Opcje poufnej maszyny wirtualnej platformy Azure
Platforma Azure oferuje wybór opcji zaufanego środowiska wykonawczego (TEE) zarówno z firmy AMD, jak i firmy Intel. Te TEE umożliwiają tworzenie poufnych środowisk maszyn wirtualnych z doskonałymi współczynnikami cen do wydajności, a wszystko to bez konieczności wprowadzania żadnych zmian w kodzie.
W przypadku maszyn wirtualnych poufnych firmy AMD używana technologia to AMD SEV-SNP, która została wprowadzona z procesorami AMD EPYC™ 3. generacji. Z drugiej strony poufne maszyny wirtualne firmy Intel wykorzystują intel TDX, technologię wprowadzoną z procesorami Intel® Xeon® 4. generacji. Obie technologie mają różne implementacje, jednak obie zapewniają podobne zabezpieczenia z stosu infrastruktury chmurowej.
Rozmiary
Oferujemy następujące rozmiary maszyn wirtualnych:
| Rodzina rozmiarów | TEE | opis |
|---|---|---|
| Seria DCasv5 | AMD SEV-SNP | CvM ogólnego przeznaczenia z magazynem zdalnym. Brak lokalnego dysku tymczasowego. |
| Seria DCadsv5 | AMD SEV-SNP | CvM ogólnego przeznaczenia z lokalnym dyskiem tymczasowym. |
| Seria ECasv5 | AMD SEV-SNP | Zoptymalizowane pod kątem pamięci CVM z magazynem zdalnym. Brak lokalnego dysku tymczasowego. |
| Seria ECadsv5 | AMD SEV-SNP | Zoptymalizowane pod kątem pamięci CVM z lokalnym dyskiem tymczasowym. |
| Seria DCesv5 | Intel TDX | CvM ogólnego przeznaczenia z magazynem zdalnym. Brak lokalnego dysku tymczasowego. |
| Seria DCedsv5 | Intel TDX | CvM ogólnego przeznaczenia z lokalnym dyskiem tymczasowym. |
| Seria ECesv5 | Intel TDX | Zoptymalizowane pod kątem pamięci CVM z magazynem zdalnym. Brak lokalnego dysku tymczasowego. |
| Seria ECedsv5 | Intel TDX | Zoptymalizowane pod kątem pamięci CVM z lokalnym dyskiem tymczasowym. |
| NCCadsH100v5 serii | Procesory GPU AMD SEV-SNP i NVIDIA H100 Tensor Core | CVM z poufnym procesorem GPU. |
Uwaga
Maszyny wirtualne poufne zoptymalizowane pod kątem pamięci oferują dwukrotny współczynnik pamięci na liczbę procesorów wirtualnych.
Polecenia interfejsu wiersza polecenia platformy Azure
Interfejs wiersza polecenia platformy Azure można używać z poufnymi maszynami wirtualnymi.
Aby wyświetlić listę poufnych rozmiarów maszyn wirtualnych, uruchom następujące polecenie. Zastąp <vm-series> ciąg serią, której chcesz użyć. Dane wyjściowe zawierają informacje o dostępnych regionach i strefach dostępności.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Aby uzyskać bardziej szczegółową listę, uruchom następujące polecenie:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Uwagi dotyczące wdrażania
Przed wdrożeniem poufnych maszyn wirtualnych należy wziąć pod uwagę następujące ustawienia i opcje.
Subskrypcja platformy Azure
Aby wdrożyć poufne wystąpienie maszyny wirtualnej, rozważ subskrypcję z płatnością zgodnie z rzeczywistym użyciem lub inną opcję zakupu. Jeśli używasz bezpłatnego konta platformy Azure, limit przydziału nie zezwala na odpowiednią liczbę rdzeni obliczeniowych platformy Azure.
Może być konieczne zwiększenie limitu przydziału rdzeni w subskrypcji platformy Azure z wartości domyślnej. Limity domyślne różnią się w zależności od kategorii subskrypcji. Twoja subskrypcja może również ograniczyć liczbę rdzeni, które można wdrożyć w niektórych rodzinach rozmiarów maszyn wirtualnych, w tym w przypadku poufnych rozmiarów maszyn wirtualnych.
Aby zażądać zwiększenia limitu przydziału, otwórz żądanie pomocy technicznej online.
Jeśli masz potrzeby dotyczące pojemności na dużą skalę, skontaktuj się z pomocą techniczną platformy Azure. Limity przydziału platformy Azure to limity środków, a nie gwarancje pojemności. Opłaty są naliczane tylko za używane rdzenie.
Cennik
Aby uzyskać informacje o opcjach cenowych, zobacz Cennik maszyn wirtualnych z systemem Linux.
Dostępność w regionach
Aby uzyskać informacje o dostępności, zobacz, które produkty maszyn wirtualnych są dostępne w regionie świadczenia usługi Azure.
Zmiana rozmiaru
Poufne maszyny wirtualne działają na wyspecjalizowanym sprzęcie, dzięki czemu można zmienić rozmiar tylko poufnych wystąpień maszyn wirtualnych na inne poufne rozmiary w tym samym regionie. Jeśli na przykład masz maszynę wirtualną serii DCasv5, możesz zmienić rozmiar na inne wystąpienie serii DCasv5 lub wystąpienie serii DCesv5.
Nie można zmienić rozmiaru maszyny wirtualnej, która nie jest poufne, na poufnej maszynie wirtualnej.
Wysoka dostępność i odzyskiwanie po awarii
Odpowiadasz za tworzenie rozwiązań wysokiej dostępności i odzyskiwania po awarii dla poufnych maszyn wirtualnych. Planowanie tych scenariuszy pomaga zminimalizować i uniknąć długotrwałego przestoju.
Wdrażanie przy użyciu szablonów usługi ARM
Usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Masz następujące możliwości:
- Zabezpieczanie i organizowanie zasobów po wdrożeniu za pomocą funkcji zarządzania, takich jak kontrola dostępu, blokady i tagi.
- Tworzenie, aktualizowanie i usuwanie zasobów w subskrypcji platformy Azure przy użyciu warstwy zarządzania.
- Użyj szablonów usługi Azure Resource Manager (szablonów arm), aby wdrożyć poufne maszyny wirtualne na procesorach AMD.
Upewnij się, że w sekcji parameters (parameters) określono następujące właściwości maszyny wirtualnej:
- Rozmiar maszyny wirtualnej (
vmSize). Wybierz jedną z różnych poufnych rodzin maszyn wirtualnych i rozmiarów. - Nazwa obrazu systemu operacyjnego (
osImageName). Wybierz spośród kwalifikowanych obrazów systemu operacyjnego. - Typ szyfrowania dysku (
securityType). Wybierz opcję szyfrowania tylko w usłudze VMGS (VMGuestStateOnly) lub pełnego szyfrowania dysku systemu operacyjnego (DiskWithVMGuestState), co może spowodować dłuższy czas aprowizacji. W przypadku wystąpień intel TDX obsługujemy również inny typ zabezpieczeń (NonPersistedTPM), który nie ma szyfrowania dysków VMGS ani OS.
Następne kroki
Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące poufnej maszyny wirtualnej.