Options de la machine virtuelle Azure Confidential
Azure propose un choix d’options d’environnement d’exécution de confiance (TEE) à partir d’AMD et d’Intel. Ces TEE vous permet de créer des environnement de machines virtuelles confidentielles avec un excellent rapport prix/performance, sans nécessiter de modification de code.
Pour les machines virtuelles confidentielles avec AMD, la technologie utilisée est AMD SEV-SNP, introduite dans les processeurs d’AMD EPYC™ de 3e génération. D’autre part, les machines virtuelles confidentielles avec Intel utilisent Intel TDX, une technologie introduite avec les processeurs Intel® Xeon® de 4e génération. Les deux technologies ont des implémentations différentes. Toutefois, toutes deux offrent des protections similaires à partir de la pile d’infrastructure cloud.
Tailles
Nous offrons les tailles de machine virtuelle suivantes :
| Famille de tailles | TEE | Description |
|---|---|---|
| DCasv5-series | AMD SEV-SNP | CVM à usage général avec stockage à distance. Aucun disque temporaire local. |
| DCadsv5-series | AMD SEV-SNP | CVM à usage général avec disque temporaire local. |
| ECasv5-series | AMD SEV-SNP | CVM à mémoire optimisée avec stockage à distance. Aucun disque temporaire local. |
| ECadsv5-series | AMD SEV-SNP | CVM à mémoire optimisée avec disque temporaire local. |
| Série DCesv5 | Intel TDX | CVM à usage général avec stockage à distance. Aucun disque temporaire local. |
| Série DCedsv5 | Intel TDX | CVM à usage général avec disque temporaire local. |
| Série ECesv5 | Intel TDX | CVM à mémoire optimisée avec stockage à distance. Aucun disque temporaire local. |
| Série ECedsv5 | Intel TDX | CVM à mémoire optimisée avec disque temporaire local. |
| NCCadsH100v5-series | Processeurs graphiques AMD SEV-SNP et NVIDIA H100 Tensor Core | CVM avec GPU confidentiel. |
Remarque
Les machines virtuelles confidentielles à mémoire optimisée offrent un double du ratio de mémoire par nombre de processeurs virtuels.
Commandes Azure CLI
Vous pouvez utiliser l’interface de ligne de commande Azure avec vos machines virtuelles confidentielles.
Pour afficher la liste des tailles de machine virtuelle confidentielles, exécutez la commande suivante. Remplacez <vm-series> par la série que vous voulez utiliser. La sortie affiche des informations sur les régions disponibles et les zones de disponibilité.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Pour obtenir une liste plus détaillée, exécutez la commande suivante à la place :
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Points à prendre en considération pour le déploiement
Tenez compte des paramètres et des choix suivants avant de déployer des machines virtuelles confidentielles.
Abonnement Azure
Pour déployer une instance de machine virtuelle confidentielle, envisagez de souscrire un abonnement de paiement à l’utilisation ou d’autres options d’achat. Si vous utilisez un compte gratuit Azure, le quota n’autorise pas le nombre approprié de cœurs de calcul Azure.
Vous devrez peut-être augmenter le quota de cœurs dans votre abonnement Azure à partir de la valeur par défaut. Les limites par défaut varient en fonction de la catégorie de votre abonnement. Votre abonnement peut également limiter le nombre de cœurs que vous pouvez déployer dans certaines familles de taille de machine virtuelle, dont les tailles de machines virtuelles confidentielles.
Pour demander une augmentation de quota, ouvrez une demande de service clientèle en ligne.
Si vous avez des besoins de capacité à grande échelle, contactez le support Azure. Les quotas d’Azure sont des limites de crédit et non des garanties de capacité. Vous n’êtes facturé que pour les cœurs que vous utilisez.
Tarifs
Pour connaître les options de tarification, consultez la tarification machines virtuelles Linux.
Disponibilité régionale
Pour obtenir des informations sur la disponibilité, consultez les produits de machines virtuelles disponibles par région Azure.
Redimensionnement
Les machines virtuelles confidentielles s’exécutent sur du matériel spécialisé. Vous pouvez uniquement redimensionner les instances de machine virtuelle confidentielles à d’autres tailles confidentielles dans la même région. Par exemple, si vous avez une machine virtuelle de la série DCasv5, vous pouvez redimensionner vers une autre instance de série DCasv5 ou une instance de série DCesv5.
Il n’est pas possible de redimensionner une machine virtuelle non confidentielle en machine virtuelle confidentielle.
Haute disponibilité et récupération d’urgence
Vous êtes responsable de la création de solutions de haute disponibilité et de récupération d’urgence pour vos machines virtuelles confidentielles. La planification de ces scénarios permet de réduire et d’éviter les temps d’arrêt prolongés.
Déploiement avec des modèles ARM
Azure Resource Manager est le service de déploiement et de gestion d’Azure. Vous pouvez :
- Sécurisez et organisez vos ressources après le déploiement grâce aux fonctions de gestion, comme le contrôle d’accès, les verrous et les étiquettes.
- Créez, mettez à jour et supprimez des ressources dans votre abonnement Azure à l’aide de la couche de gestion.
- Utilisez des modèles Azure Resource Manager (modèles ARM) pour déployer des machines virtuelles confidentielles sur des processeurs AMD.
Veillez à spécifier les propriétés suivantes pour votre machine virtuelle dans la section paramètres (parameters) :
- Taille de la machine virtuelle (
vmSize). Choisissez parmi les différentes tailles et familles de machines virtuelles confidentielles. - Nom de l’image du système d’exploitation (
osImageName). Choisissez parmi les images de système d’exploitation qualifiées. - Type de chiffrement de disque (
securityType). Choisissez un chiffrement VMGS uniquement (VMGuestStateOnly) ou un pré-chiffrement du disque du système d’exploitation complet (DiskWithVMGuestState), ce qui peut entraîner des délais d’approvisionnement plus longs. Pour les instances Intel TDX, nous prenons uniquement en charge un autre type de sécurité (NonPersistedTPM) qui n’a pas de chiffrement de disque VMGS ou de système d’exploitation.
Étapes suivantes
Pour plus d’informations, consultez notre FAQ sur les machines virtuelles confidentielles.