Megoldások az Azure for Intel SGX-en
Az Intel Software Guard-bővítmény (Intel SGX) virtuális gépek (VM) üzembe helyezhetők az Azure bizalmas számítástechnikában való használatra.
Aktuális elérhető méretek és régiók
Az Intel SGX virtuálisgép-méretek listájának lekéréséhez használja az Azure Parancssori felületet (Azure CLI). Ha még nem tette meg, telepítse az Azure CLI-t . Ezután futtassa a következő parancsot az Intel SGX-méretek régió- és rendelkezésreállási zónainformációkkal való listázásához.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Dedikált gazdagépkövetelmények
Egy Standard_DC8_v2, Standard_DC48s_v3 vagy Standard_DC48ds_v3 sorozatú virtuális gép üzembe helyezése a teljes gazdagépet foglalja el. Más bérlők vagy előfizetések nem osztják meg a gazdagépet. Ez a virtuálisgép-termékváltozat-család biztosítja a megfelelőségi és biztonsági szabályozási követelmények teljesítéséhez szükséges elkülönítést. Általában szükség lehet egy dedikált gazdagépszolgáltatásra ezeknek a követelményeknek való megfeleléshez.
Ezekhez a virtuálisgép-méretekhez a fizikai gazdagépkiszolgáló az összes rendelkezésre álló hardvererőforrást lefoglalja, beleértve az EPC-memóriát is, csak a virtuális géphez. Ez az üzembe helyezés nem ugyanaz, mint az Azure Dedikált gazdagép szolgáltatás más virtuálisgép-családokban.
Telepítési szempontok
Az Intel SGX virtuális gépek Azure-beli üzembe helyezésének megtervezésekor vegye figyelembe az alábbi tényezőket.
Azure-előfizetés
A bizalmas számítási virtuálisgép-példány üzembe helyezéséhez fontolja meg a használatalapú fizetéses előfizetést vagy más vásárlási lehetőséget. Az ingyenes Azure-fiókok nem rendelkeznek elég magas kvótával a szükséges számú Azure számítási maghoz.
Díjszabás és regionális rendelkezésre állás
A DCsv2, DCsv3 és DCdsv3 rendszerű virtuális gépek díjszabását az Azure-beli virtuális gépek díjszabási oldalán találja. Ellenőrizze a régiónként elérhető termékek táblázatát, hogy elérhetők-e a különböző Azure-régiókban.
Magok kvótája
Előfordulhat, hogy az Azure-előfizetés magkvótáit az alapértelmezett értékről kell növelnie. Az előfizetés korlátozhatja az egyes virtuálisgép-méretű családokban, például a DCsv2 sorozatban üzembe helyezhető magok számát is. A kvótanövelést díjmentesen kérheti. Az alapértelmezett korlátok az előfizetés kategóriája alapján eltérőek lehetnek.
Ha nagy kapacitásigényekkel rendelkezik, forduljon az Azure ügyfélszolgálatához. Az Azure-kvóták kreditkorlátok, nem kapacitásgaranciák. A kvótától függetlenül csak a használt magokért kell fizetnie.
Átméretezés
Speciális hardverük miatt csak az azonos méretű családon belül méretezhetők át az Intel SGX virtuálisgép-példányok. Például csak egy DCsv2 sorozatú virtuális gépet méretezhet át egyik DCsv2 sorozatból a másikba.
Kép
Ahhoz, hogy intel SGX-támogatást biztosítson a bizalmas számítási példányokon, minden üzembe helyezésnek a 2. generációs rendszerképeken kell futnia. Az Azure bizalmas számítástechnika támogatja az Ubuntu 20.04 Gen 2, a Windows Server 2019 Gen 2 és az Ubuntu 22.04 Gen 2 rendszeren futó számítási feladatokat. A támogatott és nem támogatott forgatókönyvekről további információt a 2. generációs Virtuális gépek támogatása az Azure-ban című témakörben talál.
Tárolás
A DCsv2 sorozatú virtuális gépek támogatják a Standard SSD-t és a Prémium SSD-t, kivéve a DC8_v2.
A DCsv3 és DCdsv3 sorozatú virtuális gépek támogatják a standard SSD-t, a Prémium SSD-t és az Ultra Disket.
Magas rendelkezésre állás és vészhelyreállítási szempontok
Azure-beli virtuális gépek használata esetén ön a felelős egy magas rendelkezésre állási (HA) és vészhelyreállítási megoldás létrehozásáért az állásidő elkerülése érdekében.
Az Azure bizalmas számítástechnika jelenleg nem támogatja a zónaredundanciát az Azure rendelkezésre állási zónákon keresztül. A bizalmas számítástechnika legmagasabb rendelkezésre állásához és redundanciájához használja a rendelkezésre állási csoportokat. A hardverkorlátozások miatt a bizalmas számítási példányok rendelkezésre állási csoportjai legfeljebb 10 frissítési tartománnyal rendelkezhetnek.
Üzembe helyezés az Azure Resource Manager (ARM) sablonnal
Az Azure Resource Manager az Azure üzembehelyezési és felügyeleti szolgáltatása. A szolgáltatás felügyeleti rétegével erőforrásokat hozhat létre, frissíthet és törölhet az Azure-előfizetésében. Vannak olyan felügyeleti funkciók, mint a hozzáférés-vezérlés, a zárolások és a címkék. Ezekkel a funkciókkal biztonságossá teheti és rendszerezheti az erőforrásokat az üzembe helyezés után.
Az Azure Resource Manager-sablonokról (ARM-sablonokról) a sablonok áttekintésében olvashat.
Az ARM-sablonok használatával történő üzembe helyezéshez tekintse meg az Azure Resource Manager-sablonban lévő virtuális gépeket. Győződjön meg arról, hogy megadja a vmSize és az imageReference megfelelő tulajdonságait.
A virtuális gépek mérete
Adja meg az alábbi méretek egyikét az ARM-sablonban a virtuálisgép-erőforrásban. Ez a sztring tulajdonságban vmSize.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Gen2 operációs rendszer képe
A Tulajdonságok területen meg kell adnia egy lemezképet is a StorageProfile alatt. Az imageReference csak az alábbi képek egyikét használja.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},