Opcje poufnej maszyny wirtualnej platformy Azure

Platforma Azure oferuje wybór opcji zaufanego środowiska wykonawczego (TEE) zarówno z firmy AMD, jak i firmy Intel. Te TEE umożliwiają tworzenie poufnych środowisk maszyn wirtualnych z doskonałymi współczynnikami cen do wydajności, a wszystko to bez konieczności wprowadzania żadnych zmian w kodzie.

W przypadku maszyn wirtualnych poufnych firmy AMD używana technologia to AMD SEV-SNP, która została wprowadzona z procesorami AMD EPYC™ 3. generacji. Z drugiej strony poufne maszyny wirtualne firmy Intel wykorzystują intel TDX, technologię wprowadzoną z procesorami Intel® Xeon® 4. generacji. Obie technologie mają różne implementacje, jednak obie zapewniają podobne zabezpieczenia z stosu infrastruktury chmurowej.

Rozmiary

Oferujemy następujące rozmiary maszyn wirtualnych:

Rodzina rozmiarów	TEE	opis
Seria DCasv5	AMD SEV-SNP	CvM ogólnego przeznaczenia z magazynem zdalnym. Brak lokalnego dysku tymczasowego.
Seria DCadsv5	AMD SEV-SNP	CvM ogólnego przeznaczenia z lokalnym dyskiem tymczasowym.
Seria ECasv5	AMD SEV-SNP	Zoptymalizowane pod kątem pamięci CVM z magazynem zdalnym. Brak lokalnego dysku tymczasowego.
Seria ECadsv5	AMD SEV-SNP	Zoptymalizowane pod kątem pamięci CVM z lokalnym dyskiem tymczasowym.
Seria DCesv5	Intel TDX	CvM ogólnego przeznaczenia z magazynem zdalnym. Brak lokalnego dysku tymczasowego.
Seria DCedsv5	Intel TDX	CvM ogólnego przeznaczenia z lokalnym dyskiem tymczasowym.
Seria ECesv5	Intel TDX	Zoptymalizowane pod kątem pamięci CVM z magazynem zdalnym. Brak lokalnego dysku tymczasowego.
Seria ECedsv5	Intel TDX	Zoptymalizowane pod kątem pamięci CVM z lokalnym dyskiem tymczasowym.

Uwaga

Maszyny wirtualne poufne zoptymalizowane pod kątem pamięci oferują dwukrotny współczynnik pamięci na liczbę procesorów wirtualnych.

Polecenia interfejsu wiersza polecenia platformy Azure

Interfejs wiersza polecenia platformy Azure można używać z poufnymi maszynami wirtualnymi.

Aby wyświetlić listę poufnych rozmiarów maszyn wirtualnych, uruchom następujące polecenie. Zastąp <vm-series> ciąg serią, której chcesz użyć. Dane wyjściowe zawierają informacje o dostępnych regionach i strefach dostępności.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Aby uzyskać bardziej szczegółową listę, uruchom następujące polecenie:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Uwagi dotyczące wdrażania

Przed wdrożeniem poufnych maszyn wirtualnych należy wziąć pod uwagę następujące ustawienia i opcje.

Subskrypcja platformy Azure

Aby wdrożyć poufne wystąpienie maszyny wirtualnej, rozważ subskrypcję z płatnością zgodnie z rzeczywistym użyciem lub inną opcję zakupu. Jeśli używasz bezpłatnego konta platformy Azure, limit przydziału nie zezwala na odpowiednią liczbę rdzeni obliczeniowych platformy Azure.

Może być konieczne zwiększenie limitu przydziału rdzeni w subskrypcji platformy Azure z wartości domyślnej. Limity domyślne różnią się w zależności od kategorii subskrypcji. Twoja subskrypcja może również ograniczyć liczbę rdzeni, które można wdrożyć w niektórych rodzinach rozmiarów maszyn wirtualnych, w tym w przypadku poufnych rozmiarów maszyn wirtualnych.

Aby zażądać zwiększenia limitu przydziału, otwórz żądanie pomocy technicznej online.

Jeśli masz potrzeby dotyczące pojemności na dużą skalę, skontaktuj się z pomocą techniczną platformy Azure. Limity przydziału platformy Azure to limity środków, a nie gwarancje pojemności. Opłaty są naliczane tylko za używane rdzenie.

Cennik

Aby uzyskać informacje o opcjach cenowych, zobacz Cennik maszyn wirtualnych z systemem Linux.

Dostępność w regionach

Aby uzyskać informacje o dostępności, zobacz, które produkty maszyn wirtualnych są dostępne w regionie świadczenia usługi Azure.

Zmiana rozmiaru

Poufne maszyny wirtualne działają na wyspecjalizowanym sprzęcie, dzięki czemu można zmienić rozmiar tylko poufnych wystąpień maszyn wirtualnych na inne poufne rozmiary w tym samym regionie. Jeśli na przykład masz maszynę wirtualną serii DCasv5, możesz zmienić rozmiar na inne wystąpienie serii DCasv5 lub wystąpienie serii DCesv5.

Nie można zmienić rozmiaru maszyny wirtualnej, która nie jest poufne, na poufnej maszynie wirtualnej.

Obsługa systemu operacyjnego gościa

Obrazy systemu operacyjnego dla poufnych maszyn wirtualnych muszą spełniać określone wymagania dotyczące zabezpieczeń i zgodności. Kwalifikowane obrazy obsługują bezpieczne instalowanie, zaświadczenie, opcjonalne poufne szyfrowanie dysków systemu operacyjnego i izolację od podstawowej infrastruktury chmury. Te obrazy obejmują:

• Ubuntu 20.04 LTS (obsługiwane tylko protokół AMD SEV-SNP)
• Ubuntu 22.04 LTS
• Red Hat Enterprise Linux 9.3 (obsługiwane tylko amd SEV-SNP)
• Windows Server 2019 Datacenter — x64 Gen 2 (obsługiwana tylko technologia AMD SEV-SNP)
• Windows Server 2019 Datacenter Server Core — x64 Gen 2 (obsługiwana tylko technologia AMD SEV-SNP)
• Windows Server 2022 Datacenter — x64 Gen 2
• Windows Server 2022 Datacenter: Azure Edition Core — x64 Gen 2
• Windows Server 2022 Datacenter: Azure Edition — x64 Gen 2
• Windows Server 2022 Datacenter Server Core — x64 Gen 2
• Windows 11 Enterprise N, wersja 22H2 -x64 Gen 2
• Windows 11 Pro, wersja 22H2 ZH-CN -x64 Gen 2
• Windows 11 Pro, wersja 22H2 -x64 Gen 2
• Windows 11 Pro N, wersja 22H2 -x64 Gen 2
• Windows 11 Enterprise, wersja 22H2 -x64 Gen 2
• Wiele sesji systemu Windows 11 Enterprise, wersja 22H2 -x64 Gen 2

Ponieważ pracujemy nad dołączeniem większej liczby obrazów systemu operacyjnego z poufnym szyfrowaniem dysków systemu operacyjnego, w wczesnej wersji zapoznawczej są dostępne różne obrazy, które można przetestować. Możesz zarejestrować się poniżej:

• Red Hat Enterprise Linux 9.3 (obsługa technologii Intel TDX)
• SUSE Enterprise Linux 15 SP5 (obsługa technologii Intel TDX, AMD SEV-SNP)
• SUSE Enterprise Linux 15 SAP SP5 (obsługa technologii Intel TDX, AMD SEV-SNP)

Aby uzyskać więcej informacji na temat obsługiwanych i nieobsługiwanych scenariuszy maszyn wirtualnych, zobacz obsługa maszyn wirtualnych generacji 2 na platformie Azure.

Wysoka dostępność i odzyskiwanie po awarii

Odpowiadasz za tworzenie rozwiązań wysokiej dostępności i odzyskiwania po awarii dla poufnych maszyn wirtualnych. Planowanie tych scenariuszy pomaga zminimalizować i uniknąć długotrwałego przestoju.

Wdrażanie przy użyciu szablonów usługi ARM

Usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Masz następujące możliwości:

• Zabezpieczanie i organizowanie zasobów po wdrożeniu za pomocą funkcji zarządzania, takich jak kontrola dostępu, blokady i tagi.
• Tworzenie, aktualizowanie i usuwanie zasobów w subskrypcji platformy Azure przy użyciu warstwy zarządzania.
• Użyj szablonów usługi Azure Resource Manager (szablonów arm), aby wdrożyć poufne maszyny wirtualne na procesorach AMD. Dostępny jest szablon usługi ARM dla poufnych maszyn wirtualnych.

Upewnij się, że w sekcji parameters (parameters) określono następujące właściwości maszyny wirtualnej:

• Rozmiar maszyny wirtualnej (vmSize). Wybierz jedną z różnych poufnych rodzin maszyn wirtualnych i rozmiarów.
• Nazwa obrazu systemu operacyjnego (osImageName). Wybierz spośród kwalifikowanych obrazów systemu operacyjnego.
• Typ szyfrowania dysku (securityType). Wybierz opcję szyfrowania tylko w usłudze VMGS (VMGuestStateOnly) lub pełnego szyfrowania dysku systemu operacyjnego (DiskWithVMGuestState), co może spowodować dłuższy czas aprowizacji. W przypadku wystąpień intel TDX obsługujemy również inny typ zabezpieczeń (NonPersistedTPM), który nie ma szyfrowania dysków VMGS ani OS.

Następne kroki

Wdrażanie poufnej maszyny wirtualnej z witryny Azure Portal

Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące poufnej maszyny wirtualnej.