Параметры конфиденциальной виртуальной машины Azure
Azure предлагает варианты доверенной среды выполнения (TEE) в AMD и Intel. Эти teEs позволяют создавать среды конфиденциальной виртуальной машины с отличными коэффициентами производительности, не требуя каких-либо изменений кода.
Для конфиденциальных виртуальных машин на основе AMD используется технология AMD SEV-SNP, которая была представлена с 3-го поколения процессорами AMD EPYC™. С другой стороны, конфиденциальные виртуальные машины intel используют Intel TDX, технология, представленная с 4-го поколения процессорами Intel® Xeon®. Обе технологии имеют разные реализации, однако оба обеспечивают аналогичную защиту от стека облачной инфраструктуры.
Размеры
Мы предлагаем следующие размеры виртуальных машин:
| Семейство размеров | TEE | Description |
|---|---|---|
| Серия DCasv5 | AMD SEV-SNP | CVM общего назначения с удаленным хранилищем. Локальный временный диск не существует. |
| Серия DCadsv5 | AMD SEV-SNP | CVM общего назначения с локальным временным диском. |
| Серия ECasv5 | AMD SEV-SNP | Оптимизированный для памяти CVM с удаленным хранилищем. Локальный временный диск не существует. |
| Серия ECadsv5 | AMD SEV-SNP | Оптимизированный для памяти CVM с локальным временным диском. |
| Серия DCesv5 | Intel TDX | CVM общего назначения с удаленным хранилищем. Локальный временный диск не существует. |
| Серия DCedsv5 | Intel TDX | CVM общего назначения с локальным временным диском. |
| Серия ECesv5 | Intel TDX | Оптимизированный для памяти CVM с удаленным хранилищем. Локальный временный диск не существует. |
| Серия ECedsv5 | Intel TDX | Оптимизированный для памяти CVM с локальным временным диском. |
| Серия NCCadsH100v5 | GPU AMD SEV-SNP и NVIDIA H100 Tensor Core | CVM с конфиденциальным GPU. |
Примечание.
Оптимизированные для памяти конфиденциальные виртуальные машины обеспечивают двойное соотношение памяти на количество виртуальных ЦП.
Команды Azure CLI
Azure CLI можно использовать с конфиденциальными виртуальными машинами.
Чтобы просмотреть список конфиденциальных размеров виртуальных машин, выполните следующую команду. Замените <vm-series> рядом, который вы хотите использовать. В выходных данных отображаются сведения о доступных регионах и зонах доступности.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Чтобы получить более подробный список, выполните следующую команду:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Рекомендации по развертыванию
Прежде чем развертывать конфиденциальные виртуальные машины, рассмотрите следующие параметры и варианты.
Подписка Azure.
Чтобы развернуть конфиденциальный экземпляр виртуальной машины, рассмотрите подписку с оплатой по мере использования или другой вариант покупки. Если вы используете бесплатную учетную запись Azure, квота не разрешает соответствующее количество вычислительных ядер Azure.
Возможно, потребуется увеличить квоту ядер в подписке Azure из значения по умолчанию. Ограничения по умолчанию зависят от категории подписки. Подписка также может ограничить количество ядер, которые можно развернуть в определенных семействах размеров виртуальных машин, включая конфиденциальные размеры виртуальных машин.
Чтобы запросить увеличение квоты, откройте онлайн-запрос в службу поддержки клиентов.
Если у вас есть крупномасштабные потребности в емкости, обратитесь в службу поддержки Azure. Квоты Azure — это ограничения по кредитам, а не гарантированная емкость. Плата взимается только за используемые ядра.
Цены
Сведения о ценах см. в разделе о ценах на Linux Виртуальные машины.
Доступность в регионах
Сведения о доступности см. в том, какие продукты виртуальной машины доступны в регионе Azure.
Изменение размера
Конфиденциальные виртуальные машины выполняются на специализированном оборудовании, поэтому вы можете изменять размер экземпляров конфиденциальных виртуальных машин только в других конфиденциальных размерах в том же регионе. Например, если у вас есть виртуальная машина серии DCasv5, можно изменить размер до другого экземпляра серии DCasv5 или экземпляра серии DCesv5.
Невозможно изменить размер не конфиденциальной виртуальной машины на конфиденциальную виртуальную машину.
Высокий уровень доступности и аварийное восстановление
Вы несете ответственность за создание решений высокого уровня доступности и аварийного восстановления для конфиденциальных виртуальных машин. Планирование этих сценариев помогает свести к минимуму и избежать длительного простоя.
Развертывание с помощью шаблонов ARM
Azure Resource Manager — это служба развертывания и управления для Azure. Вы можете:
- Защита и упорядочение ресурсов после развертывания с помощью таких функций управления, как управление доступом, блокировки и теги.
- Создание, обновление и удаление ресурсов в подписке Azure с помощью уровня управления.
- Используйте шаблоны Azure Resource Manager (шаблоны ARM) для развертывания конфиденциальных виртуальных машин на процессорах AMD.
Обязательно укажите следующие свойства виртуальной машины в разделе параметров (parameters):
- Размер виртуальной машины (
vmSize). Выберите разные семейства и размеры конфиденциальных виртуальных машин. - Имя образа ОС (
osImageName). Выберите из квалифицированных образов ОС. - Тип шифрования диска (
securityType). Выберите из шифрования только для VMGS (VMGuestStateOnly) или полного шифрования диска ОС (DiskWithVMGuestState), что может привести к более длительной подготовке. Для экземпляров Intel TDX поддерживается только другой тип безопасности (NonPersistedTPM), у которого нет шифрования виртуальных машин или дисков ОС.
Следующие шаги
Дополнительные сведения см. в разделе "Часто задаваемые вопросы о конфиденциальной виртуальной машине".