Soluzioni per Intel SGX in Azure
È possibile distribuire macchine virtuali Intel SGX (Intel Software Guard Extension) per utilizzarle nel confidential computing di Azure.
Dimensioni e aree disponibili correnti
Per ottenere un elenco delle dimensioni delle macchine virtuali Intel SGX, usare l'interfaccia della riga di comando di Azure. Installare l'interfaccia della riga di comando di Azure se non è già presente. Eseguire quindi il comando seguente per elencare le dimensioni relative a Intel SGX con le informazioni sull'area e sulla zona di disponibilità.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Requisiti dell'host dedicato
La distribuzione di una macchina virtuale Standard_DC8_v2, Standard_DC48s_v3o Standard_DC48ds_v3 occupa completamente l'host. Altri tenant o sottoscrizioni non condividono l'host. Questa famiglia di SKU di macchine virtuali offre l'isolamento che potrebbe essere necessario per soddisfare i requisiti normativi di conformità e sicurezza. In genere, potrebbe essere necessario un servizio host dedicato per soddisfare tali requisiti.
Per le dimensioni di queste macchine virtuali, il server host fisico alloca tutte le risorse hardware disponibili, inclusa la memoria EPC, esclusivamente alla macchina virtuale. Questa distribuzione non è la stessa rispetto al servizio Host dedicato di Azure in altre famiglie di macchine virtuali.
Considerazioni sulla distribuzione
Quando si pianifica la distribuzione di macchine virtuali Intel SGX in Azure, si devono tenere presenti i fattori riportati di seguito.
Sottoscrizione di Azure
Per distribuire un'istanza di macchina virtuale di confidential computing, prendere in considerazione una sottoscrizione con pagamento in base al consumo o altre opzioni di acquisto. Gli account gratuiti di Azure non hanno una quota sufficientemente elevata per il numero necessario di core di calcolo di Azure.
Prezzi e disponibilità a livello di area
Trovare i prezzi delle macchine virtuali DCsv2, DCsv3 e DCdsv3 nella pagina dei prezzi delle macchine virtuali di Azure. Controllare la tabella dei Prodotti disponibili in base all'area per la disponibilità nelle diverse aree di Azure.
Quota di core
Potrebbe essere necessario aumentare la quota di core nella sottoscrizione di Azure rispetto al valore predefinito. La sottoscrizione potrebbe anche limitare il numero di core che è possibile distribuire in alcune famiglie di dimensioni di macchine virtuali, tra cui la serie DCsv2. È possibile richiedere un aumento della quota senza alcun costo aggiuntivo. I limiti predefiniti potrebbero differire in base alla categoria di sottoscrizione.
Se si hanno esigenze estese di capacità, contattare il supporto di Azure. Le quote di Azure sono limiti di credito e non garanzie di capacità. Indipendentemente dalla quota, vengono addebitati solo i core utilizzati.
Ridimensionamento
Grazie all'hardware specializzato, è possibile ridimensionare solo le istanze di macchine virtuali Intel SGX all'interno della stessa famiglia di dimensioni. Ad esempio, è possibile ridimensionare una VM della serie DCsv2 solo da una dimensione a un'altra della serie DCsv2.
Image
Per fornire supporto Intel SGX nelle istanze di confidential computing, tutte le distribuzioni devono essere eseguite nelle immagini Gen 2. Il confidential computing di Azure supporta i carichi di lavoro in esecuzione su Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 e Ubuntu 22.04 Gen 2. Per ulteriori informazioni sugli scenari supportati e non supportati, vedere Supporto per le macchine virtuali Gen 2 in Azure.
Storage
Le macchine virtuali serie DCsv2 supportano SSD Standard e SSD Premium, a eccezione della serie DC8_v2.
Le macchine virtuali serie DCsv3 e serie DCdsv3, supportano SSD Standard, SSD Premium e Ultra SSD.
Considerazioni relative alla disponibilità elevata e al ripristino di emergenza
Se si usano macchine virtuali di Azure, si è responsabili della creazione di una soluzione a disponibilità elevata e con ripristino di emergenza, per evitare tempi di inattività.
Attualmente, il confidential computing di Azure non supporta la ridondanza della zona tramite le zone di disponibilità di Azure. Per garantire la massima disponibilità e ridondanza per l'elaborazione riservata, usare i set di disponibilità. A causa delle restrizioni hardware, i set di disponibilità per le istanze di elaborazione riservata possono avere un massimo di 10 domini di aggiornamento.
Distribuzione con il modello di Azure Resource Manager (ARM)
Azure Resource Manager è il servizio di distribuzione e gestione di Azure. Per creare, aggiornare ed eliminare risorse nella sottoscrizione di Azure, è possibile usare il livello di gestione dei servizi. Sono disponibili funzionalità di gestione quali il controllo di accesso, blocchi e tag. Utilizzare queste funzionalità per proteggere e organizzare le risorse dopo la distribuzione.
Per informazioni sui modelli di Azure Resource Manager (modelli di ARM), vedere la Panoramica dei modelli.
Per distribuire i modelli di ARM, vedere Macchine virtuali in un modello di Resource Manager. Assicurarsi di specificare le proprietà corrette per vmSize e imageReference.
Dimensioni delle macchine virtuali
Specificare una delle dimensioni seguenti nel modello di ARM nella risorsa della macchina virtuale. Questa stringa è vmSize nelle proprietà.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Immagine del sistema operativo Gen2
Nelle proprietà si deve anche specificare un'immagine in storageProfile. Usare solo una delle immagini seguenti per imageReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},