Azure Container Apps'de gizli işlem (önizleme)

Azure Container Apps içindeki gizli işlem, veriler işlenirken kapsayıcılı iş yüklerinin korunmasına yardımcı olur. Bu makalede gizli işlemi ne zaman kullanacağınızı, ayrılmış iş yükü profilleriyle nasıl çalıştığını, kapsayıcı uygulaması için nasıl etkinleştireceğinizi ve uygulamanızın gizli işlem altyapısında çalıştığını doğrulamayı öğreneceksiniz.

Important

Gizli işlem şu anda önizleme aşamasındadır ve yalnızca belirli bölgelerde ve iş yükü profili yapılandırmalarında desteklenir.

Gizli işlemin avantajları

Gizli bilgi işlem, veriler işlenirken korunmasını sağlayarak Azure’un bekleyen veriler için şifreleme ve aktarım sırasındaki şifreleme özelliklerini tamamlar. İş yüklerini gizli bir işlem iş yükü profilinde çalıştırdığınızda şunları elde edersiniz:

• Güvenilen Yürütme Ortamları (TEE) kullanarak donanım tabanlı yalıtım.
• İş yükleri çalışırken bellekteki verilerin şifrelenmesini sağlar.
• Altyapı operatörlerinden erişim de dahil olmak üzere kullanımdaki verilere yetkisiz erişime karşı koruma.

Azure platformu ve temel alınan gizli VM altyapısı bu garantileri sağlar ve uygular. Daha fazla bilgi için bkz. Azure gizli bilgi işlem.

Gizli bilgi işlem ne zaman kullanılır?

Azure Container Apps’te aşağıdaki durumlarda gizli işlem özelliğini kullanın:

• İş yükleriniz son derece hassas veya düzenlenmiş verileri işler.
• İşlenirken verilerin korunması bir gereksinimdir.
• Altyapıyı yönetmeden veya uygulama kodunu değiştirmeden gizli bilgi işlemin güvenlik avantajlarını istiyorsunuz.

Gizli bilgi işlem nasıl çalışır?

Gizli bilgi işlemi, tek tek kapsayıcı uygulaması veya revizyon düzeyinde değil, iş yükü profili düzeyinde etkinleştirirsiniz. Ortamınıza DC serisi ayrılmış iş yükü profili eklediğinizde, bu profile atanan tüm kapsayıcı uygulamaları otomatik olarak gizli VM SKU'ları tarafından yedeklenen gizli işlem altyapısında çalışır.

Uygulama başına veya kapsayıcı başına herhangi bir ayar yapılandırmanız gerekmez. Gizli olmayan iş yükleriyle aynı görüntüleri, araçları ve iş akışlarını kullanarak kapsayıcı uygulamaları dağıtın. Özel kapsayıcı çalışma zamanı yapılandırmasına veya SDK'lara ihtiyacınız yoktur.

Prerequisites

Gizli işlemi etkinleştirmeden önce aşağıdaki öğelere sahip olup olmadığınızı denetleyin:

1. Desteklenen bir bölgedeki Azure Container Apps ortamı.
2. DC serisi iş yükü profili türünü kullanan adanmış bir iş yükü profili.
3. DC serisi iş yükü profili atanmış bir kapsayıcı uygulaması.

Gizli işlem etkinleştirme

Aşağıdaki örnek, DC serisi iş yükü profiline sahip bir Container Apps ortamı oluşturur ve bu profile atanmış bir kapsayıcı uygulaması dağıtır:

1. Dc serisi iş yükü profiliyle ortamı oluşturun.

   az containerapp env create \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --location <SUPPORTED_REGION> \
     --workload-profile-type DC4 \
     --workload-profile-name my-wp-confidential
   

2. Kapsayıcı uygulamasını oluşturun ve iş yükü profiline atayın.

   az containerapp create \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --environment <ENVIRONMENT_NAME> \
     --workload-profile-name my-wp-confidential \
     --image <CONTAINER_IMAGE>
   

parametresi, --workload-profile-name my-wp-confidential uygulamayı gizli işlem sağlayan DC serisi iş yükü profiline atar.

İş yükü profillerini ekleme ve yönetme adımları için bkz. Azure CLI ile iş yükü profillerini yönetme.

Gizli bilgi işlem yapılandırmasını doğrulayın

Uygulamanın dc serisi iş yükü profiline atandığından emin olmak için bu hızlı denetimi kullanın.

Azure CLI

1. Kapsayıcı uygulamasına atanan iş yükü profilini alın.

   az containerapp show \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query properties.workloadProfileName \
     -o tsv
   

   Örnek çıkış:

   my-wp-confidential
   

2. Ortamda bu profil için iş yükü profili türünü alın.

   az containerapp env workload-profile list \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query "[].{name:name,workloadProfileType:workloadProfileType}"
   

   Örnek çıkış:

   [
     {
       "name": "my-wp-confidential",
       "workloadProfileType": "DC4"
     }
   ]
   

   Bu örnekte örnek my-wp-confidential profil adı verilmiştir. Profil adınız farklı olabilir.

Uygulamanıza atanan profilin, workloadProfileTypeDC ile başlayan bir değeri varsa; örneğin DC4 veya DC8, uygulama gizli bilgi işlem altyapısında çalışıyor demektir.

Azure portal

1. Azure portalında kapsayıcı uygulamanıza gidin.
2. Genel Bakış sayfasında Ortam değerini not edin ve bu ortama gidin.
3. Container Apps ortamında İş yükü profilleri'ne gidin.
4. Uygulamanız tarafından kullanılan iş yükü profilini bulun ve profil türü ile boyutunun DC ile başladığını doğrulayın; örneğin DC4 veya DC8.

Desteklenen iş yükü profilleri

Gizli işlem yalnızca DC serisi ayrılmış iş yükü profillerinde kullanılabilir. Desteklenen boyutlar şunlardır:

• DC4
• DC8
• DC16
• DC32
• DC48
• DC64
• DC96

Bu iş yükü profillerinin kullanılabilirliği bölgeye bağlıdır. DC serisi profillere sahip tüm bölgeler gizli bilgi işlemi desteklemez. Gizli hesaplamanın kullanılabildiği bölgelerin güncel listesi için bkz: Desteklenen bölgeler.

Desteklenen bölgeler

Azure Container Apps, BAE Kuzey bölgesinde gizli işlem desteği sağlar. Bölge istemek için GitHub üzerinde bir sorun gönderin.

İlgili içerik

• Azure Container Apps'te güvenliğe genel bakış
• İş yükü profillerine genel bakış
• Azure gizli bilgi işlem