Share via

Mulai Cepat: Buat Intel SGX VM di portal Azure

  • Artikel

Tutorial ini memandu Anda melalui proses penerapan VM Intel SGX menggunakan portal Azure. Jika tidak, kami sarankan mengikuti templat Azure Marketplace.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buatlah akun sebelum Anda memulai.

Catatan

Akun uji coba gratis tidak memiliki akses ke VM dalam tutorial ini. Harap tingkatkan ke langganan PAYG.

Masuk ke Azure

  1. Masuk ke portal Azure.

  2. Di bagian atas, pilih Buat sumber daya.

  3. Di panel sisi kiri, pilih, pilih Hitung.

  4. Pilih Buat Komputer Virtual.

    Menyebarkan VM

Mengonfigurasi Komputer Virtual Intel SGX

  1. Di tab Dasar-dasar, pilih Langganan dan Grup Sumber Daya Anda.

  2. Untuk Nama Komputer virtual, masukkan nama untuk komputer virtual baru Anda.

  3. Ketik atau pilih nilai berikut:

    • Wilayah: Pilih wilayah Azure yang tepat untuk Anda.

      Catatan

      Intel SGX VM berjalan pada perangkat keras khusus di wilayah tertentu. Untuk ketersediaan regional terbaru, cari seri DCsv2 atau seri DCsv3/DCdsv3 di wilayah yang tersedia.

  4. Konfigurasikan citra sistem operasi yang ingin Anda gunakan untuk komputer virtual Anda.

    • Pilih Gambar: Untuk tutorial ini, pilih Ubuntu 20.04 LTS - Gen2. Anda juga dapat memilih Ubuntu 18.04 LTS - Gen2, atau Windows Server 2019.

    • Perbarui ke Generasi 2: Di bawah Gambar, pilih Konfigurasikan generasi VM, dalam fly out, lalu pilih Generasi 2.

      gambar

  5. Pilih komputer virtual dengan kemampuan Intel SGX dengan mengklik + Tambahkan filter untuk membuat filter, pilih Jenis untuk Jenis filter, dan periksa hanya Komputasi rahasia dari daftar di menu dropdown berikutnya.

    Komputer Virtual Seri DCsv2

    Tip

    Anda akan melihat ukuran DC (nomor)_v2,DC (nomor)_v3 dan DC(nomor)ds_v3. Pelajari lebih lanjut.

  6. Isi informasi berikut:

    • Jenis autentikasi: Pilih kunci publik SSH jika Anda membuat komputer virtual Linux.

      Catatan

      Anda memiliki pilihan untuk menggunakan kunci umum SSH atau Kata Sandi untuk autentikasi. SSH adalah metode yang lebih aman. Untuk petunjuk tentang cara membuat kunci SSH, lihat Membuat kunci SSH di Linux dan Mac untuk komputer virtual Linux di Azure.

    • Nama pengguna: Masukkan nama Administrator untuk komputer virtual.

    • Kunci publik SSH: Jika berlaku, masukkan kunci publik RSA Anda.

    • Kata Sandi: Jika berlaku, masukkan kata sandi Anda untuk autentikasi.

    • Port masuk publik: Pilih Izinkan port yang dipilih dan pilih SSH (22) dan HTTP (80) di daftarPilih port masuk publik. Jika Anda menyebarkan komputer virtual Windows, pilih HTTP (80) dan RDP (3389) .

    Catatan

    Tidak disarankan mengizinkan port RDP/SSH untuk penyebaran produksi.

    Port masuk

  7. Buat perubahan pada tab Disk.

    • Seri DCsv2 mendukung SSD Standar,Premium SSD didukung di DC1, DC2, dan DC4.
    • Seri DCsv3 dan DCdsv3 mendukung SSD Standar, SSD Premium dan Ultra Disk

  8. Buat perubahan apa pun yang Anda inginkan pada pengaturan di tab berikut atau pertahankan pengaturan default.

    • Jaringan
    • Manajemen
    • Konfigurasi tamu
    • Tag

  9. Pilih Tinjau + buat.

  10. Di panel Ulas + buat, pilih Buat.

Catatan

Lanjutkan ke bagian berikutnya dan lanjutkan dengan tutorial ini jika Anda menggunakan komputer virtual Linux. Jika Anda menyebarkan komputer virtual Windows, ikuti langkah-langkah berikut untuk tersambung ke komputer virtual Windows Anda lalu pasang OE SDK di Windows.

Menyambungkan ke komputer virtual Linux

Buka klien SSH pilihan Anda, seperti Bash di Linux atau PowerShell di Windows. Perintah ssh biasanya disertakan dalam Linux, macOS, dan Windows. Jika Anda menggunakan Windows 7 atau yang lebih lama, di mana Win32 OpenSSH tidak disertakan secara default, pertimbangkan untuk menginstal WSL atau menggunakan Azure Cloud Shell dari browser. Pada perintah berikut, ganti nama pengguna komputer virtual dan alamat IP untuk tersambung ke komputer virtual Linux Anda.

ssh azureadmin@40.55.55.555

Anda dapat menemukan alamat IP Publik komputer virtual Anda di portal Microsoft Azure, di bawah bagian Gambaran Umum komputer virtual Anda.

Alamat IP di portal Microsoft Azure

Untuk informasi selengkapnya tentang cara menyambungkan ke komputer virtual Linux, lihat Membuat komputer virtual Linux di Azure menggunakan Portal.

Instal Azure DCAP Client

Azure Data Center Attestation Primitives (DCAP), pengganti Intel Quote Provider Library (QPL), mengambil jaminan pembuatan kuotasi dan jaminan validasi kutipan langsung dari Layanan THIM.

Layanan Trusted Hardware Identity Management (THIM) menangani manajemen cache sertifikat untuk semua lingkungan eksekusi tepercaya (TEE) yang berada di Azure dan menyediakan informasi basis komputasi tepercaya (TCB) untuk memberlakukan garis besar minimum untuk solusi pengesahan.

DCsv3 dan DCdsv3 hanya mendukung pengesahan berbasis ECDSA dan pengguna diharuskan memasang klien Azure DCAP untuk berinteraksi dengan THIM dan mengambil kolateral Trusted Execution Environment untuk pembuatan kuotasi selama proses pengesahan. DCsv2 terus mendukung pengesahan berbasis EPID.

Membersihkan sumber daya

Bila tidak lagi diperlukan, Anda dapat menghapus grup sumber daya, komputer virtual, dan semua sumber daya terkaitnya.

Pilih grup sumber daya untuk komputer virtual, lalu pilih Hapus. Konfirmasi nama grup sumber daya untuk menyelesaikan penghapusan sumber daya.

Langkah berikutnya

Dalam mulai cepat ini, Anda menerapkan dan terhubung ke Intel SGX VM Anda. Untuk informasi selengkapnya, lihat Solusi pada Mesin Virtual.

Temukan bagaimana Anda dapat membangun aplikasi komputasi rahasia, dengan melanjutkan ke sampel Open Enclave SDK di GitHub.

Membuat Sampel SDK Open Enclave

Microsoft Azure Attestation adalah kerangka kerja pengesahan gratis dan berbasis ECDSA, untuk memverifikasi dari jarak jauh keandalan beberapa Trusted Execution Environment dan integritas biner yang berjalan di dalamnya. Pelajari selengkapnya.