Dela via


Alternativ för konfidentiell virtuell Azure-dator

Azure erbjuder ett urval av alternativ för betrodd körningsmiljö (TEE) från både AMD och Intel. Med dessa TEE:er kan du skapa konfidentiella VM-miljöer med utmärkta pris-till-prestanda-förhållanden, allt utan att kräva några kodändringar.

För AMD-baserade konfidentiella virtuella datorer är den teknik som används AMD SEV-SNP, som introducerades med 3:e generationens AMD EPYC-processorer™. Å andra sidan använder Intel-baserade konfidentiella virtuella datorer Intel TDX, en teknik som introduceras med 4:e generationens Intel® Xeon-processorer®. Båda teknikerna har olika implementeringar, men båda ger liknande skydd från molninfrastrukturstacken.

Storlekar

Vi erbjuder följande VM-storlekar:

Storleksfamilj TEE beskrivning
DCasv5-serien AMD SEV-SNP Cvm för generell användning med fjärrlagring. Ingen lokal tillfällig disk.
DCadsv5-serien AMD SEV-SNP Cvm för generell användning med lokal tillfällig disk.
ECasv5-serien AMD SEV-SNP Minnesoptimerad CVM med fjärrlagring. Ingen lokal tillfällig disk.
ECadsv5-serien AMD SEV-SNP Minnesoptimerad CVM med lokal tillfällig disk.
DCesv5-serien Intel TDX Cvm för generell användning med fjärrlagring. Ingen lokal tillfällig disk.
DCedsv5-serien Intel TDX Cvm för generell användning med lokal tillfällig disk.
ECesv5-serien Intel TDX Minnesoptimerad CVM med fjärrlagring. Ingen lokal tillfällig disk.
ECedsv5-serien Intel TDX Minnesoptimerad CVM med lokal tillfällig disk.
NCCadsH100v5-serien AMD SEV-SNP och NVIDIA H100 Tensor Core GPU:er CVM med konfidentiell GPU.

Kommentar

Minnesoptimerade konfidentiella virtuella datorer erbjuder dubbelt så mycket minne per vCPU-antal.

Azure CLI-kommandon

Du kan använda Azure CLI med dina konfidentiella virtuella datorer.

Kör följande kommando för att se en lista över storlekar på konfidentiella virtuella datorer. Ersätt <vm-series> med den serie som du vill använda. Utdata visar information om tillgängliga regioner och tillgänglighetszoner.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Kör följande kommando i stället för en mer detaljerad lista:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Att tänka på vid distribuering

Överväg följande inställningar och alternativ innan du distribuerar konfidentiella virtuella datorer.

Azure-prenumeration

Om du vill distribuera en konfidentiell VM-instans bör du överväga en betala per användning-prenumeration eller ett annat köpalternativ. Om du använder ett kostnadsfritt Azure-konto tillåter kvoten inte rätt antal Azure-beräkningskärnor.

Du kan behöva öka kärnkvoten i din Azure-prenumeration från standardvärdet. Standardgränserna varierar beroende på din prenumerationskategori. Din prenumeration kan också begränsa antalet kärnor som du kan distribuera i vissa vm-storleksfamiljer, inklusive de konfidentiella VM-storlekarna.

Om du vill begära en kvotökning öppnar du en kundsupportbegäran online.

Kontakta Azure Support om du har behov av storskalig kapacitet. Azure-kvoter är kreditgränser, inte kapacitetsgarantier. Du debiteras bara för kärnor som du använder.

Prissättning

Prisalternativ finns i Prissättning för virtuella Linux-datorer.

Regional tillgänglighet

Information om tillgänglighet finns i vilka VM-produkter som är tillgängliga per Azure-region.

Ändrar storlek

Konfidentiella virtuella datorer körs på specialiserad maskinvara, så du kan bara ändra storlek på konfidentiella VM-instanser till andra konfidentiella storlekar i samma region. Om du till exempel har en virtuell dator i DCasv5-serien kan du ändra storlek till en annan DCasv5-serieinstans eller en DCesv5-serieinstans.

Det går inte att ändra storlek på en icke-konfidentiell virtuell dator till en konfidentiell virtuell dator.

Hög tillgänglighet och haveriberedskap

Du ansvarar för att skapa lösningar för hög tillgänglighet och haveriberedskap för dina konfidentiella virtuella datorer. Att planera för dessa scenarier hjälper till att minimera och undvika långvarig stilleståndstid.

Distribution med ARM-mallar

Azure Resource Manager är Azures tjänst för distribution och hantering. Du kan:

  • Skydda och organisera dina resurser efter distributionen med hanteringsfunktionerna, till exempel åtkomstkontroll, lås och taggar.
  • Skapa, uppdatera och ta bort resurser i din Azure-prenumeration med hjälp av hanteringsskiktet.
  • Använd Azure Resource Manager-mallar (ARM-mallar) för att distribuera konfidentiella virtuella datorer på AMD-processorer.

Se till att ange följande egenskaper för den virtuella datorn i avsnittet parametrar (parameters):

  • VM-storlek (vmSize). Välj mellan olika konfidentiella VM-familjer och storlekar.
  • Os-avbildningsnamn (osImageName). Välj mellan de kvalificerade OS-avbildningarna.
  • Diskkrypteringstyp (securityType). Välj mellan vmgs-endast kryptering (VMGuestStateOnly) eller fullständig os-disk förkryptering (DiskWithVMGuestState), vilket kan leda till längre etableringstider. För Intel TDX-instanser stöder vi även en annan säkerhetstyp (NonPersistedTPM) som inte har någon VMGS- eller OS-diskkryptering.

Nästa steg

Mer information finns i våra vanliga frågor och svar om konfidentiella virtuella datorer.