Azure Confidential VM オプション
Azure は、AMD と Intel 両方の 高信頼実行環境 (TEE) テクノロジを活用する複数の Confidential VM オプションを提供し、仮想化環境を強化します。 これらのテクノロジにより、コードを変更することなく、費用対効果に優れた Confidential Computing 環境をプロビジョニングできます。
AMD Confidential VM は、第 3 世代 AMD EPYC™ プロセッサで導入された Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) を活用しています。 Intel Confidential VM は、第 4 世代 Intel® Xeon® プロセッサで導入された Trust Domain Extensions (TDX) を使用しています。
サイズ
Confidential VM は、次のサイズ ファミリで作成できます。
| サイズ ファミリ | TEE | 説明 |
|---|---|---|
| DCasv5 シリーズ | 機密 VM | リモート記憶域を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCesv5 シリーズ | Intel TDX | リモート記憶域を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCadsv5 シリーズ | 機密 VM | 一時ディスクを使用する汎用 CVM。 |
| DCedsv5 シリーズ | Intel TDX | 一時ディスクを使用する汎用 CVM。 |
| ECasv5 シリーズ | 機密 VM | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECesv5 シリーズ | Intel TDX | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECadsv5 シリーズ | 機密 VM | ローカルの一時ディスクを使用する汎用 CVM。 |
| ECedsv5 シリーズ | Intel TDX | ローカルの一時ディスクを使用する汎用 CVM。 |
Note
メモリ最適化コンフィデンシャル VM では、vCPU 数あたりのメモリの比率が 2 倍になります。
Azure CLI コマンド
コンフィデンシャル VM で Azure CLI を使用できます。
コンフィデンシャル VM サイズの一覧を表示するには、次のコマンドを実行します。 <vm-series> を、使用するシリーズに置き換えます。 出力には、使用可能なリージョンと可用性ゾーンに関する情報が表示されます。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
より詳細な一覧については、代わりに次のコマンドを実行します。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
デプロイに関する考慮事項
コンフィデンシャル VM をデプロイする前に、次の設定と選択肢を検討してください。
Azure サブスクリプション
機密 VM インスタンスをデプロイするには、 従量課金制サブスクリプション またはその他の購入オプションを検討してください。 Azure 無料アカウントをお使いの場合、適切な数の Azure コンピューティング コア用のクォータが与えられません。
場合によっては、Azure サブスクリプションのコア クォータを既定値から増やす必要があります。 既定の制限は、サブスクリプション カテゴリによって異なる場合があります。 サブスクリプションによっては、コンフィデンシャル VM のサイズを含む特定の VM サイズ ファミリにデプロイできるコア数が制限されることがあります。
クォータを増やすためのリクエストは、オンライン カスタマー サポートに申請してください。
大規模な容量が必要な場合は、Azure サポートにお問い合わせください。 Azure のクォータは容量保証ではなくクレジット制限です。 使用するコアに対してだけ料金が発生します。
価格
価格オプションについては、「Linux Virtual Machines の料金」をご覧ください。
リージョン別の提供状況
可用性情報については、Azure リージョンで使用できる VM 製品に関するページを参照してください。
サイズ変更
Confidential VM は特殊なハードウェア上で実行されます。そのため、同じリージョンで Confidential VM インスタンスのサイズを他のサイズに変更することしかできません。 たとえば、DCasv5 シリーズの VM がある場合は、別の DCasv5 シリーズのインスタンスや DCesv5 シリーズ インスタンスにサイズを変更できます。
コンフィデンシャル以外の VM のサイズをコンフィデンシャル VM に変更することはできません。
ゲスト OS のサポート
コンフィデンシャル VM の OS イメージは、セキュリティと互換性について特定の要件を満たす必要があります。 認定されたイメージでは、セキュリティで保護されたマウント、構成証明、オプションのコンフィデンシャル OS ディスク暗号化、基になるクラウド インフラストラクチャからの分離がサポートされます。 これらのイメージには次のものが含まれます。
- Ubuntu 20.04 LTS (AMD SEV-SNP サポートのみ)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (AMD SEV-SNP サポートのみ)
- Windows Server 2019 Datacenter - x64 Gen 2 (AMD SEV-SNP サポートのみ)
- Windows Server 2019 Datacenter Server Core - x64 Gen 2 (AMD SEV-SNP サポートのみ)
- Windows Server 2022 Datacenter - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
- Windows Server 2022 Datacenter Server Core - x64 Gen 2
- Windows 11 Enterprise N バージョン 22H2 -x64 Gen 2
- Windows 11 Pro バージョン 22H2 ZH-CN -x64 Gen 2
- Windows 11 Pro バージョン 22H2 -x64 Gen 2
- Windows 11 Pro N バージョン 22H2 -x64 Gen 2
- Windows 11 Enterprise バージョン 22H2 -x64 Gen 2
- Windows 11 Enterprise マルチセッション バージョン 22H2 -x64 Gen 2
より多くの OS イメージに機密 OS ディスク暗号化をオンボーディングするよう取り組んでいるため、テスト可能なさまざまなイメージを早期プレビューで利用できます。 以下の方法でサインアップできます。
- Red Hat Enterprise Linux 9.3 (Intel TDX のサポート)
- SUSE Enterprise Linux 15 SP5 (Intel TDX、AMD SEV-SNP のサポート)
- SUSE Enterprise Linux 15 SAP SP5 (Intel TDX、AMD SEV-SNP のサポート)
サポートされている VM シナリオとサポートされていない VM シナリオの詳細は、Azure での第 2 世代 VM のサポートを参照してください。
高可用性とディザスター リカバリー
コンフィデンシャル VM のための高可用性およびディザスター リカバリー ソリューションを作成する必要があります。 これらのシナリオの計画は、長時間のダウンタイムを最小限に抑えて回避するのに役立ちます。
ARM テンプレートを使用したデプロイ
Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 次のことを実行できます。
- アクセス制御、ロック、タグなどの管理機能を使用して、デプロイ後にリソースをセキュリティ保護および整理します。
- 管理レイヤーを使用して、Azure サブスクリプション内のリソースを作成、更新、削除します。
- Azure Resource Manager テンプレート (ARM テンプレート) を使用して、AMD プロセッサにコンフィデンシャル VM をデプロイします。 コンフィデンシャル VM 用に使用できる ARM テンプレートがあります。
パラメーター セクション (parameters) で、VM の次のプロパティを指定したことを確認してください。
- VM サイズ (
vmSize)。 さまざまなコンフィデンシャル VM ファミリとサイズから選択します。 - OS イメージ名 (
osImageName)。 修飾された OS イメージから選択します。 - ディスク暗号化の種類 (
securityType) VMGS のみの暗号化 (VMGuestStateOnly) または完全な OS ディスクの事前暗号化 (DiskWithVMGuestState) から選択します。これにより、プロビジョニング時間が長くなる可能性があります。 Intel TDX インスタンスの場合のみ、VMGS や OS ディスクの暗号化を行わない別のセキュリティの種類 (NonPersistedTPM) もサポートしています。
次のステップ
詳細については、Confidential VM のよくあるご質問を参照してください。