Szybki start: tworzenie maszyny wirtualnej Intel SGX w Azure Portal

  • Artykuł

Ten samouczek przeprowadzi Cię przez proces wdrażania maszyn wirtualnych Intel SGX przy użyciu Azure Portal. W przeciwnym razie zalecamy stosowanie szablonów Azure Marketplace.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Uwaga

Konta bezpłatnej wersji próbnej nie mają dostępu do maszyn wirtualnych w tym samouczku. Przeprowadź uaktualnienie do subskrypcji z płatnością zgodnie z rzeczywistym użyciem.

Logowanie do platformy Azure

  1. Zaloguj się do Portalu Azure.

  2. W górnej części wybierz pozycję Utwórz zasób.

  3. W okienku po lewej stronie wybierz pozycję Obliczenia.

  4. Wybierz pozycję Utwórz maszynę wirtualną.

    Wdrażanie maszyny wirtualnej

Konfigurowanie maszyny wirtualnej Intel SGX

  1. Na karcie Ustawienia podstawowe wybierz Subskrypcję i Grupę zasobów.

  2. W polu Nazwa maszyny wirtualnej wprowadź nazwę nowej maszyny wirtualnej.

  3. Wpisz lub wybierz poniższe wartości:

    • Region: wybierz odpowiedni region świadczenia usługi Azure.

      Uwaga

      Maszyny wirtualne Intel SGX działają na wyspecjalizowanym sprzęcie w określonych regionach. Aby uzyskać najnowszą dostępność regionalną, poszukaj serii DCsv2 lub DCsv3/DCdsv3 w dostępnych regionach.

  4. Skonfiguruj obraz systemu operacyjnego, który ma być używany dla maszyny wirtualnej.

    • Wybierz obraz: na potrzeby tego samouczka wybierz pozycję Ubuntu 20.04 LTS — Gen2. Możesz również wybrać opcję Ubuntu 18.04 LTS — Gen2 lub Windows Server 2019.

    • Aktualizacja do generacji 2: poniżej pozycji Obraz wybierz pozycję Konfiguruj generację maszyny wirtualnej, a następnie wybierz pozycję Generacja 2.

      Obrazu

  5. Wybierz maszynę wirtualną z funkcjami Intel SGX, klikając pozycję + Dodaj filtr , aby utworzyć filtr, wybierz pozycję Typ dla typu filtru i sprawdź tylko poufne obliczenia z listy na następnej liście rozwijanej.

    Maszyny wirtualne serii DCsv2

    Porada

    Powinny być widoczne rozmiary DC(number)s_v2, DC(number)s_v3 i DC(number)ds_v3. Dowiedz się więcej.

  6. Wypełnij następujące informacje:

    • Typ uwierzytelniania: wybierz pozycję Klucz publiczny SSH , jeśli tworzysz maszynę wirtualną z systemem Linux.

      Uwaga

      Do uwierzytelniania możesz używać klucza publicznego SSH lub hasła. Protokół SSH jest bezpieczniejszy. Aby uzyskać instrukcje na temat sposobu generowania klucza SSH, zobacz Create SSH keys on Linux and Mac for Linux VMs in Azure (Tworzenie kluczy SSH w systemie Linux i na komputerach Mac dla maszyn wirtualnych z systemem Linux na platformie Azure).

    • Nazwa użytkownika: wprowadź nazwę administratora maszyny wirtualnej.

    • Klucz publiczny SSH: w razie potrzeby wprowadź klucz publiczny RSA.

    • Hasło: w razie potrzeby wprowadź hasło do uwierzytelniania.

    • Publiczne porty wejściowe: wybierz pozycję Zezwalaj na wybrane porty i wybierz pozycję SSH (22) i HTTP (80) na liście Wybierz publiczne porty wejściowe . Jeśli wdrażasz maszynę wirtualną z systemem Windows, wybierz pozycję HTTP (80) i RDP (3389).

    Uwaga

    Zezwalanie na porty RDP/SSH nie jest zalecane w przypadku wdrożeń produkcyjnych.

    Porty wejściowe

  7. Wprowadź zmiany na karcie Dyski .

    • Seria DCsv2 obsługuje dyski SSD w warstwie Standardowa, SSD w warstwie Premium jest obsługiwana na kontrolerach DC1, DC2 i DC4.
    • DCsv3 i DCdsv3 serii obsługuje dyski SSD w warstwie Standardowa, SSD w warstwie Premium i Ultra Disk

  8. Wprowadź zmiany, które chcesz wprowadzić na poniższych kartach, lub zachowaj ustawienia domyślne.

    • Sieć
    • Zarządzanie
    • Konfiguracja gościa
    • Tagi

  9. Wybierz pozycję Przejrzyj i utwórz.

  10. W okienku Przeglądanie + tworzenie wybierz pozycję Utwórz.

Uwaga

Przejdź do następnej sekcji i przejdź do tego samouczka, jeśli wdrożono maszynę wirtualną z systemem Linux. Jeśli wdrożono maszynę wirtualną z systemem Windows, wykonaj następujące kroki, aby nawiązać połączenie z maszyną wirtualną z systemem Windows , a następnie zainstalować zestaw OE SDK w systemie Windows.

Łączenie z maszyną wirtualną z systemem Linux

Otwórz wybranego klienta SSH, takiego jak Bash w systemie Linux lub PowerShell w systemie Windows. Polecenie ssh jest zwykle zawarte w systemach Linux, macOS i Windows. Jeśli używasz systemu Windows 7 lub starszego, w którym system Win32 OpenSSH nie jest domyślnie dołączony, rozważ zainstalowanie programu WSL lub użycie usługi Azure Cloud Shell z przeglądarki. W poniższym poleceniu zastąp nazwę użytkownika i adres IP maszyny wirtualnej, aby nawiązać połączenie z maszyną wirtualną z systemem Linux.

ssh azureadmin@40.55.55.555

Publiczny adres IP maszyny wirtualnej można znaleźć w Azure Portal w sekcji Przegląd maszyny wirtualnej.

Adres IP w witrynie Azure Portal

Aby uzyskać więcej informacji na temat nawiązywania połączenia z maszynami wirtualnymi z systemem Linux, zobacz Create a Linux VM on Azure using the Portal (Tworzenie maszyny wirtualnej z systemem Linux na platformie Azure przy użyciu portalu).

Instalowanie klienta azure DCAP

Azure Data Center Attestation Primitives (DCAP) — zastąpienie biblioteki dostawcy cudzysłowów (QPL) firmy Intel, pobiera zabezpieczenie generowania cudzysłowów i zabezpieczenie weryfikacji cudzysłowu bezpośrednio z usługi THIM.

Usługa Trusted Hardware Identity Management (THIM) obsługuje zarządzanie pamięcią podręczną certyfikatów dla wszystkich zaufanych środowisk wykonywania (TEE) znajdujących się na platformie Azure i udostępnia informacje o zaufanej bazie obliczeniowej (TCB) w celu wymuszenia minimalnej linii bazowej dla rozwiązań zaświadczania.

DCsv3 i DCdsv3 obsługują tylko zaświadczenie oparte na ecDSA , a użytkownicy są zobowiązani do zainstalowania klienta usługi Azure DCAP w celu interakcji z rozwiązaniem THIM i pobrania zabezpieczenia TEE na potrzeby generowania oferty podczas procesu zaświadczania. DCsv2 nadal obsługuje zaświadczania oparte na EPID.

Czyszczenie zasobów

Gdy grupa zasobów, maszyna wirtualna i wszystkie powiązane z nią zasoby nie będą już potrzebne, można je usunąć.

Wybierz grupę zasobów dla maszyny wirtualnej, a następnie wybierz pozycję Usuń. Potwierdź nazwę grupy zasobów, aby zakończyć usuwanie zasobów.

Następne kroki

W tym przewodniku Szybki start wdrożono maszynę wirtualną Intel SGX i nawiązano z nią połączenie. Aby uzyskać więcej informacji, zobacz Rozwiązania dotyczące Virtual Machines.

Dowiedz się, jak tworzyć poufne aplikacje obliczeniowe, przechodząc do przykładów zestawu SDK open Enclave w witrynie GitHub.

Tworzenie przykładów zestawu SDK open enklawy

Microsoft Azure Attestation to bezpłatna struktura zaświadczania oparta na ecDSA, umożliwiająca zdalne weryfikowanie wiarygodności wielu obiektów TEE i integralność plików binarnych uruchomionych w niej. Dowiedz się więcej