Quickstart: Intel SGX-VM maken in Azure Portal
In deze zelfstudie wordt u begeleid bij het implementeren van Intel SGX-VM's met behulp van Azure Portal. Anders raden we u aan Azure Marketplace-sjablonen te volgen.
Vereisten
Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.
Notitie
Gratis proefaccounts hebben geen toegang tot de VM's in deze zelfstudie. U moet upgraden naar een abonnement met betalen per gebruik.
Aanmelden bij Azure
Meld u aan bij Azure-portal.
Selecteer bovenaan Een resource maken.
Selecteer Compute in het linkerdeelvenster.
Selecteer Virtuele machine maken.
Een virtuele Intel SGX-machine configureren
Selecteer in het tabblad Basisinformatie uw Abonnement en Resourcegroep.
Voer een naam in voor uw nieuwe VM bij Naam virtuele machine.
Typ of selecteer de volgende waarden:
Regio: Selecteer de Azure-regio die geschikt is voor u.
Notitie
Intel SGX-VM's worden uitgevoerd op gespecialiseerde hardware in specifieke regio's. Voor de nieuwste regionale beschikbaarheid zoekt u naar DCsv2-serie of DCsv3/DCdsv3-serie in beschikbare regio's.
Configureer de installatiekopie van het besturingssysteem die u wilt gebruiken voor de virtuele machine.
Kies Afbeelding: Voor deze zelfstudie selecteert u Ubuntu 20.04 LTS - Gen2. U kunt ook Ubuntu 18.04 LTS - Gen2 of Windows Server 2019 selecteren.
Bijwerken naar generatie 2: selecteer onder installatiekopieën de optie VM-generatie configureren en selecteer vervolgens generatie 2.
Kies een virtuele machine met Intel SGX-mogelijkheden door op + Filter toevoegen te klikken om een filter te maken, Type voor filtertype te selecteren en alleen vertrouwelijke berekening in de lijst in de volgende vervolgkeuzelijst te controleren.
Tip
U ziet de grootten DC(getal)s_v2, DC(getal)s_v3 en DC(getal)ds_v3. Meer informatie.
Vul de volgende informatie in:
Verificatietype: selecteer openbare SSH-sleutel als u een Linux-VM maakt.
Notitie
U hebt de keuze om voor de verificatie een openbare SSH-sleutel of een wachtwoord te gebruiken. SSH is veiliger. Zie SSH-sleutels maken in Linux en Mac voor virtuele Linux-machines in Azure voor instructies over het maken van een SSH-sleutel.
Gebruikersnaam: voer de naam van de beheerder in voor de virtuele machine.
Openbare SSH-sleutel: voer, indien van toepassing, uw openbare RSA-sleutel in.
Wachtwoord: Voer, indien van toepassing, uw wachtwoord in voor verificatie.
Openbare binnenkomende poorten: kies Geselecteerde poorten toestaan en selecteer SSH (22) en HTTP (80) in de lijst openbare binnenkomende poorten selecteren. Als u een virtuele Windows-machine implementeert, selecteert u HTTP (80) en RDP (3389).
Notitie
Het toestaan van RDP-/SSH-poorten wordt niet aanbevolen voor productie-implementaties.
Breng wijzigingen aan op het tabblad Schijven.
- DcCsv2-serie ondersteunt Standard SSD, Premium SSD wordt ondersteund in DC1, DC2 en DC4.
- DC'sv3 en DCdsv3-serie ondersteunt Standard SSD, Premium SSD en Ultra Disk
Breng eventueel wijzigingen aan in de instellingen op de volgende tabbladen of behoud de standaardinstellingen.
- Netwerken
- Beheer
- Gastconfiguratie
- Tags
Selecteer Controleren + maken.
Selecteer in het deelvenster Controleren + maken de optie Maken.
Notitie
Ga verder naar de volgende sectie en ga door met deze zelfstudie als u een virtuele Linux-machine hebt geïmplementeerd. Als u een virtuele Windows-machine hebt geïmplementeerd, volgt u deze stappen om verbinding te maken met uw Windows-VM. U kunt dan vervolgens de OE SDK installeren op Windows.
Verbinding maken met de virtuele Linux-machine
Open uw SSH-client naar keuze, zoals Bash in Linux of PowerShell in Windows. De ssh opdracht is doorgaans opgenomen in Linux, macOS en Windows. Als u Windows 7 of ouder gebruikt, waarbij Win32 OpenSSH niet standaard is opgenomen, kunt u overwegen WSL te installeren of Azure Cloud Shell te gebruiken vanuit de browser. In de volgende opdracht vervangt u de VM-gebruikersnaam en het IP-adres om verbinding te maken met uw virtuele Linux-machine.
ssh azureadmin@40.55.55.555
U vindt het openbare IP-adres van uw virtuele machine in Azure Portal, onder het gedeelte Overzicht van uw virtuele machine.
Zie Een virtuele Linux-machine in Azure maken met behulp van de portal voor meer informatie over verbinding maken met virtuele Linux-machines.
Azure DCAP-client installeren
Azure Data Center Attestation Primitives (DCAP), een vervanging voor Intel Quote Provider Library (QPL), haalt het onderpand voor het genereren van offertes en validatiemateriaal rechtstreeks op bij de THIM-service.
De THIM-service (Trusted Hardware Identity Management) verwerkt cachebeheer van certificaten voor alle VERTROUWDE uitvoeringsomgevingen (TEE) die zich in Azure bevinden en biedt informatie over vertrouwde computingbasis (TCB) om een minimumbasislijn voor attestation-oplossingen af te dwingen.
DCsv3 en DCdsv3 bieden alleen ondersteuning voor attestation op basis van ECDSA en de gebruikers moeten de Azure DCAP-client installeren om met THIM te communiceren en TEE-onderpand op te halen voor het genereren van offertes tijdens het attestation-proces. DC'sv2 blijven ondersteuning bieden voor attestation op basis van EPID.
Resources opschonen
Wanneer u deze niet meer nodig hebt, kunt u de resourcegroep, virtuele machine en alle bijbehorende resources verwijderen.
Selecteer de resourcegroep voor de virtuele machine en klik op Verwijderen. Bevestig de naam van de resourcegroep om het verwijderen van de resources te voltooien.
Volgende stappen
In deze quickstart hebt u uw Intel SGX-VM geïmplementeerd en verbonden. Zie Oplossingen voor virtuele machines voor meer informatie.
Ga door naar de Open Enclave SDK-voorbeelden op GitHub en ontdek hoe u toepassingen met Confidential Computing kunt bouwen.
Microsoft Azure Attestation is gratis en op ECDSA gebaseerd attestation-framework, voor het op afstand verifiëren van de betrouwbaarheid van meerdere TEEs en integriteit van de binaire bestanden die erin worden uitgevoerd. Meer informatie