Options de la machine virtuelle Azure Confidential

  • Article

Azure offre plusieurs options de machines virtuelles confidentielles tirant parti des technologies TEE (Environnement d’Exécution de confiance) d’AMD et Intel pour renforcer l’environnement de virtualisation. Ces technologies vous permettent d’approvisionner des environnements informatiques confidentiels avec un excellent rapport prix/performance sans modifier le code.

Les machines virtuelles confidentielles AMD tirent parti de la pagination imbriquée sécurisée Secure Encrypted Virtualization (SEV-SNP) qui a été introduite avec des processeurs AMD EPYC™ de 3e génération. Les machines virtuelles confidentielles Intel utilisent les extensions de domaine d’approbation (TDX) qui ont été introduites avec les processeurs Intel® Xeon® de 4e génération.

Tailles

Vous pouvez créer des machines virtuelles confidentielles dans les familles de tailles suivantes :

Famille de tailles TEE Description
DCasv5-series AMD SEV-SNP CVM à usage général avec stockage à distance. Aucun disque temporaire local.
Série DCesv5 Intel TDX CVM à usage général avec stockage à distance. Aucun disque temporaire local.
DCadsv5-series AMD SEV-SNP CVM à usage général avec disque temporaire local.
Série DCedsv5 Intel TDX CVM à usage général avec disque temporaire local.
ECasv5-series AMD SEV-SNP CVM à mémoire optimisée avec stockage à distance. Aucun disque temporaire local.
Série ECesv5 Intel TDX CVM à mémoire optimisée avec stockage à distance. Aucun disque temporaire local.
ECadsv5-series AMD SEV-SNP CVM à mémoire optimisée avec disque temporaire local.
Série ECedsv5 Intel TDX CVM à mémoire optimisée avec disque temporaire local.

Remarque

Les machines virtuelles confidentielles à mémoire optimisée offrent un double du ratio de mémoire par nombre de processeurs virtuels.

Commandes Azure CLI

Vous pouvez utiliser l’interface de ligne de commande Azure avec vos machines virtuelles confidentielles.

Pour afficher la liste des tailles de machine virtuelle confidentielles, exécutez la commande suivante. Remplacez <vm-series> par la série que vous voulez utiliser. La sortie affiche des informations sur les régions disponibles et les zones de disponibilité.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Pour obtenir une liste plus détaillée, exécutez la commande suivante à la place :

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']"

Points à prendre en considération pour le déploiement

Tenez compte des paramètres et des choix suivants avant de déployer des machines virtuelles confidentielles.

Abonnement Azure

Pour déployer une instance de machine virtuelle confidentielle, envisagez de souscrire un abonnement de paiement à l’utilisation ou d’autres options d’achat. Si vous utilisez un compte gratuit Azure, le quota n’autorise pas le nombre approprié de cœurs de calcul Azure.

Vous devrez peut-être augmenter le quota de cœurs dans votre abonnement Azure à partir de la valeur par défaut. Les limites par défaut varient en fonction de la catégorie de votre abonnement. Votre abonnement peut également limiter le nombre de cœurs que vous pouvez déployer dans certaines familles de taille de machine virtuelle, dont les tailles de machines virtuelles confidentielles.

Pour demander une augmentation de quota, ouvrez une demande de service clientèle en ligne.

Si vous avez des besoins de capacité à grande échelle, contactez le support Azure. Les quotas d’Azure sont des limites de crédit et non des garanties de capacité. Vous n’êtes facturé que pour les cœurs que vous utilisez.

Tarifs

Pour connaître les options de tarification, consultez la tarification machines virtuelles Linux.

Disponibilité régionale

Pour obtenir des informations sur la disponibilité, consultez les produits de machines virtuelles disponibles par région Azure.

Redimensionnement

Les machines virtuelles confidentielles s’exécutent sur du matériel spécialisé. Vous pouvez uniquement redimensionner les instances de machine virtuelle confidentielles à d’autres tailles confidentielles dans la même région. Par exemple, si vous avez une machine virtuelle de la série DCasv5, vous pouvez redimensionner vers une autre instance de série DCasv5 ou une instance de série DCesv5.

Il n’est pas possible de redimensionner une machine virtuelle non confidentielle en machine virtuelle confidentielle.

Prise en charge du système d’exploitation invité

Les images de système d’exploitation pour les machines virtuelles confidentielles doivent répondre à certaines exigences de sécurité et de compatibilité. Les images qualifiées prennent en charge le montage sécurisé, l’attestation, le chiffrement de disque de système d’exploitation confidentiel facultatif et l’isolation de l’infrastructure cloud sous-jacente. Ces images sont les suivantes :

  • Ubuntu 20.04 LTS (AMD SEV-SNP pris en charge uniquement)
  • Ubuntu 22.04 LTS
  • Red Hat Enterprise Linux 9.3 (AMD SEV-SNP pris en charge uniquement)
  • Windows Server 2019 Datacenter - x64 Gen 2 (AMD SEV-SNP pris en charge uniquement)
  • Windows Server 2019 Datacenter Server Core - x64 Gen 2 (AMD SEV-SNP pris en charge uniquement)
  • Windows Server 2022 Datacenter - x64 Gen 2
  • Windows Server 2022 Datacenter : Édition Azure Core - x64 Gen 2
  • Windows Server 2022 Datacenter : Édition Azure - x64 Gen 2
  • Windows Server 2022 Datacenter Server Core - x64 Gen 2
  • Windows 11 Entreprise N, version 22H2 -x64 Gen 2
  • Windows 11 Professionnel, version 22H2 ZH-CN -x64 Gen 2
  • Windows 11 Professionnel, version 22H2 -x64 Gen 2
  • Windows 11 Professionnel N, version 22H2 -x64 Gen 2
  • Windows 11 Entreprise, version 22H2 -x64 Gen 2
  • Windows 11 Entreprise multisession, version 22H2 -x64 Gen 2

À mesure que nous travaillons à l’intégration d’un plus grand nombre d’images de système d’exploitation avec chiffrement confidentiel des disques de système d’exploitation, plusieurs images sont disponibles en préversion anticipée qui peuvent être testées. Vous pouvez vous inscrire ci-dessous :

Pour plus d’informations sur les scénarios de machines virtuelles prises en charge et non prises en charge, consultez Prise en charge des machines virtuelles de génération 2 dans Azure.

Haute disponibilité et récupération d’urgence

Vous êtes responsable de la création de solutions de haute disponibilité et de récupération d’urgence pour vos machines virtuelles confidentielles. La planification de ces scénarios permet de réduire et d’éviter les temps d’arrêt prolongés.

Déploiement avec des modèles ARM

Azure Resource Manager est le service de déploiement et de gestion d’Azure. Vous pouvez :

Veillez à spécifier les propriétés suivantes pour votre machine virtuelle dans la section paramètres (parameters) :

  • Taille de la machine virtuelle (vmSize). Choisissez parmi les différentes tailles et familles de machines virtuelles confidentielles.
  • Nom de l’image du système d’exploitation (osImageName). Choisissez parmi les images de système d’exploitation qualifiées.
  • Type de chiffrement de disque (securityType). Choisissez un chiffrement VMGS uniquement (VMGuestStateOnly) ou un pré-chiffrement du disque du système d’exploitation complet (DiskWithVMGuestState), ce qui peut entraîner des délais d’approvisionnement plus longs. Pour les instances Intel TDX, nous prenons uniquement en charge un autre type de sécurité (NonPersistedTPM) qui n’a pas de chiffrement de disque VMGS ou de système d’exploitation.

Étapes suivantes

Déployer une machine virtuelle confidentielle à partir du Portail Azure

Pour plus d’informations, consultez notre FAQ sur les machines virtuelles confidentielles.