Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
El proceso confidencial en Azure Container Apps ayuda a proteger las cargas de trabajo en contenedores mientras se procesan los datos. En este artículo, aprenderá a usar el proceso confidencial, cómo funciona con perfiles de carga de trabajo dedicados, cómo habilitarlo para una aplicación contenedora y cómo comprobar que la aplicación se ejecuta en la infraestructura de proceso confidencial.
Importante
La computación confidencial está disponible actualmente en versión preliminar y solo es compatible con regiones específicas y configuraciones concretas del perfil de carga de trabajo.
Ventajas de la computación confidencial
La computación confidencial complementa el cifrado en reposo y el cifrado en tránsito de Azure protegiendo los datos mientras se están procesando. Cuando ejecuta cargas de trabajo en un perfil de carga de trabajo para computación confidencial, obtiene lo siguiente:
- Aislamiento basado en hardware mediante entornos de ejecución de confianza (TEE).
- Cifrado de datos en memoria mientras se ejecutan cargas de trabajo.
- Protección contra el acceso no autorizado a los datos en uso, incluido el acceso de los operadores de infraestructura.
La plataforma Azure y la infraestructura de máquina virtual confidencial subyacente proporcionan y aplican estas garantías. Para obtener más información, consulte computación confidencial de Azure.
Cuándo usar la computación confidencial
Use la computación confidencial en Azure Container Apps cuando:
- Las cargas de trabajo procesan datos altamente confidenciales o regulados.
- Proteger los datos mientras se está procesando es un requisito.
- Quiere las ventajas de seguridad de la computación confidencial sin administrar la infraestructura ni modificar el código de aplicación.
Cómo funciona la computación confidencial
La computación confidencial se habilita en el nivel de perfil de carga de trabajo, no en el nivel de aplicación contenedora individual ni de revisión. Al agregar un perfil de carga de trabajo dedicado de la serie DC a su entorno, las aplicaciones de contenedor asignadas a ese perfil se ejecutan automáticamente en la infraestructura de proceso confidencial respaldada por SKU de máquina virtual confidencial.
No es necesario configurar ninguna configuración por aplicación o por contenedor. Implemente aplicaciones de contenedor mediante las mismas imágenes, herramientas y flujos de trabajo que las cargas de trabajo no confidenciales. No necesita configuración especial del entorno de ejecución de contenedor ni SDK.
Prerequisites
Antes de habilitar la computación confidencial, compruebe que dispone de los siguientes elementos:
- Un entorno de Azure Container Apps en una región admitida.
- Perfil de carga de trabajo dedicado que usa un tipo de perfil de carga de trabajo de la serie DC.
- Una aplicación contenedora con el perfil de carga de trabajo de la serie DC asignado.
Habilitar la computación confidencial
En el ejemplo siguiente se crea un entorno de Container Apps con un perfil de carga de trabajo de la serie DC e implementa una aplicación de contenedor asignada a ese perfil:
Cree el entorno con un perfil de carga de trabajo de la serie DC.
az containerapp env create \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --location <SUPPORTED_REGION> \ --workload-profile-type DC4 \ --workload-profile-name my-wp-confidentialCree la aplicación contenedora y asígnela al perfil de carga de trabajo.
az containerapp create \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --environment <ENVIRONMENT_NAME> \ --workload-profile-name my-wp-confidential \ --image <CONTAINER_IMAGE>
El --workload-profile-name my-wp-confidential parámetro asigna la aplicación al perfil de carga de trabajo de la serie DC, que permite el proceso confidencial.
Para conocer los pasos para agregar y administrar perfiles de carga de trabajo, consulte Administrar perfiles de carga de trabajo con el CLI de Azure.
Verificar la configuración de computación confidencial
Use esta comprobación rápida para confirmar que la aplicación está asignada a un perfil de carga de trabajo de la serie DC.
CLI de Azure
Obtenga el perfil de carga de trabajo asignado a la aplicación contenedora.
az containerapp show \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query properties.workloadProfileName \ -o tsvEjemplo de resultado:
my-wp-confidentialObtenga el tipo de perfil de carga de trabajo para ese perfil en el entorno.
az containerapp env workload-profile list \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query "[].{name:name,workloadProfileType:workloadProfileType}"Ejemplo de resultado:
[ { "name": "my-wp-confidential", "workloadProfileType": "DC4" } ]En este ejemplo,
my-wp-confidentiales un nombre de perfil de ejemplo. El nombre del perfil puede ser diferente.
Si el perfil asignado a la aplicación tiene un workloadProfileType valor que comienza por DC, como DC4 o DC8, la aplicación se ejecuta en la infraestructura de proceso confidencial.
Azure portal
- En el portal de Azure, vaya a la aplicación contenedora.
- En la página Información general , anote el valor entorno y vaya a ese entorno.
- En el entorno de Container Apps, vaya a Perfiles de carga de trabajo.
- Busque el perfil de carga de trabajo usado por la aplicación y compruebe que el tipo de perfil y el tamaño comienzan por
DC, comoDC4oDC8.
Perfiles de carga de trabajo admitidos
La computación confidencial solo está disponible en perfiles dedicados de carga de trabajo de la serie DC. Entre los tamaños admitidos se incluyen:
- DC4
- DC8
- DC16
- DC32
- DC48
- DC64
- DC96
La disponibilidad de estos perfiles de carga de trabajo depende de la región. No todas las regiones con perfiles de la serie DC admiten la computación confidencial. Para obtener la lista actual de regiones en las que el proceso confidencial está disponible, consulte Regiones admitidas.
Regiones soportadas
Azure Container Apps admite computación confidencial en la región UAE North. Para solicitar la región, envíe un problema en GitHub.