Opções de VMs confidenciais do Azure

O Azure oferece opções de ambiente de execução confiável (TEE) da AMD e da Intel. Esses TEEs permitem criar ambientes de VM confidenciais com excelentes relações preço/desempenho, tudo sem a necessidade de alterações de código.

Para VMs confidenciais baseadas em AMD, a tecnologia usada é AMD SEV-SNP, que foi introduzida com processadores AMD EPYC™ de 3ª geração. Por outro lado, as VMs confidenciais baseadas em Intel utilizam Intel TDX, uma tecnologia introduzida com processadores Intel® Xeon® de 4ª geração. Ambas as tecnologias têm implementações diferentes, mas ambas fornecem proteções semelhantes da pilha de infraestrutura em nuvem.

Tamanhos

Oferecemos os seguintes tamanhos de VM:

Família de tamanho	TEE	Descrição
DCasv5-series	AMD SEV-SNP	CVM de uso geral com armazenamento remoto. Nenhum disco temporário local.
DCadsv5-series	AMD SEV-SNP	CVM de uso geral com disco temporário local.
ECasv5-series	AMD SEV-SNP	CVM com otimização de memória e armazenamento remoto. Nenhum disco temporário local.
ECadsv5-series	AMD SEV-SNP	CVM com otimização de memória e disco temporário local.
Série DCesv5	Intel TDX	CVM de uso geral com armazenamento remoto. Nenhum disco temporário local.
Série DCedsv5	Intel TDX	CVM de uso geral com disco temporário local.
Série ECesv5	Intel TDX	CVM com otimização de memória e armazenamento remoto. Nenhum disco temporário local.
Série ECedsv5	Intel TDX	CVM com otimização de memória e disco temporário local.

Observação

As VMs confidenciais com otimização de memória oferecem o dobro da taxa de memória por contagem de vCPU.

Comandos da CLI do Azure

Você pode usar a CLI do Azure com suas VMs confidenciais.

Para ver uma lista de tamanhos de VM confidenciais, execute o comando a seguir. Substitua <vm-series> pela série que você deseja usar. A saída mostra informações sobre regiões disponíveis e zonas de disponibilidade.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Para obter uma lista mais detalhada, execute o seguinte comando:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Considerações de implantação

Considere as configurações e opções a seguir antes de implantar VMs confidenciais.

Assinatura do Azure

Para implantar uma instância de VM confidencial, considere o uso de uma assinatura paga conforme o uso ou outra opção de compra. Se você estiver usando uma conta gratuita do Azure, a cota não permitirá a quantidade apropriada de núcleos de computação do Azure.

Talvez seja preciso aumentar a cota de núcleos em sua assinatura do Azure, saindo do valor padrão. Os limites padrão variam dependendo de sua categoria de assinatura. Sua assinatura também pode limitar o número de núcleos que você pode implantar em determinadas famílias de tamanho de VM, incluindo os tamanhos de VM confidenciais.

Para solicitar um aumento de cota, abra uma solicitação de suporte ao cliente online.

Se precisar de capacidade em larga escala, contate o suporte do Azure. Cotas do Azure são limites de crédito, não garantias de capacidade. Você só incorre em encargos para os núcleos que usa.

Preços

Para opções de preço, confira Preço de Máquinas Virtuais do Linux.

Disponibilidade regional

Para obter informações de disponibilidade, confira quais produtos de VM estão disponíveis pela região do Azure.

Redimensionamento

As VMs confidenciais são executadas em hardware especializado, portanto, você só pode redimensionar instâncias de VM confidenciais para outros tamanhos confidenciais na mesma região. Por exemplo, se você tiver uma VM da série DCasv5, só poderá redimensioná-la para outra instância da série DCasv5 ou para uma instância da série DCesv5.

Não é possível redimensionar uma VM não confidencial para uma VM confidencial.

Suporte a SO convidado

As imagens do SO para VMs confidenciais deve atender a determinados requisitos de segurança e compatibilidade. As imagens qualificadas dão suporte para montagem segura, atestado, criptografia de disco de SO confidencial opcional e isolamento da infraestrutura de nuvem subjacente. Essas imagens incluem:

• Ubuntu 20.04 LTS (somente com suporte para AMD SEV-SNP)
• Ubuntu 22.04 LTS
• Red Hat Enterprise Linux 9.3 (somente com suporte para AMD SEV-SNP)
• Windows Server 2019 Datacenter — x64 Geração 2 (somente com suporte para AMD SEV-SNP)
• Windows Server 2019 Datacenter Server Core — x64 Geração 2 (somente com suporte para AMD SEV-SNP)
• Windows Server 2022 Datacenter - x64 Gen2
• Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
• Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
• Windows Server 2022 Datacenter Server Core - x64 Gen 2
• Windows 11 Enterprise N, versão 22H2 -x64 Gen 2
• Windows 11 Pro, versão 22H2 ZH-CN -x64 Gen 2
• Windows 11 Pro, versão 22H2 -x64 Gen 2
• Windows 11 Pro N, versão 22H2 -x64 Gen 2
• Windows 11 Enterprise, versão 22H2 -x64 Gen 2
• Windows 11 Enterprise várias sessões, versão 22H2 -x64 Gen 2

À medida que trabalhamos para integrar mais imagens do sistema operacional com a criptografia de disco confidencial do sistema operacional, há várias imagens disponíveis na versão prévia inicial que podem ser testadas. Você pode se inscrever abaixo:

• Red Hat Enterprise Linux 9.3 (suporte para Intel TDX)
• SUSE Enterprise Linux 15 SP5 (suporte para Intel TDX e AMD SEV-SNP)
• SUSE Enterprise Linux 15 SAP SP5 (suporte para Intel TDX e AMD SEV-SNP)

Para saber mais sobre os cenários de VM com e sem suporte, confira o suporte a VMs da geração 2 no Azure.

Alta disponibilidade e recuperação de desastre

Você é responsável por criar soluções de alta disponibilidade e recuperação de desastre para suas VMs confidenciais. Planejar esses cenários ajuda a minimizar e evitar tempo de inatividade prolongado.

Implantação com modelos do ARM

O Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Você poderá:

• Proteja e organize seus recursos após a implantação com os recursos de gerenciamento, como controle de acesso, bloqueios e marcas.
• Crie, atualize e exclua recursos em sua assinatura do Azure usando a camada de gerenciamento.
• Use os modelos do ARM (modelos do Azure Resource Manager) para implantar VMs confidenciais em processadores AMD. Há um modelo do ARM disponível para VMs confidenciais.

Especifique as seguintes propriedades para sua VM na seção de parâmetros (parameters):

• Tamanho da VM (vmSize). Escolha entre as diferentes famílias e tamanhos de VM confidenciais.
• Nome da imagem do SO (osImageName). Escolha entre as imagens qualificadas do SO.
• Tipo de criptografia de disco (securityType). Escolha entre a criptografia somente VMGS (VMGuestStateOnly) ou a pré-criptografia completa do disco do sistema operacional (DiskWithVMGuestState), o que pode resultar em tempos de provisionamento mais longos. Somente no caso de instâncias do Intel TDX, também damos suporte a outro tipo de segurança (NonPersistedTPM), que não tem criptografia de disco do sistema operacional ou do VMGS.

Próximas etapas

Implantar uma VM confidencial do portal do Azure

Para obter mais informações, confira Perguntas frequentes sobre a VM confidencial.