Opzioni della macchina virtuale riservata di Azure
Azure offre più opzioni di macchine virtuali riservate sfruttando tecnologie T edizione Enterprise (Trusted Execution Environments) di AMD e Intel per rafforzare l'ambiente di virtualizzazione. Queste tecnologie consentono di effettuare il provisioning di ambienti di confidential computing con ottime prestazioni senza modifiche al codice.
Le macchine virtuali riservate AMD sfruttano il paging annidato Secure Encrypted Virtualization-Secure (edizione Standard V-SNP) introdotto con processori AMD EPYC™ di terza generazione. Le macchine virtuali riservate Intel usano TDX (Trust Domain Extensions) che è stato introdotto con processori Intel® Xeon® di quarta generazione.
Dimensioni
È possibile creare macchine virtuali riservate nelle famiglie di dimensioni seguenti:
| Famiglia di dimensioni | T edizione Enterprise | Descrizione |
|---|---|---|
| Serie DCasv5 | AMD edizione Standard V-SNP | CVM per utilizzo generico con archiviazione remota. Nessun disco temporaneo locale. |
| Serie DCesv5 | Intel TDX | CVM per utilizzo generico con archiviazione remota. Nessun disco temporaneo locale. |
| Serie DCadsv5 | AMD edizione Standard V-SNP | CVM per utilizzo generico con disco temporaneo locale. |
| Serie DCedsv5 | Intel TDX | CVM per utilizzo generico con disco temporaneo locale. |
| Serie ECasv5 | AMD edizione Standard V-SNP | CVM ottimizzato per la memoria con archiviazione remota. Nessun disco temporaneo locale. |
| Serie ECesv5 | Intel TDX | CVM ottimizzato per la memoria con archiviazione remota. Nessun disco temporaneo locale. |
| Serie ECadsv5 | AMD edizione Standard V-SNP | CVM ottimizzato per la memoria con disco temporaneo locale. |
| Serie ECedsv5 | Intel TDX | CVM ottimizzato per la memoria con disco temporaneo locale. |
| Serie ECiesv5 | Intel TDX | CVM ottimizzato per la memoria isolato con disco temporaneo locale. |
| Serie ECiedsv5 | Intel TDX | CVM ottimizzato per la memoria isolato con disco temporaneo locale. |
Nota
Le macchine virtuali riservate ottimizzate per la memoria offrono un doppio rapporto tra memoria e numero di vCPU.
Comandi dell'interfaccia della riga di comando di Azure
È possibile usare l'interfaccia della riga di comando di Azure con le macchine virtuali riservate.
Per visualizzare un elenco delle dimensioni riservate delle macchine virtuali, eseguire il comando seguente. Sostituire <vm-series> con la serie che si vuole usare. L'output mostra informazioni sulle aree e le zone di disponibilità disponibili.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Per un elenco più dettagliato, eseguire invece il comando seguente:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Considerazioni sulla distribuzione
Prendere in considerazione le impostazioni e le opzioni seguenti prima di distribuire macchine virtuali riservate.
Sottoscrizione di Azure
Per distribuire un'istanza di macchina virtuale riservata, prendere in considerazione una sottoscrizione con pagamento in base al consumo o un'altra opzione di acquisto. Se si usa un account gratuito di Azure, la quota non consente il numero appropriato di core di calcolo di Azure.
Potrebbe essere necessario aumentare la quota di core nella sottoscrizione di Azure dal valore predefinito. I limiti predefiniti variano a seconda della categoria di sottoscrizione. La sottoscrizione potrebbe anche limitare il numero di core che è possibile distribuire in determinate famiglie di dimensioni di vm, incluse le dimensioni riservate delle macchine virtuali.
Per richiedere un aumento della quota, aprire una richiesta di supporto clienti online.
Se si hanno esigenze di capacità su larga scala, contattare il supporto tecnico di Azure. Le quote di Azure sono limiti di credito e non garanzie di capacità. Vengono addebitati solo i costi per i core usati.
Prezzi
Per le opzioni relative ai prezzi, vedere Prezzi di Linux Macchine virtuali.
Disponibilità a livello di area
Per informazioni sulla disponibilità, vedere quali prodotti della macchina virtuale sono disponibili in base all'area di Azure.
Ridimensionamento
Le macchine virtuali riservate vengono eseguite su hardware specializzato, quindi è possibile ridimensionare solo le istanze di macchine virtuali riservate in altre dimensioni riservate nella stessa area. Ad esempio, se si dispone di una macchina virtuale serie DCasv5, è possibile ridimensionare in un'altra istanza della serie DCasv5 o in un'istanza della serie DCesv5.
Non è possibile ridimensionare una macchina virtuale non riservata a una macchina virtuale riservata.
Supporto del sistema operativo guest
Le immagini del sistema operativo per le macchine virtuali riservate devono soddisfare determinati requisiti di sicurezza e compatibilità. Le immagini qualificate supportano il montaggio sicuro, l'attestazione, la crittografia facoltativa del disco del sistema operativo riservato e l'isolamento dall'infrastruttura cloud sottostante. Queste immagini includono:
- Ubuntu 20.04 LTS (solo AMD edizione Standard V-SNP supportato)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (solo AMD edizione Standard V-SNP supportato)
- Windows Server 2019 Datacenter - x64 Gen 2 (solo AMD edizione Standard V-SNP supportato)
- Windows Server 2019 Datacenter Server Core - x64 Gen 2 (solo AMD edizione Standard V-SNP supportato)
- Windows Server 2022 Datacenter - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
- Windows Server 2022 Datacenter Server Core - x64 Gen 2
- Windows 11 Enterprise N, versione 22H2 -x64 Gen 2
- Windows 11 Pro, versione 22H2 ZH-CN -x64 Gen 2
- Windows 11 Pro, versione 22H2 -x64 Gen 2
- Windows 11 Pro N, versione 22H2 -x64 Gen 2
- Windows 11 Enterprise, versione 22H2 -x64 Gen 2
- Windows 11 Enterprise multisessione, versione 22H2 -x64 Gen 2
Mentre si lavora per eseguire l'onboarding di altre immagini del sistema operativo con crittografia del disco del sistema operativo riservato, sono disponibili varie immagini in anteprima anticipata che possono essere testate. È possibile iscriversi di seguito:
- Red Hat Enterprise Linux 9.3 (supporto per Intel TDX)
- SU edizione Standard Enterprise Linux 15 SP5 (supporto per Intel TDX, AMD edizione Standard V-SNP)
- SU edizione Standard Enterprise Linux 15 SAP SP5 (supporto per Intel TDX, AMD edizione Standard V-SNP)
Per altre informazioni sugli scenari di macchine virtuali supportati e non supportati, vedere Supporto per le macchine virtuali di seconda generazione in Azure.
Disponibilità elevata e ripristino di emergenza
Si è responsabili della creazione di soluzioni di disponibilità elevata e ripristino di emergenza per le macchine virtuali riservate. La pianificazione di questi scenari consente di ridurre al minimo ed evitare tempi di inattività prolungati.
Distribuzione con modelli di Resource Manager
Azure Resource Manager è il servizio di distribuzione e gestione di Azure. È possibile:
- Proteggere e organizzare le risorse dopo la distribuzione con le funzionalità di gestione, ad esempio il controllo di accesso, i blocchi e i tag.
- Creare, aggiornare ed eliminare risorse nella sottoscrizione di Azure usando il livello di gestione.
- Usare i modelli di Azure Resource Manager per distribuire macchine virtuali riservate nei processori AMD. È disponibile un modello di Resource Manager per le macchine virtuali riservate.
Assicurarsi di specificare le proprietà seguenti per la macchina virtuale nella sezione parametri (parameters):
- Dimensioni macchina virtuale (
vmSize). Scegliere tra le diverse famiglie di macchine virtuali riservate e dimensioni. - Nome immagine del sistema operativo (
osImageName). Scegliere tra le immagini del sistema operativo qualificate. - Tipo di crittografia del disco (
securityType). Scegliere tra la crittografia solo VMGS (VMGuestStateOnly) o la pre-crittografia completa del disco del sistema operativo (DiskWithVMGuestState), che potrebbe comportare tempi di provisioning più lunghi. Per le istanze Di Intel TDX è supportato anche un altro tipo di sicurezza (NonPersistedTPM) che non dispone di VMGS o crittografia del disco del sistema operativo.
Passaggi successivi
Per altre informazioni, vedere Le domande frequenti sulla macchina virtuale riservata.