Opsi Azure Confidential VM

Azure menawarkan pilihan opsi Trusted Execution Environment (TEE) dari AMD dan Intel. TEE ini memungkinkan Anda membuat lingkungan VM Rahasia dengan rasio harga-ke-performa yang sangat baik, semuanya tanpa memerlukan perubahan kode apa pun.

Untuk VM Rahasia berbasis AMD, teknologi yang digunakan adalah AMD SEV-SNP, yang diperkenalkan dengan prosesor EPYC™ AMD Gen ke-3. Di sisi lain, VM Rahasia berbasis Intel menggunakan Intel TDX, teknologi yang diperkenalkan dengan prosesor Intel® Xeon® Generasi ke-4. Kedua teknologi memiliki implementasi yang berbeda, namun keduanya memberikan perlindungan serupa dari tumpukan infrastruktur cloud.

Ukuran

Kami menawarkan ukuran VM berikut:

Keluarga Ukuran	TEE	Deskripsi
DCasv5-series	AMD SEV-SNP	CVM tujuan umum dengan penyimpanan jarak jauh. Tidak ada disk sementara lokal.
DCadsv5-series	AMD SEV-SNP	CVM tujuan umum dengan disk sementara lokal.
ECasv5-series	AMD SEV-SNP	CVM yang dioptimalkan memori dengan penyimpanan jarak jauh. Tidak ada disk sementara lokal.
Seri ECadsv5	AMD SEV-SNP	CVM yang dioptimalkan memori dengan disk sementara lokal.
Seri DCesv5	Intel TDX	CVM tujuan umum dengan penyimpanan jarak jauh. Tidak ada disk sementara lokal.
Seri DCedsv5	Intel TDX	CVM tujuan umum dengan disk sementara lokal.
Seri ECesv5	Intel TDX	CVM yang dioptimalkan memori dengan penyimpanan jarak jauh. Tidak ada disk sementara lokal.
Seri ECedsv5	Intel TDX	CVM yang dioptimalkan memori dengan disk sementara lokal.

Catatan

VM rahasia yang dioptimalkan memori menawarkan dua kali lipat rasio memori per jumlah vCPU.

Perintah Azure CLI

Anda dapat menggunakan Azure CLI dengan VM rahasia Anda.

Untuk melihat daftar ukuran VM rahasia, jalankan perintah berikut. Ganti <vm-series> dengan seri yang ingin Anda gunakan. Output menunjukkan informasi tentang wilayah dan zona ketersediaan yang tersedia.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Untuk daftar yang lebih rinci, jalankan perintah berikut:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Pertimbangan penyebaran

Pertimbangkan pengaturan dan pilihan berikut sebelum menyebarkan VM rahasia.

Langganan Azure

Untuk menyebarkan instans VM rahasia, pertimbangkan langganan bayar sesuai pemakaian atau opsi pembelian lainnya. Jika Anda menggunakan akun gratis Azure, kuota tidak mengizinkan jumlah inti komputasi Azure yang sesuai.

Anda mungkin perlu meningkatkan kuota inti di langganan Azure Anda dari nilai default. Batas default bervariasi tergantung pada kategori langganan Anda. Langganan Anda mungkin juga membatasi jumlah inti yang dapat Anda sebarkan dalam keluarga ukuran VM tertentu, termasuk ukuran VM rahasia.

Untuk meminta penambahan kuota, buka permintaan dukungan pelanggan online.

Jika Anda memiliki kebutuhan kapasitas skala besar, hubungi Dukungan Azure. Kuota Azure adalah batas kredit, bukan jaminan kapasitas. Anda hanya dikenakan biaya untuk inti yang Anda gunakan.

Harga

Untuk opsi harga, lihat Harga Komputer Virtual Linux.

Ketersediaan regional

Untuk informasi ketersediaan, lihat produk VM mana yang tersedia oleh wilayah Azure.

Mengubah ukuran

VM rahasia berjalan pada perangkat keras khusus, sehingga Anda hanya dapat mengubah ukuran instans VM rahasia ke ukuran rahasia lainnya di wilayah yang sama. Misalnya, jika Anda memiliki VM seri DCasv5, Anda dapat mengubah ukuran ke instans seri DCasv5 lain atau instans seri DCesv5.

Tidak dimungkinkan untuk mengubah ukuran VM non-rahasia ke VM rahasia.

Dukungan OS tamu

Gambar OS untuk VM rahasia harus memenuhi persyaratan keamanan dan kompatibilitas tertentu. Gambar yang memenuhi syarat mendukung pemasangan aman, pengesahan, enkripsi disk OS rahasia opsional, dan isolasi dari infrastruktur cloud yang mendasar. Gambar-gambar ini meliputi:

• Ubuntu 20.04 LTS (AMD SEV-SNP hanya didukung)
• Ubuntu 22.04 LTS
• Red Hat Enterprise Linux 9.3 (HANYA DIDUKUNG AMD SEV-SNP)
• Pusat Data Windows Server 2019 - x64 Gen 2 (HANYA DIDUKUNG AMD SEV-SNP)
• Pusat Data Windows Server 2019 Server Core - x64 Gen 2 (AMD SEV-SNP hanya didukung)
• Pusat Data Windows Server 2022 - x64 Gen 2
• Pusat Data Windows Server 2022: Azure Edition Core - x64 Gen 2
• Pusat Data Windows Server 2022: Edisi Azure - x64 Gen 2
• Windows Server 2022 Datacenter Server Core - x64 Gen 2
• Windows 11 Enterprise N, versi 22H2 -x64 Gen 2
• Windows 11 Pro, versi 22H2 ZH-CN -x64 Gen 2
• Windows 11 Pro, versi 22H2 -x64 Gen 2
• Windows 11 Pro N, versi 22H2 -x64 Gen 2
• Windows 11 Enterprise, versi 22H2 -x64 Gen 2
• Multi-sesi Windows 11 Enterprise, versi 22H2 -x64 Gen 2

Saat kami bekerja untuk onboard lebih banyak gambar OS dengan enkripsi disk OS rahasia, ada berbagai gambar yang tersedia dalam pratinjau awal yang dapat diuji. Anda dapat mendaftar di bawah ini:

• Red Hat Enterprise Linux 9.3 (Dukungan untuk Intel TDX)
• SUSE Enterprise Linux 15 SP5 (Dukungan untuk Intel TDX, AMD SEV-SNP)
• SUSE Enterprise Linux 15 SAP SP5 (Dukungan untuk Intel TDX, AMD SEV-SNP)

Untuk informasi selengkapnya tentang skenario VM yang didukung dan tidak didukung, lihat dukungan untuk VM generasi 2 di Azure.

Ketersediaan tinggi dan pemulihan bencana

Anda bertanggung jawab untuk membuat ketersediaan tinggi dan solusi pemulihan bencana untuk VM rahasia Anda. Merencanakan skenario ini membantu meminimalkan dan menghindari waktu henti yang berkepanjangan.

Penyebaran dengan templat ARM

Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Anda dapat:

• Amankan dan atur sumber daya Anda setelah penyebaran dengan fitur manajemen, seperti kontrol akses, kunci, dan tag.
• Buat, perbarui, dan hapus sumber daya di langganan Azure Anda menggunakan lapisan manajemen.
• Gunakan templat Azure Resource Manager (templat ARM) untuk menyebarkan VM rahasia pada prosesor AMD. Ada templat ARM yang tersedia untuk VM rahasia.

Pastikan untuk menentukan properti berikut untuk VM Anda di bagian parameter (parameters):

• Ukuran VM (vmSize). Pilih dari berbagai keluarga dan ukuran VM rahasia.
• Nama gambar OS (osImageName). Pilih dari gambar OS yang memenuhi syarat.
• Jenis enkripsi disk (securityType). Pilih dari enkripsi khusus VMGS (VMGuestStateOnly) atau pra-enkripsi disk OS penuh (DiskWithVMGuestState), yang dapat mengakibatkan waktu provisi yang lebih lama. Untuk instans Intel TDX saja kami juga mendukung jenis keamanan lain (NonPersistedTPM) yang tidak memiliki enkripsi disk VMGS atau OS.

Langkah berikutnya

Menyebarkan VM rahasia dari portal Azure

Untuk informasi selengkapnya, lihat FAQ VM Rahasia kami.