Rozwiązania na platformie Azure dla intel SGX
Maszyny wirtualne (VM) rozszerzenia Intel Software Guard (Intel SGX) można wdrożyć na potrzeby przetwarzania poufnego na platformie Azure.
Bieżące dostępne rozmiary i regiony
Aby uzyskać listę rozmiarów maszyn wirtualnych Intel SGX, użyj interfejsu wiersza polecenia platformy Azure (interfejs wiersza polecenia platformy Azure). Zainstaluj interfejs wiersza polecenia platformy Azure, jeśli jeszcze tego nie zrobiono. Następnie uruchom następujące polecenie, aby wyświetlić listę rozmiarów Intel SGX z informacjami o regionie i strefie dostępności.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Wymagania dotyczące dedykowanego hosta
Wdrażanie maszyny wirtualnej z serii Standard_DC8_v2, Standard_DC48s_v3 lub Standard_DC48ds_v3 zajmuje pełny host. Inne dzierżawy lub subskrypcje nie współużytkują hosta. Ta rodzina jednostek SKU maszyn wirtualnych zapewnia izolację, którą może być konieczne spełnienie wymagań prawnych dotyczących zgodności i zabezpieczeń. Zwykle może być potrzebna dedykowana usługa hosta, aby spełnić te wymagania.
W przypadku tych rozmiarów maszyn wirtualnych fizyczny serwer hosta przydziela wszystkie dostępne zasoby sprzętowe, w tym pamięć EPC, tylko maszynie wirtualnej. To wdrożenie nie jest takie samo jak usługa Azure Dedicated Host w innych rodzinach maszyn wirtualnych.
Uwagi dotyczące wdrażania
Podczas planowania wdrożenia maszyny wirtualnej Intel SGX na platformie Azure należy wziąć pod uwagę następujące czynniki.
Subskrypcja platformy Azure
Aby wdrożyć wystąpienie maszyny wirtualnej do przetwarzania poufnego, rozważ subskrypcję z płatnością zgodnie z rzeczywistym użyciem lub inną opcję zakupu. Bezpłatne konta platformy Azure nie mają wystarczającego limitu przydziału dla niezbędnej liczby rdzeni obliczeniowych platformy Azure.
Cennik i dostępność regionalna
Znajdź cennik maszyn wirtualnych DCsv2, DCsv3 i DCdsv3 na stronie cennika maszyn wirtualnych platformy Azure. Sprawdź tabelę produktów dostępnych według regionów, aby uzyskać dostępność w różnych regionach świadczenia usługi Azure.
Limit przydziału rdzeni
Może być konieczne zwiększenie limitu przydziału rdzeni w subskrypcji platformy Azure z wartości domyślnej. Twoja subskrypcja może również ograniczyć liczbę rdzeni, które można wdrożyć w niektórych rodzinach rozmiarów maszyn wirtualnych , w tym WCv2-Series. Możesz zażądać zwiększenia limitu przydziału bez opłat. Domyślne limity mogą być różne w zależności od kategorii subskrypcji.
Jeśli masz potrzeby dotyczące pojemności na dużą skalę, skontaktuj się z pomocą techniczną platformy Azure. Limity przydziału platformy Azure to limity środków, a nie gwarancje pojemności. Niezależnie od limitu przydziału opłaty są naliczane tylko za używane rdzenie.
Zmiana rozmiaru
Ze względu na ich wyspecjalizowany sprzęt można zmienić rozmiar tylko wystąpień maszyn wirtualnych Intel SGX w tej samej rodzinie rozmiarów. Można na przykład zmienić rozmiar maszyny wirtualnej z serii DCsv2 tylko z jednego rozmiaru serii DCsv2 na inny.
Image
Aby zapewnić obsługę technologii Intel SGX w przypadku poufnych wystąpień obliczeniowych, wszystkie wdrożenia muszą być uruchamiane na obrazach generacji 2. Poufne przetwarzanie na platformie Azure obsługuje obciążenia działające w systemach Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 i Ubuntu 22.04 Gen 2. Aby uzyskać więcej informacji na temat obsługiwanych i nieobsługiwanych scenariuszy, zobacz obsługa maszyn wirtualnych generacji 2 na platformie Azure.
Storage
Maszyny wirtualne serii DCsv2 obsługują dyski SSD w warstwie Standardowa i SSD w warstwie Premium, z wyjątkiem DC8_v2.
Maszyny wirtualne serii DCsv3 i DCdsv3 obsługują dyski SSD w warstwie Standardowa, SSD w warstwie Premium i Ultra Disk.
Zagadnienia dotyczące wysokiej dostępności i odzyskiwania po awarii
W przypadku korzystania z maszyn wirtualnych platformy Azure odpowiadasz za utworzenie rozwiązania wysokiej dostępności i odzyskiwania po awarii, aby uniknąć przestojów.
Przetwarzanie poufne platformy Azure nie obsługuje nadmiarowości strefowej za pośrednictwem stref dostępności platformy Azure w tej chwili. Aby uzyskać najwyższą dostępność i nadmiarowość w przypadku przetwarzania poufnego, użyj zestawów dostępności. Ze względu na ograniczenia sprzętu zestawy dostępności dla wystąpień poufnego przetwarzania mogą mieć maksymalnie 10 domen aktualizacji.
Wdrażanie za pomocą szablonu usługi Azure Resource Manager (ARM)
Usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Warstwę zarządzania usługi można użyć do tworzenia, aktualizowania i usuwania zasobów w ramach subskrypcji platformy Azure. Istnieją funkcje zarządzania, takie jak kontrola dostępu, blokady i tagi. Użyj tych funkcji, aby zabezpieczyć i zorganizować zasoby po wdrożeniu.
Aby dowiedzieć się więcej na temat szablonów usługi Azure Resource Manager (szablonów usługi ARM), zobacz Omówienie szablonów.
Aby wdrożyć przy użyciu szablonów usługi ARM, zobacz Maszyny wirtualne w szablonie usługi Azure Resource Manager. Upewnij się, że określono prawidłowe właściwości właściwości vmSizei imageReference.
Rozmiary maszyn wirtualnych
Określ jeden z następujących rozmiarów w szablonie usługi ARM w zasobie maszyny wirtualnej. Ten ciąg to vmSize we właściwościach.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Obraz systemu operacyjnego Gen2
W obszarze właściwości należy również określić obraz w obszarze storageProfile. Użyj tylko jednego z poniższych obrazów dla obrazuReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},