Параметры конфиденциальной виртуальной машины Azure
Azure предлагает варианты доверенной среды выполнения (TEE) в AMD и Intel. Эти teEs позволяют создавать среды конфиденциальной виртуальной машины с отличными коэффициентами производительности, не требуя каких-либо изменений кода.
Для конфиденциальных виртуальных машин на основе AMD используется технология AMD SEV-SNP, которая была представлена с 3-го поколения процессорами AMD EPYC™. С другой стороны, конфиденциальные виртуальные машины intel используют Intel TDX, технология, представленная с 4-го поколения процессорами Intel® Xeon®. Обе технологии имеют разные реализации, однако оба обеспечивают аналогичную защиту от стека облачной инфраструктуры.
Размеры
Мы предлагаем следующие размеры виртуальных машин:
| Семейство размеров | TEE | Description |
|---|---|---|
| Серия DCasv5 | AMD SEV-SNP | CVM общего назначения с удаленным хранилищем. Локальный временный диск не существует. |
| Серия DCadsv5 | AMD SEV-SNP | CVM общего назначения с локальным временным диском. |
| Серия ECasv5 | AMD SEV-SNP | Оптимизированный для памяти CVM с удаленным хранилищем. Локальный временный диск не существует. |
| Серия ECadsv5 | AMD SEV-SNP | Оптимизированный для памяти CVM с локальным временным диском. |
| Серия DCesv5 | Intel TDX | CVM общего назначения с удаленным хранилищем. Локальный временный диск не существует. |
| Серия DCedsv5 | Intel TDX | CVM общего назначения с локальным временным диском. |
| Серия ECesv5 | Intel TDX | Оптимизированный для памяти CVM с удаленным хранилищем. Локальный временный диск не существует. |
| Серия ECedsv5 | Intel TDX | Оптимизированный для памяти CVM с локальным временным диском. |
Примечание.
Оптимизированные для памяти конфиденциальные виртуальные машины обеспечивают двойное соотношение памяти на количество виртуальных ЦП.
Команды Azure CLI
Azure CLI можно использовать с конфиденциальными виртуальными машинами.
Чтобы просмотреть список конфиденциальных размеров виртуальных машин, выполните следующую команду. Замените <vm-series> рядом, который вы хотите использовать. В выходных данных отображаются сведения о доступных регионах и зонах доступности.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Чтобы получить более подробный список, выполните следующую команду:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Рекомендации по развертыванию
Прежде чем развертывать конфиденциальные виртуальные машины, рассмотрите следующие параметры и варианты.
Подписка Azure.
Чтобы развернуть конфиденциальный экземпляр виртуальной машины, рассмотрите подписку с оплатой по мере использования или другой вариант покупки. Если вы используете бесплатную учетную запись Azure, квота не разрешает соответствующее количество вычислительных ядер Azure.
Возможно, потребуется увеличить квоту ядер в подписке Azure из значения по умолчанию. Ограничения по умолчанию зависят от категории подписки. Подписка также может ограничить количество ядер, которые можно развернуть в определенных семействах размеров виртуальных машин, включая конфиденциальные размеры виртуальных машин.
Чтобы запросить увеличение квоты, откройте онлайн-запрос в службу поддержки клиентов.
Если у вас есть крупномасштабные потребности в емкости, обратитесь в службу поддержки Azure. Квоты Azure — это ограничения по кредитам, а не гарантированная емкость. Плата взимается только за используемые ядра.
Цены
Сведения о ценах см. в разделе о ценах на Linux Виртуальные машины.
Доступность в регионах
Сведения о доступности см. в том, какие продукты виртуальной машины доступны в регионе Azure.
Изменение размера
Конфиденциальные виртуальные машины выполняются на специализированном оборудовании, поэтому вы можете изменять размер экземпляров конфиденциальных виртуальных машин только в других конфиденциальных размерах в том же регионе. Например, если у вас есть виртуальная машина серии DCasv5, можно изменить размер до другого экземпляра серии DCasv5 или экземпляра серии DCesv5.
Невозможно изменить размер не конфиденциальной виртуальной машины на конфиденциальную виртуальную машину.
Поддержка гостевых операционных систем
Образы ОС для конфиденциальных виртуальных машин должны соответствовать определенным требованиям к безопасности и совместимости. Квалифицированные образы поддерживают безопасное подключение, аттестацию, необязательное шифрование дисков операционной системы и изоляцию от базовой облачной инфраструктуры. К этим изображениям относятся:
- Ubuntu 20.04 LTS (поддерживается только AMD SEV-SNP)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (поддерживается только AMD SEV-SNP)
- Windows Server 2019 Datacenter — x64-го поколения 2-го поколения (поддерживается только AMD SEV-SNP)
- Windows Server 2019 Datacenter Server Core — x64-го поколения 2-го поколения (поддерживается только AMD SEV-SNP)
- Windows Server 2022 Datacenter — x64-го поколения 2-го поколения
- Windows Server 2022 Datacenter: Azure Edition Core — x64-го поколения 2-го поколения
- Центр обработки данных Windows Server 2022: Выпуск Azure — x64-го поколения 2-го поколения
- Windows Server 2022 Datacenter Server Core — x64-го поколения 2-го поколения
- Windows 11 Корпоративная N, версия 22H2 -x64-го поколения 2-го поколения
- Windows 11 Pro, версия 22H2 ZH-CN -x64-го поколения 2
- Windows 11 Pro, версия 22H2 -x64-го поколения 2
- Windows 11 Pro N, версия 22H2 -x64-го поколения 2
- Windows 11 Корпоративная версии 22H2 -x64-го поколения 2-го поколения
- Windows 11 Корпоративная нескольких сеансов версии 22H2 -x64-го поколения 2-го поколения
Так как мы работаем над подключением дополнительных образов ОС с шифрованием конфиденциальных дисков ОС, существуют различные образы, доступные в ранней предварительной версии, которые можно протестировать. Вы можете зарегистрироваться ниже:
- Red Hat Enterprise Linux 9.3 (поддержка Intel TDX)
- SUSE Enterprise Linux 15 с пакетом обновления 5 (SP5) (поддержка Intel TDX, AMD SEV-SNP)
- SUSE Enterprise Linux 15 SAP SP5 (поддержка Intel TDX, AMD SEV-SNP)
Дополнительные сведения о поддерживаемых и неподдерживаемых сценариях виртуальных машин см. в статье о поддержке виртуальных машин поколения 2 в Azure.
Высокий уровень доступности и аварийное восстановление
Вы несете ответственность за создание решений высокого уровня доступности и аварийного восстановления для конфиденциальных виртуальных машин. Планирование этих сценариев помогает свести к минимуму и избежать длительного простоя.
Развертывание с помощью шаблонов ARM
Azure Resource Manager — это служба развертывания и управления для Azure. Вы можете:
- Защита и упорядочение ресурсов после развертывания с помощью таких функций управления, как управление доступом, блокировки и теги.
- Создание, обновление и удаление ресурсов в подписке Azure с помощью уровня управления.
- Используйте шаблоны Azure Resource Manager (шаблоны ARM) для развертывания конфиденциальных виртуальных машин на процессорах AMD. Существует доступный шаблон ARM для конфиденциальных виртуальных машин.
Обязательно укажите следующие свойства виртуальной машины в разделе параметров (parameters):
- Размер виртуальной машины (
vmSize). Выберите разные семейства и размеры конфиденциальных виртуальных машин. - Имя образа ОС (
osImageName). Выберите из квалифицированных образов ОС. - Тип шифрования диска (
securityType). Выберите из шифрования только для VMGS (VMGuestStateOnly) или полного шифрования диска ОС (DiskWithVMGuestState), что может привести к более длительной подготовке. Для экземпляров Intel TDX поддерживается только другой тип безопасности (NonPersistedTPM), у которого нет шифрования виртуальных машин или дисков ОС.
Следующие шаги
Дополнительные сведения см. в разделе "Часто задаваемые вопросы о конфиденциальной виртуальной машине".