Solutions sur Azure pour Intel SGX
Vous pouvez déployer des machines virtuelles Intel SGX (Software Guard eXtension) pour une utilisation dans l’informatique confidentielle Azure.
Tailles et régions actuellement disponibles
Pour obtenir la liste des tailles de machine virtuelle Intel SGX, utilisez l’interface de ligne de commande Azure (Azure CLI). Si ce n’est déjà fait, installez l’interface CLI. Ensuite, exécutez la commande suivante pour répertorier les tailles Intel SGX avec des informations sur la région et la zone de disponibilité.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Configuration requise pour l’hôte dédié
Le déploiement d’une machine virtuelle de série Standard_DC8_v2, Standard_DC48s_v3 ou Standard_DC48ds_v3 occupe l’hôte complet. Les autres locataires ou abonnements ne partagent pas l’hôte. Cette famille de références de machine virtuelle fournit l’isolation dont vous pouvez avoir besoin pour répondre aux exigences réglementaires en matière de conformité et de sécurité. Normalement, vous pourriez avoir besoin d’un service hôte dédié pour répondre à ces exigences.
Pour ces tailles de machine virtuelle, le serveur hôte physique alloue toutes les ressources matérielles disponibles, y compris la mémoire EPC, à votre machine virtuelle uniquement. Ce déploiement n’est pas le même que le service Azure Dedicated Host dans d’autres familles de machines virtuelles.
Considérations en matière de déploiement
Tenez compte des facteurs suivants lorsque vous planifiez le déploiement d’une machine virtuelle Intel SGX sur Azure.
Abonnement Azure
Pour déployer une instance de machine virtuelle d’informatique confidentielle, envisagez de souscrire un abonnement de paiement à l’utilisation ou d’autres options d’achat. Les comptes gratuits Azure n’ont pas un quota suffisamment élevé pour le nombre nécessaire de cœurs de calcul Azure.
Tarification et disponibilité régionale
Recherchez la tarification des machines virtuelles DCsv2, DCsv3 et DCdsv3 sur la page de tarification des machines virtuelles Azure. Consultez la table des produits disponibles par région pour la disponibilité dans différentes régions Azure.
Quota de cœurs
Vous devrez peut-être augmenter le quota de cœurs dans votre abonnement Azure à partir de la valeur par défaut. Votre abonnement peut également limiter le nombre de cœurs que vous pouvez déployer dans certaines familles de taille de machine virtuelle, dont la série DCsv2. Vous pouvez demander une augmentation de quota gratuitement. Les limites par défaut peuvent être différentes en fonction de votre catégorie d’abonnement.
Si vous avez des besoins de capacité à grande échelle, contactez le support Azure. Les quotas d’Azure sont des limites de crédit et non des garanties de capacité. Quel que soit votre quota, vous êtes facturé uniquement pour les cœurs que vous utilisez.
Redimensionnement
En raison de leur matériel spécialisé, vous pouvez uniquement redimensionner ces instances de machine virtuelle Intel SGX qui appartiennent à la même famille de taille. Par exemple, vous pouvez uniquement redimensionner une machine virtuelle de la série DCsv2 d’une taille DCsv2 en une autre de cette même série.
Image
Pour assurer la prise en charge d’Intel SGX sur les instances de calcul confidentielles, tous les déploiements doivent s’exécuter sur des images de génération 2. L’informatique confidentielle Azure prend en charge les charges de travail s’exécutant sur Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 et Ubuntu 22.04 Gen 2. Pour plus d’informations sur les scénarios pris en charge et non pris en charge, consultez Prise en charge des machines virtuelles de génération 2 dans Azure.
Stockage
Les machines virtuelles de la série DCsv2 prennent en charge SSD Standard et SSD Premium, à l’exception de DC8_v2.
Les machines virtuelles des séries DCsv3 et DCdsv3 prennent en charge SSD Standard, SSD Premium et Disque Ultra.
Considérations relatives à la haute disponibilité et à la récupération d’urgence
Lorsque vous utilisez des machines virtuelles Azure, vous êtes responsable de la création d’une solution de haute disponibilité et de récupération d’urgence pour éviter tout temps d’arrêt.
À l’heure actuelle, l’informatique confidentielle Azure ne prend pas en charge la redondance de zone par le biais de Zones de disponibilité Azure. Pour bénéficier d’une disponibilité et d’une redondance optimales pour l’informatique confidentielle, utilisez des groupes à haute disponibilité. En raison des restrictions matérielles, les groupes à haute disponibilité pour les instances d’informatique confidentielle ne peuvent avoir qu’un maximum de 10 domaines de mise à jour.
Déploiement avec des modèles Azure Resource Manager (ARM)
Azure Resource Manager est le service de déploiement et de gestion d’Azure. Vous pouvez utiliser la couche de gestion du service pour créer, mettre à jour et supprimer des ressources dans votre abonnement Azure. Il existe des fonctionnalités de gestion telles que le contrôle d’accès, les verrous et les balises. Utilisez ces fonctionnalités pour sécuriser et organiser vos ressources après le déploiement.
Pour en savoir plus sur les modèles Azure Resource Manager (ARM), consultez Vue d’ensemble des modèles.
Pour déployer à l’aide de modèles ARM, consultez Machines virtuelles dans un modèle Azure Resource Manager. Veillez à spécifier les propriétés correctes pour vmSize et votre imageReference.
Tailles de machine virtuelle
Spécifiez l’une des tailles suivantes dans votre modèle ARM dans la ressource Machine virtuelle. Cette chaîne est spécifiée en tant que vmSize dans properties.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Image de système d’exploitation Gen2
Sous properties, vous devez également spécifier une image sous storageProfile. Utilisez une seule des images suivantes pour votre imageReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},