Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il confidential compute in App contenitore di Azure consente di proteggere i carichi di lavoro in contenitori durante l'elaborazione dei dati. Questo articolo illustra quando usare il confidential compute, come funziona con profili di carico di lavoro dedicati, come abilitarlo per un'app contenitore e come verificare che l'app venga eseguita nell'infrastruttura di confidential compute.
Importante
Il confidential compute è attualmente disponibile in anteprima ed è supportato solo in aree specifiche e configurazioni del profilo del carico di lavoro.
Vantaggi dell'elaborazione riservata in App contenitore di Azure
Il Confidential Computing integra la crittografia dei dati a riposo di Azure e la crittografia dei dati in transito, proteggendo i dati durante l'elaborazione. Quando si eseguono carichi di lavoro in un profilo del carico di lavoro di calcolo riservato, si ottiene:
- Isolamento basato su hardware tramite ambienti di esecuzione attendibili (TEE).
- Crittografia dei dati in memoria durante l'esecuzione dei carichi di lavoro.
- Protezione dall'accesso non autorizzato ai dati in uso, incluso l'accesso dagli operatori dell'infrastruttura.
La piattaforma Azure e l'infrastruttura di macchine virtuali riservate sottostanti forniscono e applicano queste garanzie. Per altre informazioni, vedere Azure confidential computing.
Quando usare il confidential compute
Usare il confidential computing nelle app contenitore Azure quando:
- I carichi di lavoro elaborano dati altamente sensibili o regolamentati.
- La protezione dei dati durante l'elaborazione è un requisito.
- Si vogliono ottenere i vantaggi di sicurezza del confidential computing senza gestire l'infrastruttura o modificare il codice dell'applicazione.
Funzionamento del confidential compute
Il calcolo riservato si abilita a livello del profilo di carico di lavoro, non a livello della singola app contenitore o della singola revisione. Quando si aggiunge un profilo di carico di lavoro dedicato della serie DC all'ambiente, tutte le app contenitore assegnate a tale profilo vengono eseguite automaticamente nell'infrastruttura di calcolo riservata supportata da SKU di macchine virtuali riservate.
Non è necessario configurare impostazioni per app o per contenitore. Distribuisci app container usando le stesse immagini, gli stessi strumenti e gli stessi flussi di lavoro usati per i carichi di lavoro non riservati. Non sono necessari speciali SDK o configurazione del runtime del contenitore.
Prerequisiti
Prima di abilitare il confidential compute, verificare di avere gli elementi seguenti:
- Un ambiente App contenitore di Azure in un'area geografica supportata.
- Profilo del carico di lavoro dedicato che usa un tipo di profilo del carico di lavoro della serie DC.
- Un'app contenitore a cui è assegnato il profilo di carico di lavoro della serie DC.
Abilitare il confidential compute
L'esempio seguente crea un ambiente App contenitore con un profilo di carico di lavoro della serie DC e distribuisce un'app contenitore assegnata a tale profilo:
Creare l'ambiente con un profilo del carico di lavoro della serie DC.
az containerapp env create \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --location <SUPPORTED_REGION> \ --workload-profile-type DC4 \ --workload-profile-name my-wp-confidentialCreare l'app contenitore e assegnarla al profilo di carico di lavoro.
az containerapp create \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --environment <ENVIRONMENT_NAME> \ --workload-profile-name my-wp-confidential \ --image <CONTAINER_IMAGE>
Il parametro --workload-profile-name my-wp-confidential assegna l'app al profilo di carico di lavoro della serie DC, che abilita il calcolo riservato.
Per informazioni sull'aggiunta e la gestione dei profili di carico di lavoro, vedere Gestire i profili di carico di lavoro con il interfaccia della riga di comando di Azure.
Verifica la configurazione del calcolo riservato
Usare questo controllo rapido per verificare che l'app sia assegnata a un profilo del carico di lavoro della serie DC.
Interfaccia della riga di comando di Azure
Ottieni il profilo del carico di lavoro assegnato all'app contenitore.
az containerapp show \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query properties.workloadProfileName \ -o tsvOutput di esempio:
my-wp-confidentialOttieni il tipo di profilo di carico di lavoro per quel profilo nell'ambiente.
az containerapp env workload-profile list \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query "[].{name:name,workloadProfileType:workloadProfileType}"Output di esempio:
[ { "name": "my-wp-confidential", "workloadProfileType": "DC4" } ]In questo esempio è
my-wp-confidentialun nome di profilo di esempio. Il nome del profilo può essere diverso.
Se il profilo assegnato all'app ha un workloadProfileType valore che inizia con DC, ad esempio DC4 o DC8, l'app viene eseguita nell'infrastruttura di calcolo riservata.
Azure portal
- Nel portale di Azure, vai all'app del contenitore.
- Nella pagina Panoramica prendere nota del valore Ambiente e passare a tale ambiente.
- Nell'ambiente app contenitore, andare a Profili di carico di lavoro.
- Trovare il profilo del carico di lavoro usato dall'app e verificare che il tipo di profilo e le dimensioni inizino con
DC, ad esempioDC4oDC8.
Profili di carico di lavoro supportati
L'elaborazione riservata è disponibile solo sui profili di carico di lavoro dedicati della serie DC. Le dimensioni supportate includono:
- DC4
- DC8
- DC16
- DC32
- DC48
- DC64
- DC96
La disponibilità di questi profili di carico di lavoro dipende dall'area. Non tutte le aree con profili della serie DC supportano l'elaborazione riservata. Per l'elenco aggiornato delle regioni in cui è disponibile il calcolo riservato, consulta Regioni supportate.
Regioni supportate
App contenitore di Azure supporta il confidential compute nell'area Emirati Arabi Uniti settentrionali. Per richiedere un'area, inviare un problema in GitHub.