Soluções no Azure para Intel SGX
Você pode implantar VMs (máquinas virtuais) Intel SGX (Intel Software Guard Extension) para uso na computação confidencial do Azure.
Tamanhos e regiões disponíveis no momento
Para obter uma lista de tamanhos de VM Intel SGX, use a CLI do Azure (Interface de LInha de Comando do Azure). Instale a CLI do Azure, se ainda não tiver feito isso. Então execute o comando a seguir para listar os tamanhos do Intel SGX com informações de região e zona de disponibilidade.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Requisitos de host dedicado
Implantar uma VM série Standard_DC8_v2, Standard_DC48s_v3 ou Standard_DC48ds_v3 ocupa todo o host. Outros locatários ou assinaturas não compartilham o host. Essa família de SKUs de VM fornece o isolamento que talvez seja necessário para atender aos requisitos regulatórios de conformidade e segurança. Normalmente, talvez você precise de um serviço de host dedicado para atender a esses requisitos.
Para esses tamanhos de VM, o servidor host físico aloca todos os recursos de hardware disponíveis, incluindo a memória EPC, somente para sua máquina virtual. Essa implantação não é a mesma que o serviço Host Dedicado do Azure em outras famílias de VM.
Considerações de implantação
Considere os seguintes fatores ao planejar sua implantação de VM Intel SGX no Azure.
Assinatura do Azure
Para implantar uma instância de VM de computação confidencial, considere aderir a uma assinatura paga conforme o uso ou outra opção de compra. As contas gratuitas do Azure não têm uma cota alta o suficiente para o número necessário de núcleos de computação do Azure.
Disponibilidade regional e de preço
Encontre o preço das VMs DCsv2, DCsv3 e DCdsv3 na página de preço de VMs do Azure. Verifique a tabela de produtos disponíveis por região para ver a disponibilidade em diferentes regiões do Azure.
Cota de núcleos
Talvez seja preciso aumentar a cota de núcleos em sua assinatura do Azure, saindo do valor padrão. Sua assinatura também pode limitar o número de núcleos que você pode implantar em determinadas famílias de tamanho de VM, incluindo a DCsv2-Series. Você pode solicitar um aumento de cota sem custo. Os limites padrão podem ser diferentes com base em sua categoria de assinatura.
Se precisar de capacidade em larga escala, contate o suporte do Azure. Cotas do Azure são limites de crédito, não garantias de capacidade. Seja qual for sua cota, você será cobrado apenas pelos núcleos que usar.
Redimensionamento
Devido ao hardware especializado, você só pode redimensionar as instâncias da VM Intel SGX dentro da mesma família de tamanhos. Por exemplo, só é possível redimensionar o tamanho de uma VM DCsv2-series para outra DCsv2-series.
Imagem
Para fornecer suporte ao Intel SGX em instâncias de computação confidencial, todas as implantações devem ser executadas em imagens de Geração 2. A computação confidencial do Azure dá suporte a cargas de trabalho em execução no Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 e no Ubuntu 22.04 Gen 2. Para saber mais sobre os cenários com e sem suporte, confira o suporte a VMs da geração 2 no Azure.
Armazenamento
As VMs DCsv2-series são compatíveis com SSD Standard e SSD Premium, exceto por DC8_v2.
VMs DCsv3 e DCdsv3-series são compatíveis com Disco Ultra, SSD Standard e SSD Premium.
Considerações sobre alta disponibilidade e recuperação de desastre
Ao usar VMs do Azure, você é responsável por criar HA (alta disponibilidade) e uma solução de recuperação de desastre para evitar qualquer tempo de inatividade.
No momento, a computação confidencial do Azure não oferece suporte para redundância de zona por meio de zonas de disponibilidade do Azure. Para obter a maior disponibilidade e redundância para computação confidencial, use Conjuntos de Disponibilidade. Devido a restrições de hardware, os Conjuntos de Disponibilidade para instâncias de computação confidencial podem ter somente um máximo de dez domínios de atualização.
Implantação com modelo do Azure Resource Manager - ARM
O Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Você pode usar a camada de gerenciamento do serviço para criar, atualizar e excluir recursos em sua assinatura do Azure. Há recursos de gerenciamento, como controle de acesso, bloqueios e marcas. Use esses recursos para proteger e organizar seus recursos após a implantação.
Para saber mais sobre os modelos do ARM (Azure Resource Manager), confira a Visão geral de modelos.
Para implantar usando modelos do ARM, confira Máquinas virtuais em um modelo do Azure Resource Manager. Especifique as propriedades corretas para vmSize e para imageReference.
Tamanhos de VM
Especifique um dos seguintes tamanhos no modelo do ARM no recurso de VM. Essa cadeia de caracteres é vmSize em propriedades.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Imagem do SO Gen2
Em Propriedades, você também precisará especificar uma imagem em storageProfile. Use apenas uma das imagens a seguir em sua imageReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},