Quickstart: Een Intel SGX-VM maken in de Azure Portal
In deze zelfstudie wordt u begeleid bij het implementeren van Intel SGX-VM's met behulp van Azure Portal. Anders raden we u aan Azure Marketplace sjablonen te volgen.
Vereisten
Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.
Notitie
Gratis proefaccounts hebben geen toegang tot de VM's in deze zelfstudie. U moet upgraden naar een abonnement met betalen per gebruik.
Aanmelden bij Azure
Meld u aan bij Azure-portal.
Selecteer bovenaan Een resource maken.
Selecteer in het linkerdeelvenster de optie Compute.
Selecteer Virtuele machine maken.
Een Intel SGX Virtual Machine configureren
Selecteer in het tabblad Basisinformatie uw Abonnement en Resourcegroep.
Voer een naam in voor uw nieuwe VM bij Naam virtuele machine.
Typ of selecteer de volgende waarden:
Regio: selecteer de Azure-regio die het beste bij u past.
Notitie
Intel SGX-VM's worden uitgevoerd op gespecialiseerde hardware in specifieke regio's. Voor de meest recente regionale beschikbaarheid zoekt u naar DCsv2-serie of DCsv3/DCdsv3-serie in beschikbare regio's.
Configureer de installatiekopie van het besturingssysteem die u wilt gebruiken voor de virtuele machine.
Afbeelding kiezen: selecteer voor deze zelfstudie Ubuntu 20.04 LTS - Gen2. U kunt ook Ubuntu 18.04 LTS - Gen2 of Windows Server 2019 selecteren.
Update naar generatie 2: selecteer onder Installatiekopieën de optie VM-generatie configureren in de flyout en selecteer vervolgens Generatie 2.
Kies een virtuele machine met Intel SGX-mogelijkheden door te klikken op + Filter toevoegen om een filter te maken, selecteer Type voor Filtertype en controleer alleen Vertrouwelijke berekening in de lijst in de volgende vervolgkeuzelijst.
Tip
U ziet de grootten DC(number)s_v2, DC(number)s_v3 en DC(number)ds_v3. Meer informatie.
Vul de volgende informatie in:
Verificatietype: Selecteer Openbare SSH-sleutel als u een virtuele Linux-machine maakt.
Notitie
U hebt de keuze om voor de verificatie een openbare SSH-sleutel of een wachtwoord te gebruiken. SSH is veiliger. Zie SSH-sleutels maken in Linux en Mac voor virtuele Linux-machines in Azure voor instructies over het maken van een SSH-sleutel.
Gebruikersnaam: voer de naam van de beheerder voor de VM in.
Openbare SSH-sleutel: Voer, indien van toepassing, uw openbare RSA-sleutel in.
Wachtwoord: Voer, indien van toepassing, uw wachtwoord voor verificatie in.
Openbare binnenkomende poorten: Kies Geselecteerde poorten toestaan en selecteer SSH (22) en HTTP (80) in de lijst Openbare binnenkomende poorten selecteren. Als u een virtuele Windows-machine implementeert, selecteert u HTTP (80) en RDP (3389) .
Notitie
Het toestaan van RDP-/SSH-poorten wordt niet aanbevolen voor productie-implementaties.
Breng wijzigingen aan op het tabblad Schijven.
- DCsv2-serie ondersteunt Standard SSD, Premium SSD wordt ondersteund in DC1, DC2 en DC4.
- DCsv3 en DCdsv3-serie ondersteunen Standard SSD, Premium SSD en Ultra Disk
Breng eventueel wijzigingen aan in de instellingen op de volgende tabbladen of behoud de standaardinstellingen.
- Netwerken
- Beheer
- Gastconfiguratie
- Tags
Selecteer Controleren + maken.
Selecteer in het deelvenster Controleren + maken de optie Maken.
Notitie
Ga verder naar de volgende sectie en ga door met deze zelfstudie als u een virtuele Linux-machine hebt geïmplementeerd. Als u een virtuele Windows-machine hebt geïmplementeerd, volgt u deze stappen om verbinding te maken met uw Windows-VM. U kunt dan vervolgens de OE SDK installeren op Windows.
Verbinding maken met de virtuele Linux-machine
Open de gewenste SSH-client, zoals Bash op Linux of PowerShell in Windows. De ssh opdracht is doorgaans opgenomen in Linux, macOS en Windows. Als u Windows 7 of ouder gebruikt, waarbij Win32 OpenSSH niet standaard is opgenomen, kunt u overwegen om WSL te installeren of Azure Cloud Shell te gebruiken vanuit de browser. In de volgende opdracht vervangt u de VM-gebruikersnaam en het IP-adres om verbinding te maken met uw virtuele Linux-machine.
ssh azureadmin@40.55.55.555
U vindt het openbare IP-adres van uw virtuele machine in Azure Portal, onder het gedeelte Overzicht van uw virtuele machine.
Zie Een virtuele Linux-machine in Azure maken met behulp van de portal voor meer informatie over verbinding maken met virtuele Linux-machines.
Azure DCAP-client installeren
Azure Data Center Attestation Primitives (DCAP), een vervanging van Intel Quote Provider Library (QPL), haalt het onderpand voor het genereren van offertes en het validatiemateriaal voor offertes rechtstreeks op uit de THIM-service.
De THIM-service (Trusted Hardware Identity Management) verwerkt het cachebeheer van certificaten voor alle TRUSTED Execution Environments (TEE) die zich in Azure bevinden en biedt TCB-informatie (Trusted Computing Base) om een minimale basislijn af te dwingen voor Attestation-oplossingen.
DCsv3 en DCdsv3 ondersteunen alleen attestation op basis van ECDSA en de gebruikers moeten de Azure DCAP-client installeren om te communiceren met THIM en TEE-onderpand op te halen voor het genereren van offertes tijdens het attestation-proces. DCsv2 blijft ondersteuning bieden voor attestation op basis van EPID.
Resources opschonen
Wanneer u deze niet meer nodig hebt, kunt u de resourcegroep, de virtuele machine en alle bijbehorende resources verwijderen.
Selecteer de resourcegroep voor de virtuele machine en klik op Verwijderen. Bevestig de naam van de resourcegroep om het verwijderen van de resources te voltooien.
Volgende stappen
In deze quickstart hebt u uw Intel SGX-VM geïmplementeerd en verbonden. Zie Oplossingen op Virtual Machines voor meer informatie.
Ga door naar de Open Enclave SDK-voorbeelden op GitHub en ontdek hoe u toepassingen met Confidential Computing kunt bouwen.
Microsoft Azure Attestation is een gratis en op ECDSA gebaseerd attestation-framework, voor het extern controleren van de betrouwbaarheid van meerdere TEE's en de integriteit van de binaire bestanden die erin worden uitgevoerd. Meer informatie