Bizalmas számítás az Azure Container Appsben

Az Azure Container Apps bizalmas számítási funkciója segít megvédeni a konténerizált számítási feladatokat, miközben az adatok feldolgozása zajlik. Ebben a cikkben megtudhatja, hogy mikor érdemes bizalmas számításokat használni, hogyan működik a dedikált számításiprofilokkal, hogyan engedélyezheti azt egy tárolóalkalmazáshoz, és hogyan ellenőrizheti, hogy az alkalmazás bizalmas számítási infrastruktúrán fut-e.

Important

A bizalmas számítás jelenleg előzetes verzióban érhető el, és csak bizonyos régiókban és számítási feladatprofil-konfigurációkban támogatott.

A bizalmas számítás előnyei a Azure Container Apps

A bizalmas számítás kiegészíti Azure inaktív titkosítást és az átvitel közbeni titkosítást az adatok feldolgozás közbeni védelmével. Amikor számítási feladatokat futtat egy bizalmas számítási feladatprofilon, a következőt kapja:

  • Hardveralapú elkülönítés megbízható végrehajtási környezetek (TEE-k) használatával.
  • A memóriában lévő adatok titkosítása a számítási feladatok futtatása közben.
  • Védelem a használatban lévő adatokhoz való jogosulatlan hozzáférés ellen, beleértve az infrastruktúra-üzemeltetők hozzáférését is.

A Azure platform és a mögöttes bizalmas virtuálisgép-infrastruktúra biztosítja és érvényesíti ezeket a garanciákat. További információ: Azure bizalmas számítástechnika.

Mikor érdemes bizalmas számítást használni?

Használja a bizalmas számítási funkciót az Azure Container Appsben, ha:

  • A számítási feladatok rendkívül érzékeny vagy szabályozott adatokat dolgoznak fel.
  • A feldolgozás alatt álló adatok védelme követelmény.
  • Az infrastruktúra kezelése vagy az alkalmazáskód módosítása nélkül szeretné kihasználni a bizalmas számítástechnika biztonsági előnyeit.

A bizalmas számítás működése

A bizalmas számítást a számítási feladatprofil szintjén engedélyezheti, nem pedig az egyes tárolóalkalmazások vagy változatok szintjén. Amikor egy dedikált DC-sorozatú számításiprofilt ad hozzá a környezetéhez, a profilhoz rendelt tárolóalkalmazások automatikusan a bizalmas virtuálisgép-termékváltozatok által támogatott bizalmas számítási infrastruktúrán futnak.

Nem kell alkalmazásonként vagy tárolónkénti beállításokat konfigurálnia. Tárolóalkalmazások üzembe helyezése ugyanazokkal a rendszerképekkel, eszközökkel és munkafolyamatokkal, mint a nem bizalmas számítási feladatok. Nincs szükség speciális tároló-futtatókörnyezet-konfigurációra vagy SDK-ra.

Prerequisites

A bizalmas számítás engedélyezése előtt ellenőrizze, hogy rendelkezik-e a következő elemekkel:

  1. Egy Azure Container Apps környezet egy támogatott régióban.
  2. Egy dedikált számítási feladatprofil, amely DC-sorozatú számításiprofil-típust használ.
  3. DC-sorozatú munkaterhelési profillal rendelkező tárolóalkalmazás.

Bizalmas számítás engedélyezése

Az alábbi példa egy DC-sorozatú számítási feladatprofillal rendelkező Container Apps-környezetet hoz létre, és üzembe helyez egy, a profilhoz rendelt tárolóalkalmazást:

  1. Hozza létre a környezetet egy DC-sorozatú számítási feladatprofillal.

    az containerapp env create \
  --name <ENVIRONMENT_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --location <SUPPORTED_REGION> \
  --workload-profile-type DC4 \
  --workload-profile-name my-wp-confidential

  2. Hozza létre a tárolóalkalmazást, és rendelje hozzá a számítási feladatprofilhoz.

    az containerapp create \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --environment <ENVIRONMENT_NAME> \
  --workload-profile-name my-wp-confidential \
  --image <CONTAINER_IMAGE>

A --workload-profile-name my-wp-confidential paraméter hozzárendeli az alkalmazást a DC sorozatú számítási feladatprofilhoz, amely lehetővé teszi a bizalmas számítást.

A számítási feladatprofilok hozzáadásának és kezelésének lépéseit a Profilok kezelése a Azure CLI című témakörben találja.

A bizalmas számítási konfiguráció ellenőrzése

Ezzel a gyors ellenőrzéssel ellenőrizheti, hogy az alkalmazás egy DC-sorozatú számítási feladatprofilhoz van-e hozzárendelve.

Azure CLI

  1. Kérje le a tárolóalkalmazáshoz rendelt számítási feladatprofilt.

    az containerapp show \
  --name <CONTAINER_APP_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --query properties.workloadProfileName \
  -o tsv

    A kimenet példája:

    my-wp-confidential

  2. Kérje le az adott profil számítási feladatprofil-típusát a környezetben.

    az containerapp env workload-profile list \
  --name <ENVIRONMENT_NAME> \
  --resource-group <RESOURCE_GROUP_NAME> \
  --query "[].{name:name,workloadProfileType:workloadProfileType}"

    A kimenet példája:

    [
  {
    "name": "my-wp-confidential",
    "workloadProfileType": "DC4"
  }
]

    Ebben a példában my-wp-confidential egy mintaprofil neve látható. A profil neve eltérő lehet.

Ha az alkalmazásához rendelt profil workloadProfileType értéke DC-gyel kezdődik, például DC4 vagy DC8, akkor az alkalmazás bizalmas számítási infrastruktúrán fut.

Azure Portal

  1. Az Azure Portalon nyissa meg a tárolóalkalmazást.
  2. Az Áttekintés lapon jegyezze fel a Környezet értéket, és lépjen arra a környezetre.
  3. A Container Apps környezetben lépjen a Terhelési profilok lehetőségre.
  4. Keresse meg az alkalmazás által használt számítási feladatprofilt, és győződjön meg arról, hogy a profil típusa és mérete a következővel DCkezdődik: például DC4 vagy DC8.

Támogatott számítási feladatok profiljai

A bizalmas számítás csak dedikált DC-sorozatú számítási feladatok profiljaiban érhető el. A támogatott méretek a következők:

  • DC4
  • DC8
  • DC16
  • DC32
  • DC48
  • DC64
  • DC96

Ezeknek a számítási feladatoknak a rendelkezésre állása a régiótól függ. Nem minden, DC-sorozatú profillal rendelkező régió támogatja a bizalmas számítást. Azoknak a régióknak az aktuális listáját, ahol a bizalmas számítás elérhető, tekintse meg a támogatott régiókat.

Támogatott régiók

Azure Container Apps támogatja a bizalmas számítást az Egyesült Arab Emírségek északi régiójában. Régió igényléséhez nyisson egy hibajegyet a GitHubon.

Kapcsolódó tartalom

  • Last updated on