Domande frequenti sulle enclavi di applicazioni in macchine virtuali riservate Intel SGX

Questo articolo offre le risposte ad alcune delle domande più comuni sull'esecuzione di carichi di lavoro di confidential computing in macchine virtuali di Azure Intel SGX.

Se il problema riguardante Azure non viene risolto in questo articolo, visitare i forum di Azure su MSDN e Stack Overflow. È possibile pubblicare il problema in questi forum o in @AzureSupport su X. È anche possibile inviare una richiesta di supporto tecnico di Azure. Per inviare una richiesta di supporto tecnico, selezionare Supporto nella pagina Supporto tecnico di Azure.

Come è possibile distribuire macchine virtuali serie DCsv2 in Azure?

Ecco alcuni modi in cui è possibile distribuire una macchina virtuale DCsv2:

• Uso di un modello di Azure Resource Manager
• Dal portale di Azure
• Nel modello di soluzione Confidential Computing di Azure (macchina virtuale) del marketplace. Il modello di soluzione del marketplace consente di vincolare un cliente agli scenari supportati (aree, immagini, disponibilità, crittografia del disco).

Come è possibile distribuire macchine virtuali serie DCsv3 o DCdsv3 in Azure?

Le macchine virtuali Intel SGX v3 sono attualmente in anteprima. È possibile distribuirle come una macchina virtuale Intel SGX v2:

• Uso di un modello di Azure Resource Manager
• Dal portale di Azure
• Nel modello di soluzione Confidential Computing di Azure (macchina virtuale) del marketplace. Il modello di soluzione del marketplace consente di vincolare un cliente agli scenari supportati (aree, immagini, disponibilità, crittografia del disco).

Tutte le immagini del sistema operativo funzioneranno con le macchine virtuali Intel SGX?

No. Le macchine virtuali possono essere distribuite solo in computer operativi di generazione 2 con Ubuntu Server 18.04, Ubuntu Server 20.04 e Windows Server 2019 Datacenter. Altre informazioni sulle macchine virtuali di generazione 2 in Linux e Windows

Le macchine virtuali Intel SGX sono disabilitate nel portale e non è possibile selezionarne una

Nella finestra informativa accanto alla macchina virtuale sono disponibili diverse azioni da eseguire:

• UnsupportedGeneration: modificare la generazione dell'immagine della macchina virtuale in "Gen2".
• NotAvailableForSubscription: l'area non è ancora disponibile per la sottoscrizione. Selezionare un'area disponibile.
• InsufficientQuota: creare una richiesta di supporto per aumentare la quota. Le sottoscrizioni della versione di prova gratuita non prevedono alcuna quota per alcune macchine virtuali di confidential computing.

Le macchine virtuali Intel SGX non vengono visualizzate quando si tenta di cercarle nel selettore delle dimensioni del portale

Assicurarsi di aver selezionato un'area disponibile. Assicurarsi di selezionare anche "Cancella tutti i filtri" nel selettore delle dimensioni.

È possibile abilitare la rete accelerata con Intel SGX per il confidential computing di Azure?

Dipende. - La rete accelerata non è supportata su macchine virtuali serie DC o DCsv2. La rete accelerata non può essere abilitata per la distribuzione di macchine virtuali di confidential computing o di cluster del servizio Azure Kubernetes in esecuzione in queste dimensioni di macchina virtuale. - La rete accelerata è supportata solo nelle macchine virtuali serie DCdsv3 e DCsv3 tramite il provisioning dell'interfaccia della riga di comando e i modelli di ARM.

È possibile usare un host dedicato di Azure con questi computer?

L'host dedicato di Azure supporta le macchine virtuali serie DCsv2. L'host dedicato di Azure offre un server fisico a tenant singolo in cui eseguire le macchine virtuali. Gli utenti usano in genere un host dedicato di Azure per soddisfare i requisiti di conformità relativi alla sicurezza fisica, all'integrità dei dati e al monitoraggio.

Viene visualizzato un errore di distribuzione del modello di Azure Resource Manager: "Non è stato possibile completare l'operazione perché comporta il superamento della quota standard approvata di core della famiglia DC"

Creare una richiesta di supporto per aumentare la quota. Le sottoscrizioni della versione di prova gratuita non prevedono alcuna quota per alcune macchine virtuali di confidential computing.

Qual è la differenza tra le macchine virtuali serie DCsv2, DC, DCdsv3 e DCsv3?

• Le macchine virtuali serie DC vengono eseguite in processori Intel a 6 core precedenti con Intel SGX e presentano una memoria totale inferiore, una memoria EPC (Enclave Page Cache) ridotta e sono disponibili solo in due aree (Stati Uniti orientali ed Europa occidentale con dimensioni Standard_DC2s e Standard_DC4s). Non ci sono piani per rendere queste macchine virtuali disponibili a livello generale e non sono consigliate per l'uso in produzione. Per distribuire queste macchine virtuali, usare l'istanza del marketplace Macchina virtuale di calcolo serie DC di Confidential Computing [Anteprima].
• Le macchine virtuali serie DCsv2 vengono eseguite su processori Intel a 8 core e hanno più memoria totale, dimensioni EPC e sono disponibili in più aree. Queste macchine sono disponibili a livello generale.
• Le macchine virtuali serie DCsv3 e DCdsv3 sono la generazione più recente di macchine Intel SGX. In questa generazione, i core CPU sono aumentati di 6 volte (fino a un massimo di 48 core), la memoria crittografata (EPC) è aumentata di 1500 volte fino a 256 GB, la memoria regolare è aumentata di 12 volte fino a 384 GB. Tutte queste modifiche migliorano notevolmente le prestazioni rispetto alla generazione precedente e sbloccano scenari completamente nuovi. Queste macchine virtuali supportano anche Intel TME (Total Memory Encryption). Al 1° novembre 2021, queste macchine virtuali erano ancora in anteprima pubblica e non adatte per l'uso in produzione.
• Le macchine virtuali serie DCdsv3 sono diverse dalle macchine virtuali serie DCsv3 perché includono il supporto di dischi locali.

Le macchine virtuali Intel SGX sono disponibili a livello globale?

No. Attualmente, queste macchine virtuali sono disponibili solo in aree selezionate. Consultare la pagina Products by Regions (Prodotti per area) per le aree più recenti disponibili.

L'hyperthreading è disabilitato in questi computer?

L'hyperthreading è disabilitato per tutte le macchine Intel SGX di confidential computing di Azure.

Come si installa Open Enclave SDK su macchine virtuali Intel SGX?

Per indicazioni su come installare Open Enclave SDK in un computer Azure o locale, seguire le istruzioni riportate nel repository GitHub di Open Enclave SDK.

Per istruzioni di installazione specifiche per il sistema operativo, vedere il repository GitHub di SDK Open Enclave:

• Installare Open Enclave SDK in Windows
• Installare Open Enclave SDK in Ubuntu 18.04

Questo articolo offre le risposte ad alcune delle domande più comuni sull'esecuzione di carichi di lavoro di confidential computing in macchine virtuali di Azure Intel SGX.

Se il problema riguardante Azure non viene risolto in questo articolo, visitare i forum di Azure su MSDN e Stack Overflow. È possibile pubblicare il problema in questi forum o in @AzureSupport su X. È anche possibile inviare una richiesta di supporto tecnico di Azure. Per inviare una richiesta di supporto tecnico, selezionare Supporto nella pagina Supporto tecnico di Azure.

Ecco alcuni modi in cui è possibile distribuire una macchina virtuale DCsv2:

• Uso di un modello di Azure Resource Manager
• Dal portale di Azure
• Nel modello di soluzione Confidential Computing di Azure (macchina virtuale) del marketplace. Il modello di soluzione del marketplace consente di vincolare un cliente agli scenari supportati (aree, immagini, disponibilità, crittografia del disco).

Le macchine virtuali Intel SGX v3 sono attualmente in anteprima. È possibile distribuirle come una macchina virtuale Intel SGX v2:

• Uso di un modello di Azure Resource Manager
• Dal portale di Azure
• Nel modello di soluzione Confidential Computing di Azure (macchina virtuale) del marketplace. Il modello di soluzione del marketplace consente di vincolare un cliente agli scenari supportati (aree, immagini, disponibilità, crittografia del disco).

No. Le macchine virtuali possono essere distribuite solo in computer operativi di generazione 2 con Ubuntu Server 18.04, Ubuntu Server 20.04 e Windows Server 2019 Datacenter. Altre informazioni sulle macchine virtuali di generazione 2 in Linux e Windows

Nella finestra informativa accanto alla macchina virtuale sono disponibili diverse azioni da eseguire:

• UnsupportedGeneration: modificare la generazione dell'immagine della macchina virtuale in "Gen2".
• NotAvailableForSubscription: l'area non è ancora disponibile per la sottoscrizione. Selezionare un'area disponibile.
• InsufficientQuota: creare una richiesta di supporto per aumentare la quota. Le sottoscrizioni della versione di prova gratuita non prevedono alcuna quota per alcune macchine virtuali di confidential computing.

Assicurarsi di aver selezionato un'area disponibile. Assicurarsi di selezionare anche "Cancella tutti i filtri" nel selettore delle dimensioni.

Dipende. - La rete accelerata non è supportata su macchine virtuali serie DC o DCsv2. La rete accelerata non può essere abilitata per la distribuzione di macchine virtuali di confidential computing o di cluster del servizio Azure Kubernetes in esecuzione in queste dimensioni di macchina virtuale. - La rete accelerata è supportata solo nelle macchine virtuali serie DCdsv3 e DCsv3 tramite il provisioning dell'interfaccia della riga di comando e i modelli di ARM.

L'host dedicato di Azure supporta le macchine virtuali serie DCsv2. L'host dedicato di Azure offre un server fisico a tenant singolo in cui eseguire le macchine virtuali. Gli utenti usano in genere un host dedicato di Azure per soddisfare i requisiti di conformità relativi alla sicurezza fisica, all'integrità dei dati e al monitoraggio.

Creare una richiesta di supporto per aumentare la quota. Le sottoscrizioni della versione di prova gratuita non prevedono alcuna quota per alcune macchine virtuali di confidential computing.

• Le macchine virtuali serie DC vengono eseguite in processori Intel a 6 core precedenti con Intel SGX e presentano una memoria totale inferiore, una memoria EPC (Enclave Page Cache) ridotta e sono disponibili solo in due aree (Stati Uniti orientali ed Europa occidentale con dimensioni Standard_DC2s e Standard_DC4s). Non ci sono piani per rendere queste macchine virtuali disponibili a livello generale e non sono consigliate per l'uso in produzione. Per distribuire queste macchine virtuali, usare l'istanza del marketplace Macchina virtuale di calcolo serie DC di Confidential Computing [Anteprima].
• Le macchine virtuali serie DCsv2 vengono eseguite su processori Intel a 8 core e hanno più memoria totale, dimensioni EPC e sono disponibili in più aree. Queste macchine sono disponibili a livello generale.
• Le macchine virtuali serie DCsv3 e DCdsv3 sono la generazione più recente di macchine Intel SGX. In questa generazione, i core CPU sono aumentati di 6 volte (fino a un massimo di 48 core), la memoria crittografata (EPC) è aumentata di 1500 volte fino a 256 GB, la memoria regolare è aumentata di 12 volte fino a 384 GB. Tutte queste modifiche migliorano notevolmente le prestazioni rispetto alla generazione precedente e sbloccano scenari completamente nuovi. Queste macchine virtuali supportano anche Intel TME (Total Memory Encryption). Al 1° novembre 2021, queste macchine virtuali erano ancora in anteprima pubblica e non adatte per l'uso in produzione.
• Le macchine virtuali serie DCdsv3 sono diverse dalle macchine virtuali serie DCsv3 perché includono il supporto di dischi locali.

No. Attualmente, queste macchine virtuali sono disponibili solo in aree selezionate. Consultare la pagina Products by Regions (Prodotti per area) per le aree più recenti disponibili.

L'hyperthreading è disabilitato per tutte le macchine Intel SGX di confidential computing di Azure.

Per indicazioni su come installare Open Enclave SDK in un computer Azure o locale, seguire le istruzioni riportate nel repository GitHub di Open Enclave SDK.

Per istruzioni di installazione specifiche per il sistema operativo, vedere il repository GitHub di SDK Open Enclave:

• Installare Open Enclave SDK in Windows
• Installare Open Enclave SDK in Ubuntu 18.04