Azure Gizli VM seçenekleri
Azure, hem AMD hem de Intel'den güvenilir yürütme ortamı (TEE) seçenekleri sunar. Bu TEE'ler, kod değişikliği gerektirmeden mükemmel fiyat-performans oranlarına sahip Gizli VM ortamları oluşturmanıza olanak tanır.
AMD tabanlı Gizli VM'ler için kullanılan teknoloji, 3. Nesil AMD EPYC™ işlemcilerle sunulan AMD SEV-SNP'dir. Öte yandan Intel tabanlı Gizli VM'ler, 4. Nesil Intel Xeon® işlemcilerle sunulan bir teknoloji olan Intel® TDX'i kullanır. Her iki teknolojinin de farklı uygulamaları vardır, ancak her ikisi de bulut altyapısı yığınından benzer korumalar sağlar.
Boyutlar
Aşağıdaki VM boyutlarını sunuyoruz:
| Boyut Ailesi | TEE | Açıklama |
|---|---|---|
| DCasv5 serisi | AMD SEV-SNP | Uzak depolama ile genel amaçlı CVM. Yerel geçici disk yok. |
| DCadsv5 serisi | AMD SEV-SNP | Yerel geçici disk ile genel amaçlı CVM. |
| ECasv5 serisi | AMD SEV-SNP | Uzak depolama ile bellek için iyileştirilmiş CVM. Yerel geçici disk yok. |
| ECadsv5 serisi | AMD SEV-SNP | Yerel geçici disk ile bellek için iyileştirilmiş CVM. |
| DCesv5 serisi | Intel TDX | Uzak depolama ile genel amaçlı CVM. Yerel geçici disk yok. |
| DCedsv5 serisi | Intel TDX | Yerel geçici disk ile genel amaçlı CVM. |
| ECesv5 serisi | Intel TDX | Uzak depolama ile bellek için iyileştirilmiş CVM. Yerel geçici disk yok. |
| ECedsv5 serisi | Intel TDX | Yerel geçici disk ile bellek için iyileştirilmiş CVM. |
Not
Bellek için iyileştirilmiş gizli VM'ler, vCPU sayısı başına bellek oranının iki katıdır.
Azure CLI komutları
Azure CLI'yi gizli VM'lerinizle kullanabilirsiniz.
Gizli VM boyutlarının listesini görmek için aşağıdaki komutu çalıştırın. yerine <vm-series> kullanmak istediğiniz seriyi girin. Çıkışta kullanılabilir bölgeler ve kullanılabilirlik alanları hakkındaki bilgiler gösterilir.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Daha ayrıntılı bir liste için bunun yerine aşağıdaki komutu çalıştırın:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Dağıtma konuları
Gizli VM'leri dağıtmadan önce aşağıdaki ayarları ve seçenekleri göz önünde bulundurun.
Azure aboneliği
Gizli bir VM örneği dağıtmak için kullandıkça öde aboneliğini veya başka bir satın alma seçeneğini göz önünde bulundurun. Ücretsiz Azure hesabı kullanıyorsanız, kota uygun sayıda Azure işlem çekirdeğine izin vermez.
Azure aboneliğinizdeki çekirdek kotasını varsayılan değerden artırmanız gerekebilir. Varsayılan sınırlar abonelik kategorinize bağlı olarak değişir. Aboneliğiniz, gizli VM boyutları da dahil olmak üzere belirli VM boyutu ailelerine dağıtabileceğiniz çekirdek sayısını da sınırlayabilir.
Kota artışı istemek için çevrimiçi bir müşteri destek isteği açın.
Büyük ölçekli kapasite gereksinimleriniz varsa Azure Desteği'ne başvurun. Azure kotaları, kapasite garantisi değil kredi limitleridir. Yalnızca kullandığınız çekirdekler için ücretlendirilirsiniz.
Fiyatlandırma
Fiyatlandırma seçenekleri için bkz. Linux Sanal Makineler Fiyatlandırması.
Bölgesel kullanılabilirlik
Kullanılabilirlik bilgileri için bkz. Azure bölgesi tarafından hangi VM ürünlerinin kullanılabilir olduğu.
Yeniden boyutlandırma
Gizli VM'ler özel donanımlarda çalıştırıldığından, gizli VM örneklerini yalnızca aynı bölgedeki diğer gizli boyutlara yeniden boyutlandırabilirsiniz. Örneğin, DCasv5 serisi vm'niz varsa, başka bir DCasv5 serisi örneğine veya DCesv5 serisi örneğine yeniden boyutlandırabilirsiniz.
Gizli olmayan bir VM'yi gizli bir VM'ye yeniden boyutlandırmak mümkün değildir.
Konuk işletim sistemi desteği
Gizli VM'ler için işletim sistemi görüntülerinin belirli güvenlik ve uyumluluk gereksinimlerini karşılaması gerekir. Nitelikli görüntüler güvenli bağlamayı, kanıtlamayı, isteğe bağlı gizli işletim sistemi disk şifrelemesini ve temel bulut altyapısından yalıtımı destekler. Bu görüntüler şunlardır:
- Ubuntu 20.04 LTS (yalnızca AMD SEV-SNP desteklenir)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (yalnızca AMD SEV-SNP desteklenir)
- Windows Server 2019 Datacenter - x64 2. Nesil (yalnızca AMD SEV-SNP desteklenir)
- Windows Server 2019 Datacenter Server Core - x64 2. Nesil (yalnızca AMD SEV-SNP desteklenir)
- Windows Server 2022 Datacenter - x64 2. Nesil
- Windows Server 2022 Datacenter: Azure Edition Core - x64 2. Nesil
- Windows Server 2022 Datacenter: Azure Edition - x64 2. Nesil
- Windows Server 2022 Datacenter Server Core - x64 2. Nesil
- Windows 11 Enterprise N, sürüm 22H2 -x64 2. Nesil
- Windows 11 Pro, sürüm 22H2 ZH-CN -x64 2. Nesil
- Windows 11 Pro, sürüm 22H2 -x64 2. Nesil
- Windows 11 Pro N, sürüm 22H2 -x64 2. Nesil
- Windows 11 Enterprise, sürüm 22H2 -x64 2. Nesil
- Windows 11 Enterprise çoklu oturum, sürüm 22H2 -x64 2. Nesil
Gizli işletim sistemi disk şifrelemesi ile daha fazla işletim sistemi görüntüsü eklemeye çalışırken, erken önizlemede test edilebilen çeşitli görüntüler mevcuttur. Aşağıdan kaydolabilirsiniz:
- Red Hat Enterprise Linux 9.3 (Intel TDX desteği)
- SUSE Enterprise Linux 15 SP5 (Intel TDX desteği, AMD SEV-SNP)
- SUSE Enterprise Linux 15 SAP SP5 (Intel TDX desteği, AMD SEV-SNP)
Desteklenen ve desteklenmeyen VM senaryoları hakkında daha fazla bilgi için bkz . Azure'da 2. nesil VM'ler için destek.
Yüksek kullanılabilirlik ve olağanüstü durum kurtarma
Gizli VM'leriniz için yüksek kullanılabilirlik ve olağanüstü durum kurtarma çözümleri oluşturmak sizin sorumluluğunuzdadır. Bu senaryoların planlanması, uzun süreli kapalı kalma sürelerini en aza indirmeye ve önlemeye yardımcı olur.
ARM şablonlarıyla dağıtım
Azure Resource Manager, Azure için dağıtım ve yönetim hizmetidir. Şunları yapabilirsiniz:
- Erişim denetimi, kilitler ve etiketler gibi yönetim özellikleriyle dağıtımdan sonra kaynaklarınızın güvenliğini sağlayın ve düzenleyin.
- Yönetim katmanını kullanarak Azure aboneliğinizde kaynak oluşturun, güncelleştirin ve silin.
- AMD işlemcilerinde gizli VM'leri dağıtmak için Azure Resource Manager şablonlarını (ARM şablonları) kullanın. Gizli VM'ler için kullanılabilir bir ARM şablonu vardır.
Parametreler bölümünde (parameters ) VM'niz için aşağıdaki özellikleri belirttiğinizden emin olun:
- VM boyutu (
vmSize). Farklı gizli VM aileleri ve boyutları arasından seçim yapın. - İşletim sistemi görüntü adı (
osImageName). Uygun işletim sistemi görüntüleri arasından seçim yapın. - Disk şifreleme türü (
securityType). Yalnızca VMGS şifrelemesi (VMGuestStateOnly) veya tam işletim sistemi diski ön şifrelemesi (DiskWithVMGuestState) arasından seçim yapın ve bu da sağlama sürelerinin daha uzun sürmesine neden olabilir. Yalnızca Intel TDX örnekleri için VMGS veya işletim sistemi disk şifrelemesi olmayan başka bir güvenlik türünü (NonPersistedTPM) de destekliyoruz.
Sonraki adımlar
Daha fazla bilgi için bkz . Gizli VM SSS.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin