Poufne przetwarzanie w Azure Container Apps

Poufne zasoby obliczeniowe w Azure Container Apps pomagają chronić konteneryzowane obciążenia podczas przetwarzania danych. W tym artykule dowiesz się, kiedy używać poufnych zasobów obliczeniowych, jak współdziałać z dedykowanymi profilami obciążeń, jak włączyć ją dla aplikacji kontenera oraz jak sprawdzić, czy aplikacja działa w poufnej infrastrukturze obliczeniowej.

Zalety poufnego przetwarzania w Azure Container Apps

Poufne przetwarzanie uzupełnia szyfrowanie danych w spoczynku i szyfrowanie danych podczas przesyłania w usłudze Azure, chroniąc dane w trakcie ich przetwarzania. Po uruchomieniu obciążeń w profilu poufnego obciążenia obliczeniowego uzyskujesz:

• Izolacja oparta na sprzęcie przy użyciu zaufanych środowisk wykonywania (TEE).
• Szyfrowanie danych w pamięci podczas uruchamiania obciążeń.
• Ochrona przed nieautoryzowanym dostępem do używanych danych, w tym dostępem od operatorów infrastruktury.

Platforma Azure i podstawowa infrastruktura poufnej maszyny wirtualnej zapewniają i wymuszają te gwarancje. Aby uzyskać więcej informacji, zobacz Azure Confidential Computing.

Kiedy należy używać poufnych obliczeń

Użyj poufnego środowiska obliczeniowego w Azure Container Apps, gdy:

• Twoje obciążenia robocze przetwarzają bardzo poufne lub regulowane dane.
• Ochrona danych podczas ich przetwarzania jest wymagana.
• Chcesz uzyskać korzyści z zakresu zabezpieczeń poufnego przetwarzania bez zarządzania infrastrukturą lub modyfikowaniem kodu aplikacji.

Jak działa poufne obliczenia

Przetwarzanie poufne włączasz na poziomie profilu obciążenia, a nie na poziomie pojedynczej aplikacji kontenerowej ani wersji. Po dodaniu dedykowanego profilu obciążenia z serii DC do środowiska wszystkie aplikacje kontenerowe przypisane do tego profilu są automatycznie uruchamiane w infrastrukturze przetwarzania poufnego opartej na poufnych jednostkach SKU maszyn wirtualnych.

Nie musisz konfigurować żadnych ustawień dla aplikacji ani dla kontenera. Wdróż aplikacje kontenerowe przy użyciu tych samych obrazów, narzędzi i przepływów pracy, jak w przypadku obciążeń niepoufnych. Nie potrzebujesz specjalnej konfiguracji środowiska uruchomieniowego kontenera ani zestawów SDK.

Prerequisites

Przed włączeniem poufnego środowiska obliczeniowego sprawdź, czy masz następujące elementy:

1. Środowisko Azure Container Apps w obsługiwanym regionie.
2. Dedykowany profil obciążenia, który używa typu profilu obciążenia serii DC.
3. Aplikacja kontenerowa z przypisanym profilem obciążenia z serii DC.

Włączanie poufnego przetwarzania

W poniższym przykładzie utworzono środowisko usługi Container Apps z profilem obciążenia serii DC i wdrożono aplikację kontenera przypisaną do tego profilu:

1. Utwórz środowisko przy użyciu profilu obciążenia serii DC.

   az containerapp env create \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --location <SUPPORTED_REGION> \
     --workload-profile-type DC4 \
     --workload-profile-name my-wp-confidential
   

2. Utwórz aplikację kontenera i przypisz ją do profilu obciążenia.

   az containerapp create \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --environment <ENVIRONMENT_NAME> \
     --workload-profile-name my-wp-confidential \
     --image <CONTAINER_IMAGE>
   

Parametr --workload-profile-name my-wp-confidential przypisuje aplikację do profilu obciążenia serii DC, który umożliwia poufne obliczenia.

Aby uzyskać instrukcje dotyczące dodawania profilów obciążeń i zarządzania nimi, zobacz Zarządzanie profilami obciążeń przy użyciu Azure CLI.

Weryfikowanie poufnej konfiguracji obliczeniowej

Użyj tej szybkiej kontroli, aby potwierdzić, że aplikacja jest przypisana do profilu obciążenia z serii DC.

Azure CLI

1. Pobierz profil obciążenia przypisany do aplikacji kontenera.

   az containerapp show \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query properties.workloadProfileName \
     -o tsv
   

   Przykładowy wynik:

   my-wp-confidential
   

2. Pobierz typ profilu obciążenia dla tego profilu w środowisku.

   az containerapp env workload-profile list \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query "[].{name:name,workloadProfileType:workloadProfileType}"
   

   Przykładowy wynik:

   [
     {
       "name": "my-wp-confidential",
       "workloadProfileType": "DC4"
     }
   ]
   

   W tym przykładzie my-wp-confidential jest to przykładowa nazwa profilu. Nazwa profilu może być inna.

Jeśli profil przypisany do aplikacji ma workloadProfileType wartość rozpoczynającą się od DC, taką jak DC4 lub DC8, aplikacja działa w infrastrukturze obliczeń poufnych.

Azure Portal

1. W portalu Azure przejdź do aplikacji kontenera.
2. Na stronie Przegląd zanotuj wartość Środowisko i przejdź do tego środowiska.
3. W środowisku usługi Container Apps przejdź do pozycji Profile obciążeń.
4. Znajdź profil obciążenia używany przez aplikację i sprawdź, czy typ i rozmiar profilu zaczynają się od DC, na przykład DC4 lub DC8.

Obsługiwane profile obciążeń

Poufne zasoby obliczeniowe są dostępne tylko w dedykowanych profilach obciążeń serii DC. Obsługiwane rozmiary obejmują:

• DC4
• DC8
• DC16
• DC32
• DC48
• DC64
• DC96

Dostępność tych profilów obciążeń zależy od regionu. Nie wszystkie regiony z profilami serii DC obsługują poufne obliczenia. Aby uzyskać bieżącą listę regionów, w których są dostępne poufne zasoby obliczeniowe, zobacz Obsługiwane regiony.

Obsługiwane regiony

Azure Container Apps obsługuje poufne obliczenia w regionie Północne Zjednoczone Emiraty Arabskie. Aby zażądać regionu, prześlij problem w GitHub.

Treści powiązane

• Omówienie zabezpieczeń w usłudze Azure Container Apps
• Omówienie profilów obciążeń
• Poufne przetwarzanie na platformie Azure