Azure Confidential VM-opties
Azure biedt een keuze uit TEE-opties (Trusted Execution Environment) van zowel AMD als Intel. Met deze TEE's kunt u vertrouwelijke VM-omgevingen maken met uitstekende prijs-tot-prestatieverhoudingen, allemaal zonder dat er codewijzigingen nodig zijn.
Voor vertrouwelijke VM's op basis van AMD is de gebruikte technologie AMD SEV-SNP, die is geïntroduceerd met 3e generatie AMD EPYC-processors™. Aan de andere kant maken op Intel gebaseerde vertrouwelijke VM's gebruik van Intel TDX, een technologie die is geïntroduceerd met 4e gen Intel® Xeon-processors®. Beide technologieën hebben verschillende implementaties, maar beide bieden vergelijkbare beveiligingen van de cloudinfrastructuurstack.
Formaten
We bieden de volgende VM-grootten:
| Groottefamilie | TEE | Beschrijving |
|---|---|---|
| DCasv5-serie | AMD SEV-SNP | CVM voor algemeen gebruik met externe opslag. Geen lokale tijdelijke schijf. |
| DCadsv5-serie | AMD SEV-SNP | CVM voor algemeen gebruik met lokale tijdelijke schijf. |
| ECasv5-serie | AMD SEV-SNP | Cvm geoptimaliseerd voor geheugen met externe opslag. Geen lokale tijdelijke schijf. |
| ECadsv5-serie | AMD SEV-SNP | Cvm die is geoptimaliseerd voor geheugen met lokale tijdelijke schijf. |
| DCesv5-serie | Intel TDX | CVM voor algemeen gebruik met externe opslag. Geen lokale tijdelijke schijf. |
| DCedsv5-serie | Intel TDX | CVM voor algemeen gebruik met lokale tijdelijke schijf. |
| ECesv5-serie | Intel TDX | Cvm geoptimaliseerd voor geheugen met externe opslag. Geen lokale tijdelijke schijf. |
| ECedsv5-serie | Intel TDX | Cvm die is geoptimaliseerd voor geheugen met lokale tijdelijke schijf. |
| NCCadsH100v5-serie | AMD SEV-SNP en NVIDIA H100 Tensor Core GPU's | CVM met vertrouwelijke GPU. |
Notitie
Voor geheugen geoptimaliseerde vertrouwelijke VM's bieden een dubbele verhouding van geheugen per aantal vCPU's.
Azure CLI-opdrachten
U kunt de Azure CLI gebruiken met uw vertrouwelijke VM's.
Voer de volgende opdracht uit om een lijst met vertrouwelijke VM-grootten weer te geven. Vervang <vm-series> door de reeks die u wilt gebruiken. In de uitvoer ziet u informatie over beschikbare regio's en beschikbaarheidszones.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Voer in plaats daarvan de volgende opdracht uit voor een gedetailleerdere lijst:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Implementatieoverwegingen
Houd rekening met de volgende instellingen en opties voordat u vertrouwelijke VM's implementeert.
Azure-abonnement
Als u een vertrouwelijk VM-exemplaar wilt implementeren, kunt u een betalen per gebruik-abonnement of een andere aankoopoptie overwegen. Als u een gratis Azure-account gebruikt, staat het quotum het juiste aantal Azure-rekenkernen niet toe.
Mogelijk moet u het kernquotum in uw Azure-abonnement verhogen vanaf de standaardwaarde. De standaardlimieten variëren afhankelijk van uw abonnementscategorie. Uw abonnement kan ook het aantal kerngeheugens beperken dat u in bepaalde VM-groottefamilies kunt implementeren, inclusief de vertrouwelijke VM-grootten.
Als u een quotumverhoging wilt aanvragen, opent u een online klantenondersteuningsaanvraag.
Als u grote capaciteitsbehoeften hebt, neemt u contact op met de ondersteuning van Azure. Azure-quota zijn kredietlimieten, geen capaciteitsgaranties. Er worden alleen kosten in rekening gebracht voor kernen die u gebruikt.
Prijzen
Zie de prijzen voor virtuele Linux-machines voor prijsopties.
Regionale beschikbaarheid
Zie voor beschikbaarheidsinformatie welke VM-producten beschikbaar zijn per Azure-regio.
Grootte wijzigen
Vertrouwelijke VM's worden uitgevoerd op gespecialiseerde hardware, zodat u alleen de grootte van vertrouwelijke VM-exemplaren kunt wijzigen in andere vertrouwelijke grootten in dezelfde regio. Als u bijvoorbeeld een VM uit de DCasv5-serie hebt, kunt u het formaat wijzigen in een ander exemplaar van de DCasv5-serie of een exemplaar van de DCesv5-serie.
Het is niet mogelijk om het formaat van een niet-vertrouwelijke VM te wijzigen in een vertrouwelijke VM.
Ondersteuning voor gastbesturingssystemen
Installatiekopieën van het besturingssysteem voor vertrouwelijke VM's moeten voldoen aan bepaalde beveiligings- en compatibiliteitsvereisten. Gekwalificeerde installatiekopieën ondersteunen de veilige koppeling, attestation, optionele vertrouwelijke besturingssysteemschijfversleuteling en isolatie van onderliggende cloudinfrastructuur. Deze afbeeldingen zijn onder andere:
- Ubuntu 20.04 LTS (alleen AMD SEV-SNP ondersteund)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (alleen AMD SEV-SNP ondersteund)
- Windows Server 2019 Datacenter - x64 Gen 2 (alleen AMD SEV-SNP ondersteund)
- Windows Server 2019 Datacenter Server Core - x64 Gen 2 (alleen AMD SEV-SNP ondersteund)
- Windows Server 2022 Datacenter - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
- Windows Server 2022 Datacenter Server Core - x64 Gen 2
- Windows 11 Enterprise N, versie 22H2 -x64 Gen 2
- Windows 11 Pro, versie 22H2 ZH-CN -x64 Gen 2
- Windows 11 Pro, versie 22H2 -x64 Gen 2
- Windows 11 Pro N, versie 22H2 -x64 Gen 2
- Windows 11 Enterprise, versie 22H2 -x64 Gen 2
- Windows 11 Enterprise-multisessie, versie 22H2 -x64 Gen 2
Naarmate we meer installatiekopieën van het besturingssysteem onboarden met vertrouwelijke besturingssysteemschijfversleuteling, zijn er verschillende installatiekopieën beschikbaar in een vroege preview die kunnen worden getest. U kunt zich hieronder registreren:
- Red Hat Enterprise Linux 9.3 (ondersteuning voor Intel TDX)
- SUSE Enterprise Linux 15 SP5 (ondersteuning voor Intel TDX, AMD SEV-SNP)
- SUSE Enterprise Linux 15 SAP SP5 (ondersteuning voor Intel TDX, AMD SEV-SNP)
Zie de ondersteuning voor VM's van de tweede generatie in Azure voor meer informatie over ondersteunde en niet-ondersteunde VM's.
Hoge beschikbaarheid en herstel na noodgevallen
U bent verantwoordelijk voor het maken van oplossingen voor hoge beschikbaarheid en herstel na noodgevallen voor uw vertrouwelijke VM's. Het plannen van deze scenario's helpt bij het minimaliseren en voorkomen van langdurige downtime.
Implementatie met ARM-sjablonen
Azure Resource Manager is de implementatie- en beheerservice voor Azure. U kunt:
- Beveilig en organiseer uw resources na de implementatie met de beheerfuncties, zoals toegangsbeheer, vergrendelingen en tags.
- Resources in uw Azure-abonnement maken, bijwerken en verwijderen met behulp van de beheerlaag.
- Gebruik Azure Resource Manager-sjablonen (ARM-sjablonen) om vertrouwelijke VM's op AMD-processors te implementeren.
Zorg ervoor dat u de volgende eigenschappen voor uw VIRTUELE machine opgeeft in de sectie parameters (parameters):
- VM-grootte (
vmSize). Kies uit de verschillende vertrouwelijke VM-families en -grootten. - Naam van besturingssysteeminstallatiekopieën (
osImageName). Kies uit de gekwalificeerde installatiekopieën van het besturingssysteem. - Schijfversleutelingstype (
securityType). Kies uit alleen-VMGS-versleuteling (VMGuestStateOnly) of volledige besturingssysteemschijfvoorversleuteling (DiskWithVMGuestState), wat kan leiden tot langere inrichtingstijden. Voor Intel TDX-exemplaren ondersteunen we alleen een ander beveiligingstype (NonPersistedTPM) dat geen VMGS- of besturingssysteemschijfversleuteling heeft.
Volgende stappen
Zie onze veelgestelde vragen over vertrouwelijke VM's voor meer informatie.