Alternativ för konfidentiell virtuell Azure-dator

Azure erbjuder ett urval av alternativ för betrodd körningsmiljö (TEE) från både AMD och Intel. Med dessa TEE:er kan du skapa konfidentiella VM-miljöer med utmärkta pris-till-prestanda-förhållanden, allt utan att kräva några kodändringar.

För AMD-baserade konfidentiella virtuella datorer är den teknik som används AMD SEV-SNP, som introducerades med 3:e generationens AMD EPYC-processorer™. Å andra sidan använder Intel-baserade konfidentiella virtuella datorer Intel TDX, en teknik som introduceras med 4:e generationens Intel® Xeon-processorer®. Båda teknikerna har olika implementeringar, men båda ger liknande skydd från molninfrastrukturstacken.

Storlekar

Vi erbjuder följande VM-storlekar:

Storleksfamilj	TEE	beskrivning
DCasv5-serien	AMD SEV-SNP	Cvm för generell användning med fjärrlagring. Ingen lokal tillfällig disk.
DCadsv5-serien	AMD SEV-SNP	Cvm för generell användning med lokal tillfällig disk.
ECasv5-serien	AMD SEV-SNP	Minnesoptimerad CVM med fjärrlagring. Ingen lokal tillfällig disk.
ECadsv5-serien	AMD SEV-SNP	Minnesoptimerad CVM med lokal tillfällig disk.
DCesv5-serien	Intel TDX	Cvm för generell användning med fjärrlagring. Ingen lokal tillfällig disk.
DCedsv5-serien	Intel TDX	Cvm för generell användning med lokal tillfällig disk.
ECesv5-serien	Intel TDX	Minnesoptimerad CVM med fjärrlagring. Ingen lokal tillfällig disk.
ECedsv5-serien	Intel TDX	Minnesoptimerad CVM med lokal tillfällig disk.

Kommentar

Minnesoptimerade konfidentiella virtuella datorer erbjuder dubbelt så mycket minne per vCPU-antal.

Azure CLI-kommandon

Du kan använda Azure CLI med dina konfidentiella virtuella datorer.

Kör följande kommando för att se en lista över storlekar på konfidentiella virtuella datorer. Ersätt <vm-series> med den serie som du vill använda. Utdata visar information om tillgängliga regioner och tillgänglighetszoner.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Kör följande kommando i stället för en mer detaljerad lista:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Att tänka på vid distribuering

Överväg följande inställningar och alternativ innan du distribuerar konfidentiella virtuella datorer.

Azure-prenumeration

Om du vill distribuera en konfidentiell VM-instans bör du överväga en betala per användning-prenumeration eller ett annat köpalternativ. Om du använder ett kostnadsfritt Azure-konto tillåter kvoten inte rätt antal Azure-beräkningskärnor.

Du kan behöva öka kärnkvoten i din Azure-prenumeration från standardvärdet. Standardgränserna varierar beroende på din prenumerationskategori. Din prenumeration kan också begränsa antalet kärnor som du kan distribuera i vissa vm-storleksfamiljer, inklusive de konfidentiella VM-storlekarna.

Om du vill begära en kvotökning öppnar du en kundsupportbegäran online.

Kontakta Azure Support om du har behov av storskalig kapacitet. Azure-kvoter är kreditgränser, inte kapacitetsgarantier. Du debiteras bara för kärnor som du använder.

Prissättning

Prisalternativ finns i Prissättning för virtuella Linux-datorer.

Regional tillgänglighet

Information om tillgänglighet finns i vilka VM-produkter som är tillgängliga per Azure-region.

Ändrar storlek

Konfidentiella virtuella datorer körs på specialiserad maskinvara, så du kan bara ändra storlek på konfidentiella VM-instanser till andra konfidentiella storlekar i samma region. Om du till exempel har en virtuell dator i DCasv5-serien kan du ändra storlek till en annan DCasv5-serieinstans eller en DCesv5-serieinstans.

Det går inte att ändra storlek på en icke-konfidentiell virtuell dator till en konfidentiell virtuell dator.

Stöd för gästoperativsystem

OS-avbildningar för konfidentiella virtuella datorer måste uppfylla vissa säkerhets- och kompatibilitetskrav. Kvalificerade avbildningar stöder säker montering, attestering, valfri konfidentiell os-diskkryptering och isolering från underliggande molninfrastruktur. Dessa bilder omfattar:

• Ubuntu 20.04 LTS (endast AMD SEV-SNP stöds)
• Ubuntu 22.04 LTS
• Red Hat Enterprise Linux 9.3 (ENDAST AMD SEV-SNP stöds)
• Windows Server 2019 Datacenter – x64 Gen 2 (ENDAST AMD SEV-SNP stöds)
• Windows Server 2019 Datacenter Server Core – x64 Gen 2 (endast AMD SEV-SNP stöds)
• Windows Server 2022 Datacenter – x64 Gen 2
• Windows Server 2022 Datacenter: Azure Edition Core – x64 Gen 2
• Windows Server 2022 Datacenter: Azure Edition – x64 Gen 2
• Windows Server 2022 Datacenter Server Core – x64 Gen 2
• Windows 11 Enterprise N, version 22H2 -x64 Gen 2
• Windows 11 Pro, version 22H2 ZH-CN -x64 Gen 2
• Windows 11 Pro, version 22H2 -x64 Gen 2
• Windows 11 Pro N, version 22H2 -x64 Gen 2
• Windows 11 Enterprise, version 22H2 -x64 Gen 2
• Windows 11 Enterprise multi-session, version 22H2 -x64 Gen 2

När vi arbetar med att registrera fler OS-avbildningar med konfidentiell os-diskkryptering finns det olika avbildningar tillgängliga i tidig förhandsversion som kan testas. Du kan registrera dig nedan:

• Red Hat Enterprise Linux 9.3 (stöd för Intel TDX)
• SUSE Enterprise Linux 15 SP5 (stöd för Intel TDX, AMD SEV-SNP)
• SUSE Enterprise Linux 15 SAP SP5 (stöd för Intel TDX, AMD SEV-SNP)

Mer information om scenarier för virtuella datorer som stöds och som inte stöds finns i stöd för virtuella datorer av generation 2 i Azure.

Hög tillgänglighet och haveriberedskap

Du ansvarar för att skapa lösningar för hög tillgänglighet och haveriberedskap för dina konfidentiella virtuella datorer. Att planera för dessa scenarier hjälper till att minimera och undvika långvarig stilleståndstid.

Distribution med ARM-mallar

Azure Resource Manager är Azures tjänst för distribution och hantering. Du kan:

• Skydda och organisera dina resurser efter distributionen med hanteringsfunktionerna, till exempel åtkomstkontroll, lås och taggar.
• Skapa, uppdatera och ta bort resurser i din Azure-prenumeration med hjälp av hanteringsskiktet.
• Använd Azure Resource Manager-mallar (ARM-mallar) för att distribuera konfidentiella virtuella datorer på AMD-processorer. Det finns en tillgänglig ARM-mall för konfidentiella virtuella datorer.

Se till att ange följande egenskaper för den virtuella datorn i avsnittet parametrar (parameters):

• VM-storlek (vmSize). Välj mellan olika konfidentiella VM-familjer och storlekar.
• Os-avbildningsnamn (osImageName). Välj mellan de kvalificerade OS-avbildningarna.
• Diskkrypteringstyp (securityType). Välj mellan vmgs-endast kryptering (VMGuestStateOnly) eller fullständig os-disk förkryptering (DiskWithVMGuestState), vilket kan leda till längre etableringstider. För Intel TDX-instanser stöder vi även en annan säkerhetstyp (NonPersistedTPM) som inte har någon VMGS- eller OS-diskkryptering.

Nästa steg

Distribuera en konfidentiell virtuell dator från Azure-portalen

Mer information finns i våra vanliga frågor och svar om konfidentiella virtuella datorer.