Oplossingen in Azure voor Intel SGX
U kunt virtuele Machines (Intel SGX) voor Intel Software Guard Extension (Intel SGX) implementeren voor gebruik in Azure Confidential Computing.
Huidige beschikbare grootten en regio's
Gebruik de Azure CLI (Opdrachtregelinterface) om een lijst met Intel SGX VM-grootten op te halen. Installeer de Azure CLI als u dit nog niet hebt gedaan. Voer vervolgens de volgende opdracht uit om de Intel SGX-grootten weer te geven met regio- en beschikbaarheidszonegegevens.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Vereisten voor toegewezen hosts
Het implementeren van een Standard_DC8_v2-, Standard_DC48s_v3- of Standard_DC48ds_v3-serie-VM neemt de volledige host in beslag. Andere tenants of abonnementen delen de host niet. Deze reeks VM-SKU's biedt de isolatie die u mogelijk nodig hebt om te voldoen aan de nalevings- en beveiligingsvereisten. Normaal gesproken hebt u mogelijk een toegewezen hostservice nodig om aan deze vereisten te voldoen.
Voor deze VM-grootten wijst de fysieke hostserver alleen alle beschikbare hardwarebronnen, inclusief EPC-geheugen, toe aan uw virtuele machine. Deze implementatie is niet hetzelfde als de Azure Dedicated Host-service in andere VM-families.
Implementatieoverwegingen
Houd rekening met de volgende factoren bij het plannen van uw Intel SGX VM-implementatie in Azure.
Azure-abonnement
Als u een VM-exemplaar voor vertrouwelijke computing wilt implementeren, kunt u een abonnement op basis van betalen per gebruik of een andere aankoopoptie overwegen. Gratis Azure-accounts hebben geen hoog genoeg quotum voor het benodigde aantal Azure-rekenkernen.
Prijzen en regionale beschikbaarheid
Zoek de prijzen voor DCV2-, DCV3- en DCdsv3-VM's op de pagina met prijzen voor Azure-VM's. Controleer de tabel met producten die per regio beschikbaar zijn voor beschikbaarheid in verschillende Azure-regio's.
Kerngeheugenquotum
Mogelijk moet u het kernquotum in uw Azure-abonnement verhogen vanaf de standaardwaarde. Uw abonnement kan ook het aantal kerngeheugens beperken dat u kunt implementeren in bepaalde VM-groottefamilies , waaronder DCV2-serie. U kunt gratis een quotumverhoging aanvragen. Standaardlimieten kunnen afwijken op basis van uw abonnementscategorie.
Als u grote capaciteitsbehoeften hebt, neemt u contact op met de ondersteuning van Azure. Azure-quota zijn kredietlimieten, geen capaciteitsgaranties. Wat uw quotum ook is, er worden alleen kosten in rekening gebracht voor kernen die u gebruikt.
Grootte wijzigen
Vanwege hun gespecialiseerde hardware kunt u alleen de grootte van Intel SGX VM-exemplaren binnen dezelfde groottefamilie wijzigen. U kunt bijvoorbeeld alleen het formaat van een VM uit de ene DCsv2-serie wijzigen van de ene DCsv2-serie naar een andere.
Afbeelding
Als u Intel SGX-ondersteuning wilt bieden voor vertrouwelijke rekeninstanties, moeten alle implementaties worden uitgevoerd op installatiekopieën van de tweede generatie. Azure Confidential Computing ondersteunt workloads die worden uitgevoerd op Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 en Ubuntu 22.04 Gen 2. Zie ondersteuning voor VM's van de tweede generatie in Azure voor meer informatie over ondersteunde en niet-ondersteunde scenario's.
Storage
VM's uit de DCsv2-serie ondersteunen Standard SSD en Premium SSD, met uitzondering van DC8_v2.
VM's uit de DCsv3 - en DCdsv3-serie ondersteunen Standard SSD, Premium SSD en Ultra Disk.
Overwegingen voor hoge beschikbaarheid en herstel na noodgevallen
Wanneer u azure-VM's gebruikt, bent u verantwoordelijk voor het maken van een oplossing voor hoge beschikbaarheid en herstel na noodgevallen om downtime te voorkomen.
Azure Confidential Computing biedt momenteel geen ondersteuning voor zoneredundantie via Azure-beschikbaarheidszones. Gebruik beschikbaarheidssets voor de hoogste beschikbaarheid en redundantie voor confidential computing. Vanwege hardwarebeperkingen kunnen beschikbaarheidssets voor exemplaren van confidential computing maximaal 10 updatedomeinen hebben.
Implementatie met ARM-sjabloon (Azure Resource Manager)
Azure Resource Manager is de implementatie- en beheerservice voor Azure. U kunt de beheerlaag van de service gebruiken om resources in uw Azure-abonnement te maken, bij te werken en te verwijderen. Er zijn beheerfuncties zoals toegangsbeheer, vergrendelingen en tags. Gebruik deze functies om uw resources na de implementatie te beveiligen en te organiseren.
Zie het overzicht van sjablonen voor Azure Resource Manager (ARM-sjablonen) voor meer informatie.
Zie Virtuele machines in een Azure Resource Manager-sjabloon als u wilt implementeren met behulp van ARM-sjablonen. Zorg ervoor dat u de juiste eigenschappen voor vmSize en uw imageReference opgeeft.
Formaten van virtuele machines
Geef een van de volgende grootten op in uw ARM-sjabloon in de VM-resource. Deze tekenreeks is vmSize in eigenschappen.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Installatiekopieën van het besturingssysteem Gen2
Onder eigenschappen moet u ook een installatiekopieën opgeven onder storageProfile. Gebruik slechts een van de volgende afbeeldingen voor uw imageReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},