
Imagen
Para proporcionar compatibilidad con Intel SGX en instancias de proceso confidenciales, todas las implementaciones deben ejecutarse en imágenes de Generación 2. La computación confidencial de Azure admite cargas de trabajo que se ejecutan en Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 y Ubuntu 22.04 Gen 2. Para más información sobre los escenarios admitidos y no admitidos, consulte compatibilidad con las VM de Generación 2 en Azure.
Storage
Las VM de la serie DCsv2 admiten SSD estándar y SSD prémium, excepto DC8_v2.
Las series DCsv3 y DCdsv3 admiten SSD estándar, SSD prémium y Disco Ultra.
Consideraciones acerca de la alta disponibilidad y la recuperación ante desastres
Al usar VM de Azure, hay que hacerse cargo de crear una solución de alta disponibilidad (HA) y recuperación ante desastres, para evitar cualquier tiempo de inactividad.
En este momento, la computación confidencial de Azure no admite la redundancia de zona a través de Azure Availability Zones. Para obtener la máxima disponibilidad y redundancia para la computación confidencial, use conjuntos de disponibilidad. Debido a las restricciones de hardware, los conjuntos de disponibilidad para las instancias de computación confidencial solo pueden tener un máximo de 10 dominios de actualización.
Implementación con plantilla de Azure Resource Manager (ARM)
Azure Resource Manager es el servicio de implementación y administración para Azure. Puede usar la capa de administración de servicios para crear, actualizar y eliminar recursos de la suscripción de Azure. Hay características de administración como el control de acceso, los bloqueos y las etiquetas. Use estas características para proteger y organizar los recursos después de la implementación.
Para más información sobre las plantillas de Azure Resource Manager (plantillas de ARM), consulte Información general sobre las plantillas.
Para la implementación del uso de plantillas de ARM, consulte Máquinas virtuales en una plantilla de Azure Resource Manager. Asegúrese de que especifica las propiedades correctas para vmSize y para imageReference.
Tamaños de VM
Especifique uno de los siguientes tamaños en la plantilla de ARM del recurso de VM. Esta cadena es vmSize en properties (propiedades).
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Imagen de sistema operativo Gen2
En properties, también tendrá que especificar una imagen en storageProfile. Use solo una de las siguientes imágenes para su valor de imageReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},