Azure 기밀 VM 옵션

  • 아티클

Azure는 가상화 환경을 강화하기 위해 AMD와 Intel의 TEE(신뢰할 수 있는 실행 환경) 기술을 활용하는 여러 기밀 VM 옵션을 제공합니다. 이러한 기술을 사용하면 코드 변경 없이 뛰어난 가격 대 성능으로 기밀 컴퓨팅 환경을 프로비전할 수 있습니다.

AMD 기밀 VM은 3세대 AMD EPYC™ 프로세서로 도입된 SEV-SNP(Secure Encrypted Virtualization-Secure Nested Paging)를 활용합니다. Intel 기밀 VM은 4세대 Intel Xeon® 프로세서와 함께 도입된 TDX(Trust Do기본 Extensions)를 사용합니다

크기

다음과 같은 크기 제품군에서 기밀 VM을 만들 수 있습니다.

크기 패밀리 TEE 설명
DCasv5 시리즈 AMD SEV-SNP 원격 스토리지를 사용하는 범용 CVM입니다. 로컬 임시 디스크가 없습니다.
DCesv5 시리즈 Intel TDX 원격 스토리지를 사용하는 범용 CVM입니다. 로컬 임시 디스크가 없습니다.
DCadsv5 시리즈 AMD SEV-SNP 로컬 임시 디스크가 있는 범용 CVM입니다.
DCedsv5 시리즈 Intel TDX 로컬 임시 디스크가 있는 범용 CVM입니다.
ECasv5 시리즈 AMD SEV-SNP 원격 스토리지를 사용하는 메모리 최적화 CVM입니다. 로컬 임시 디스크가 없습니다.
ECesv5 시리즈 Intel TDX 원격 스토리지를 사용하는 메모리 최적화 CVM입니다. 로컬 임시 디스크가 없습니다.
ECadsv5 시리즈 AMD SEV-SNP 로컬 임시 디스크가 있는 메모리 최적화 CVM입니다.
ECedsv5 시리즈 Intel TDX 로컬 임시 디스크가 있는 메모리 최적화 CVM입니다.

참고 항목

메모리 최적화 기밀 VM은 vCPU 수당 메모리 비율을 두 배로 제공합니다.

Azure CLI 명령

기밀 VM에서 Azure CLI를 사용할 수 있습니다.

기밀 VM 크기 목록을 보려면 다음 명령을 실행합니다. <vm-series>를 사용하려는 시리즈로 바꿉니다. 출력에는 사용 가능한 지역 및 가용성 영역에 대한 정보가 표시됩니다.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

자세한 목록을 보려면 다음 명령을 대신 실행합니다.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']"

배포 고려 사항

기밀 VM을 배포하기 전에 다음 설정 및 선택 사항을 고려합니다.

Azure 구독

기밀 VM 인스턴스를 배포하려면 종량제 구독 또는 기타 구매 옵션을 고려합니다. Azure 무료 계정을 사용하는 경우 할당량은 적절한 수의 Azure 컴퓨팅 코어를 허용하지 않습니다.

Azure 구독의 코어 할당량을 기본값에서 늘려야 할 수 있습니다. 기본 제한은 구독 범주에 따라 달라집니다. 구독에 따라서도 기밀 VM 시리즈를 포함하여 특정 VM 크기 제품군에 배포할 수 있는 코어 수가 제한될 수 있습니다.

할당량 증가를 요청하려면 온라인 고객 지원 요청을 엽니다.

대규모 용량이 필요한 경우 Azure 지원에 문의하세요. Azure 할당량은 신용 제한이며 용량 보증이 아닙니다. 사용하는 코어에 대해서만 요금이 부과됩니다.

가격 책정

가격 책정 옵션은 Linux Virtual Machines 가격 책정을 참조하세요.

국가별 가용성

가용성 정보는 Azure 지역에서 사용할 수 있는 VM 제품을 참조하세요.

크기 조정

기밀 VM은 특수 하드웨어에서 실행되므로 기밀 VM 인스턴스의 크기를 동일한 지역의 다른 기밀 크기로만 조정할 수 있습니다. 예를 들어 DCasv5 시리즈 VM이 있는 경우 다른 DCasv5 시리즈 인스턴스 또는 DCesv5 시리즈 인스턴스로 크기를 조정할 수 있습니다.

기밀이 아닌 VM의 크기를 기밀 VM으로 조정할 수 없습니다.

게스트 OS 지원

기밀 VM에 대한 OS 이미지는 특정 보안 및 호환성 요구 사항을 충족해야 합니다. 정규화된 이미지는 보안 탑재, 증명, 선택적 기밀 OS 디스크 암호화 및 기본 클라우드 인프라로부터의 격리를 지원합니다. 이러한 이미지는 다음과 같습니다.

  • Ubuntu 20.04 LTS(AMD SEV-SNP만 지원됨)
  • Ubuntu 22.04 LTS
  • Red Hat Enterprise Linux 9.3(AMD SEV-SNP만 지원됨)
  • Windows Server 2019 Datacenter - x64 Gen 2(AMD SEV-SNP만 지원됨)
  • Windows Server 2019 Datacenter Server Core - x64 Gen 2(AMD SEV-SNP만 지원됨)
  • Windows Server 2022 Datacenter - x64 Gen 2
  • Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
  • Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
  • Windows Server 2022 Datacenter Server Core - x64 Gen 2
  • Windows 11 Enterprise KN 버전 22H2 -x64 Gen 2
  • Windows 11 Pro 버전 22H2 ZH-CN -x64 Gen 2
  • Windows 11 Pro 버전 22H2 -x64 Gen 2
  • Windows 11 Pro KN 버전 22H2 -x64 Gen 2
  • Windows 11 Enterprise 버전 22H2 -x64 Gen 2
  • Windows 11 Enterprise 다중 세션 버전 22H2 -x64 Gen 2

기밀 OS 디스크 암호화를 사용하여 더 많은 OS 이미지를 온보딩하기 위해 노력함에 따라 테스트할 수 있는 초기 미리 보기에서 사용할 수 있는 다양한 이미지가 있습니다. 아래에서 등록할 수 있습니다.

지원되거나 지원되지 않는 VM 시나리오에 대한 자세한 내용은 Azure의 2세대 VM 지원을 참조하세요.

고가용성 및 재해 복구

기밀 VM에 대한 고가용성 및 재해 복구 솔루션을 만들 책임이 있습니다. 이러한 시나리오를 계획하면 가동 중지 시간이 길어지는 것을 최소화하고 방지할 수 있습니다.

ARM 템플릿을 사용하여 배포

Azure Resource Manager는 Azure용 배포 및 관리 서비스입니다. 마케팅 목록의 구성원을 관리할 수 있습니다.

매개 변수 섹션(parameters)에서 VM에 대해 다음 속성을 지정해야 합니다.

  • VM 크기(vmSize). 다양한 기밀 VM 제품군 및 크기 중에서 선택합니다.
  • OS 이미지 이름(osImageName). 정규화된 OS 이미지에서 선택합니다.
  • 디스크 암호화 형식(securityType). VMGS 전용 암호화(VMGuestStateOnly) 또는 전체 OS 디스크 사전 암호화(DiskWithVMGuestState)에서 선택하면 프로비전 시간이 길어질 수 있습니다. Intel TDX 인스턴스의 경우 VMGS 또는 OS 디스크 암호화가 없는 다른 보안 유형(NonPersistedTPM)도 지원합니다.

다음 단계

Azure Portal에서 기밀 VM 배포

자세한 내용은 기밀 VM FAQ를 참조하세요.