빠른 시작: Azure Portal에서 Intel SGX VM 만들기
이 자습서에서는 Azure Portal을 사용하여 Intel SGX VM을 배포하는 과정을 설명합니다. 그렇지 않으면 Azure Marketplace 템플릿을 따르는 것이 좋습니다.
필수 조건
Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.
참고 항목
무료 평가판 계정에는 이 자습서의 VM에 대한 액세스 권한이 없습니다. 종량제 구독으로 업그레이드하세요.
Azure에 로그인
Azure Portal에 로그인합니다.
위쪽에서 리소스 만들기를 선택합니다.
왼쪽 창에서 컴퓨팅을 선택합니다.
가상 머신 만들기를 선택합니다.
Intel SGX 가상 머신 구성
기본 탭에서 구독 및 리소스 그룹을 선택합니다.
가상 머신 이름에 대해 새 VM의 이름을 입력합니다.
다음 값을 입력하거나 선택합니다.
지역: 자신에게 적합한 Azure 지역을 선택합니다.
참고 항목
Intel SGX VM은 특정 지역의 특수한 하드웨어에서 실행됩니다. 최신 지역의 가용성을 보려면 사용 가능한 지역에서 DCsv2 시리즈 또는 DCsv3/DCdsv3 시리즈를 찾으십시오.
가상 머신에 사용할 운영 체제 이미지를 구성합니다.
이미지 선택: 이 자습서의 경우 Ubuntu 20.04 LTS - Gen 2를 선택합니다. Ubuntu 18.04 LTS - Gen2 또는 Windows Server 2019를 선택할 수도 있습니다.
2세대로 업데이트: 이미지 아래에서 VM 생성 구성을 선택하고 플라이아웃에서 2세대를 선택합니다.
필터를 만들기 위해 + 필터 추가를 클릭하여 Intel SGX 기능이 있는 가상 머신을 선택하고, 필터 형식으로 형식을 선택하고, 다음 드롭다운의 목록에서 기밀 컴퓨팅만 확인합니다.
팁
DC(number)s_v2, DC(number)s_v3 및 DC(number)ds_v3 크기가 나타나야 합니다. 자세히 알아보기.
다음 정보를 입력합니다.
인증 유형: Linux VM을 만드는 경우 SSH 공개 키를 선택합니다.
참고 항목
인증을 위해 SSH 공개 키를 사용할지 아니면 암호를 사용할지 선택할 수 있습니다. SSH는 더 안전합니다. SSH 키를 생성하는 방법에 대한 지침은 Azure의 Linux VM용 Linux 및 Mac에서 SSH 키 만들기를 참조하세요.
사용자 이름: VM의 관리자 이름을 입력합니다.
SSH 공개 키: 해당하는 경우 RSA 공개 키를 입력합니다.
암호: 해당하는 경우 인증 암호를 입력합니다.
퍼블릭 인바운드 포트: 선택한 포트 허용을 선택하고 퍼블릭 인바운드 포트 선택 목록에서 SSH(22) 및 HTTP(80)를 선택합니다. Windows VM을 배포하는 경우 HTTP(80) 및 RDP(3389)를 선택합니다.
참고 항목
프로덕션 배포에는 RDP/SSH 포트를 허용하지 않는 것이 좋습니다.
디스크 탭에서 변경을 수행합니다.
- DCsv2 시리즈는 DC1, DC2 및 DC4에서 표준 SSD, 프리미엄 SSD가 지원됩니다.
- DCsv3 및 DCdsv3 시리즈는 표준 SSD, 프리미엄 SSD 및 Ultra Disk를 지원합니다.
다음 탭에서 설정을 원하는 대로 변경하거나 기본 설정을 유지합니다.
- 네트워킹
- 관리
- 게스트 구성
- 태그
검토 + 만들기를 선택합니다.
검토 + 만들기 창에서 만들기를 선택합니다.
참고 항목
Linux VM을 배포한 경우 다음 섹션으로 이동하여 이 자습서를 계속 진행합니다. Windows VM을 배포한 경우 다음 단계에 따라 Windows VM에 연결한 다음, OE SDK를 Windows에 설치합니다.
Linux VM에 연결
Linux의 Bash 또는 Windows의 PowerShell과 같이 선택한 SSH 클라이언트를 엽니다. ssh
명령은 일반적으로 Linux, macOS 및 Windows에 포함됩니다. Win32 OpenSSH가 기본적으로 포함되지 않은 Windows 7 이상을 사용하는 경우 WSL을 설치하거나 브라우저에서 Azure Cloud Shell을 사용하는 것이 좋습니다. 다음 명령에서 VM 사용자 이름 및 IP 주소를 바꿔서 Linux VM에 연결합니다.
ssh azureadmin@40.55.55.555
VM의 공용 IP 주소는 Azure Portal에 있는 가상 머신의 [개요] 섹션 아래에서 확인할 수 있습니다.
Linux VM에 연결하는 방법에 대한 자세한 내용은 포털을 사용하여 Azure에서 Linux VM 만들기를 참조하세요.
Azure DCAP 클라이언트 설치
Intel QPL(견적 공급자 라이브러리)을 바꾸는 Azure DCAP(Data Center Attestation Primitives)는 THIM 서비스에서 직접 견적 생성 참고 자료 및 견적 유효성 검사 참고 자료를 페치합니다.
THIM(신뢰할 수 있는 하드웨어 ID 관리) 서비스는 Azure에 있는 모든 TEE(신뢰 실행 환경)에 대한 인증서의 캐시 관리를 처리하고 증명 솔루션에 대한 최소 기준을 적용하기 위해 TCB(신뢰할 수 있는 컴퓨팅 기반) 정보를 제공합니다.
DCsv3 및 DCdsv3는 ECDSA 기반 증명만 지원하며 사용자는 증명 프로세스 중에 THIM과 상호 작용하고 인용문 생성을 위해 TEE 참고 자료를 가져오도록 Azure DCAP 클라이언트를 설치하는 것이 좋습니다. DCsv2는 EPID 기반 증명을 계속 지원합니다.
리소스 정리
리소스 그룹, 가상 머신 및 모든 관련 리소스가 더 이상 필요 없는 경우 삭제해도 됩니다.
가상머신에 대한 리소스 그룹을 선택한 다음 삭제를 선택합니다. 리소스 그룹의 이름을 확인하고 리소스 삭제를 마칩니다.
다음 단계
이 빠른 시작에서는 Intel SGX VM에 배포하고 연결했습니다. 자세한 내용은 Virtual Machines의 솔루션을 참조하세요.
GitHub의 Open Enclave SDK 샘플로 계속 진행하여 기밀 컴퓨팅 애플리케이션을 빌드하는 방법을 알아봅니다.
Microsoft Azure 증명은 여러 TEE의 신뢰성과 내부에서 실행되는 이진의 무결성을 원격으로 확인하기 위한 ECDSA 기반의 무료 증명 프레임워크입니다. 자세히 알아보세요.