Краткое руководство. Создание виртуальной машины Intel SGX на портале Azure
В этом учебнике описывается процесс развертывания виртуальных машин Intel SGX с помощью портала Azure. В противном случае мы рекомендуем использовать шаблоны Azure Marketplace.
Необходимые компоненты
Если у вас еще нет подписки Azure, создайте учетную запись, прежде чем начинать работу.
Примечание.
Учетные записи бесплатной пробной версии не предоставляют доступа к виртуальным машинам, которые упоминаются в этом руководстве. Перейдите на подписку с оплатой по мере использования.
Вход в Azure
Войдите на портал Azure.
В верхней части экрана выберите команду Создать ресурс.
В боковой области слева выберите пункт Вычислить.
Выберите Создать виртуальную машину.
Настройка виртуальной машины Intel SGX
На вкладке Основы выберите Подписка и Группа ресурсов.
В поле Имя виртуальной машины введите имя новой виртуальной машины.
Введите или выберите следующие значения:
Регион. Выберите подходящий регион Azure.
Примечание.
Виртуальные машины Intel SGX работают на специализированном оборудовании в определенных регионах. Чтобы получить последние сведения о региональной доступности, найдите серии DCsv2 или DCsv3 и DCdsv3 на странице доступности по регионам.
Настройте образ операционной системы, который вы намерены использовать для виртуальной машины.
Выберите образ: для работы с этим руководством выберите Ubuntu 20.04 LTS (2-го поколения). Можно также выбрать Ubuntu 18.04 LTS (2-го поколения) или Windows Server 2019.
Обновление до поколения 2: под изображением в раскрывающемся окне выберите Configure VM generation (Настройка поколения виртуальной машины) и выберите Generation 2 (Поколение 2).
Выберите виртуальную машину с возможностями Intel SGX, нажав кнопку +Добавить фильтр, чтобы создать фильтр, выберите тип фильтра и проверьте только конфиденциальные вычисления из списка в следующем раскрывающемся списке.
Совет
Вы должны увидеть размеры DC(number)s_v2, DC(number)s_v3 и DC(number)ds_v3. Подробнее.
Введите следующие данные:
Тип проверки подлинности: при создании виртуальной машины Linux выберите открытый ключ SSH.
Примечание.
Для проверки подлинности вы можете использовать открытый ключ или пароль SSH. SSH является более безопасным. Сведения о создании ключа SSH см. в статье Как создать и использовать пару из открытого и закрытого ключей SSH для виртуальных машин Linux в Azure.
Имя пользователя. Введите имя администратора для виртуальной машины.
Открытый ключ SSH: если применимо, введите открытый ключ RSA.
Пароль. Если применимо, введите пароль для проверки подлинности.
Общедоступные входящие порты: выберите "Разрешить выбранные порты" и выберите SSH (22) и HTTP (80) в списке общедоступных входящих портов. Если вы развертываете виртуальную машину Windows, выберите HTTP (80) и RDP (3389).
Примечание.
Не рекомендуется разрешать порты RDP/SSH для рабочих развертываний.
Внесите изменения на вкладке Диски.
- Серия DCsv2 поддерживает SSD (цен. категория "Стандартный"), а SSD (цен. категория "Премиум") поддерживается в DC1, DC2 и DC4.
- Серии DCsv3 и DCdsv3 поддерживают SSD (цен. категория "Стандартный"), SSD (цен. категория "Премиум") и Диски (цен. категория "Ультра").
На перечисленных ниже вкладках внесите в параметры нужные изменения или сохраните значения по умолчанию.
- Сеть
- Управление
- Конфигурация гостевой ОС
- Теги
Выберите Review + create (Просмотреть и создать).
В области Отзыв и создание выберите Создать.
Примечание.
Если вы развернули виртуальную машину Linux, переходите к следующему разделу этого руководства. Если вы развернули виртуальную машину Windows, выполните эту процедуру для подключения к виртуальной машине Windows и установите пакет OE SDK для Windows.
Подключение к виртуальной машине Linux
Откройте клиент SSH, например Bash в Linux или PowerShell в Windows. Команда ssh обычно включается в Linux, macOS и Windows. Если вы используете Windows 7 или более ранней версии, в которой клиент Win32 OpenSSH недоступен по умолчанию, вы можете установить WSL или воспользоваться Azure Cloud Shell в браузере. В следующей команде замените имя пользователя и IP-адрес виртуальной машины, чтобы подключиться к виртуальной машине Linux.
ssh azureadmin@40.55.55.555
Общедоступный IP-адрес виртуальной машины можно получить на портале Azure в разделе "Обзор" для виртуальной машины.
Дополнительные сведения о подключении к виртуальным машинам Linux см. в статье Создание виртуальной машины Linux с помощью портала Azure.
Установка клиента Azure DCAP
Примитивы аттестации Центра обработки данных Azure (DCAP), замена библиотеки поставщиков цитат Intel (QPL), извлекает сведения о создании котировок и проверки кавычки непосредственно из службы THIM.
Служба доверенного аппаратного управления удостоверениями (THIM) обрабатывает управление кэшем сертификатов для всех доверенных сред выполнения (TEE), находящихся в Azure, и предоставляет сведения о доверенных вычислительных базах (TCB), чтобы обеспечить минимальный базовый план для решений аттестации.
Серии DCsv3 и DCdsv3 поддерживают только аттестации на основе ECDSA, поэтому пользователям рекомендуем установить клиент Azure DCAP для взаимодействия с THIM и получения материалов TEE для создания цитаты в процессе аттестации. Серия DCsv2 по-прежнему поддерживает аттестацию на основе EPID.
Очистка ресурсов
Если группа ресурсов, виртуальная машина и все связанные с ними ресурсы вам больше не требуются, их можно удалить.
Выберите группу ресурсов для виртуальной машины и щелкните Удалить. Подтвердите имя группы ресурсов, чтобы завершить удаление ресурсов.
Следующие шаги
В этом кратком руководстве вы узнали, как развернуть виртуальную машину Intel SGX и подключиться к ней. Подробнее см. Решения в Виртуальных машинах.
Изучите возможности по созданию приложений конфиденциальных вычислений на примерах для пакета SDK Open Enclave на сайте GitHub.
Аттестация Microsoft Azure — это бесплатная платформа на основе аттестации ECDSA для удаленной проверки надежности нескольких сред TEE и целостности двоичных файлов, выполняемых в ней. Подробнее.