你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
快速入门:在 Azure 门户中创建 Intel SGX VM
本教程将指导完成使用 Azure 门户部署 Intel SGX VM 的过程。 否则,建议按照 Azure 市场模板进行部署。
先决条件
如果还没有 Azure 订阅,可以在开始前创建一个帐户。
注意
免费试用帐户无法访问本教程中使用的 VM。 请升级为即用即付订阅。
登录 Azure
登录到 Azure 门户。
在顶部,选择“创建资源”。
在左侧窗格中,选择“计算”。
选择“创建虚拟机”。
配置 Intel SGX 虚拟机
在“基本信息”选项卡中,选择自己的订阅和资源组。
在“虚拟机名称”中,为新 VM 输入一个名称。
键入或选择以下值:
区域:选择合适的 Azure 区域。
注意
Intel SGX VM 在特定区域中的专用硬件上运行。 有关最新的区域可用性,请在可用区域中查找 DCsv2 系列或 DCsv3/DCdsv3 系列。
配置要用于虚拟机的操作系统映像。
选择映像:对于本教程,请选择 Ubuntu 20.04 LTS - Gen2。 还可以选择 Ubuntu 18.04 LTS - Gen2 或 Windows Server 2019。
更新到第 2 代:在“映像”下选择“配置 VM 代系”,然后在浮出控件中选择“第 2 代”。
通过单击“+ 添加筛选器”选择具有英特尔 SGX 功能的虚拟机,以创建筛选器,选择“类型”以选择筛选器型,并在下一个下拉列表中只选中“机密计算”。
提示
应会看到“DC(number)s_v2”、“DC(number)s_v3”和“DC(number)ds_v3”大小。 了解详细信息。
填充以下信息:
身份验证类型:若要创建 Linux VM,请选择“SSH 公钥”。
注意
可以选择使用“SSH 公钥”或“密码”进行身份验证。 SSH 更安全。 有关如何生成 SSH 密钥的说明,请参阅在 Linux 和 Mac 上为 Azure 中的 Linux VM 创建 SSH 密钥。
用户名:输入 VM 的管理员名称。
SSH 公钥:如果适用,请输入你的 RSA 公钥。
密码:在适用情况下输入你的身份验证密码。
公共入站端口:选择“允许所选的端口”,然后在“选择公共入站端口”列表中选择“SSH (22)”和“HTTP (80)”。 如果要部署 Windows VM,请选择“HTTP (80)”和“RDP (3389)” 。
注意
对于生产部署,不建议允许使用 RDP/SSH 端口。
在“磁盘”选项卡中进行更改。
- DCsv2 系列支持标准 SSD,DC1、DC2 和 DC4 支持高级 SSD 。
- DCsv3 和 DCdsv3 系列支持标准 SSD、高级 SSD 和超级磁盘
在下面的选项卡中对设置进行任何所需的更改,或保留默认设置。
- 网络
- Management
- 来宾配置
- 标记
选择“查看 + 创建”。
在“查看 + 创建”窗格中,选择“创建”。
注意
如果已部署了 Linux VM,请转到下一部分继续学习本教程。 如果部署了 Windows VM,请遵循这些步骤连接到 Windows VM,然后在 Windows 上安装 OE SDK。
连接到 Linux VM
打开你选择的 SSH 客户端,例如 Linux 上的 Bash 或 Windows 上的 PowerShell。 ssh
命令通常包含在 Linux、macOS 和 Windows 中。 如果使用 Windows 7 或更高版本(默认情况下不包括 Win32 OpenSSH),请考虑从浏览器中安装 WSL 或使用 Azure Cloud Shell。 在以下命令中,替换连接到 Linux VM 所需的 VM 用户名和 IP 地址。
ssh azureadmin@40.55.55.555
可以在 Azure 门户中虚拟机的“概览”部分找到 VM 的公共 IP 地址。
若要详细了解如何连接到 Linux VM,请参阅使用门户在 Azure 上创建 Linux VM。
安装 Azure DCAP 客户端
Azure 数据中心证明基元 (DCAP)(替代 Intel 报价提供程序库 (QPL))直接从 THIM 服务提取报价生成附件和报价验证附件。
受信任的硬件标识管理 (THIM) 服务处理驻留在 Azure 中所有受信任执行环境 (TEE) 的证书缓存管理,并提供可信计算基 (TCB) 信息,以强制实施证明解决方案的最低基线。
DCsv3 和 DCdsv3 仅支持基于 ECDSA 的证明,并且用户需要安装 Azure DCAP 客户端才能在证明过程中与 THIM 交互,并提取用于生成引用的 TEE 附件。 DCsv2 继续支持基于 EPID 的证明。
清理资源
当不再需要时,可以删除资源组、虚拟机及其所有相关资源。
选择虚拟机的资源组,然后选择“删除” 。 确认资源组名称,以完成资源删除。
后续步骤
在本快速入门中,你已部署并连接到 Intel SGX VM。 有关详细信息,请参阅虚拟机上的解决方案。
继续参阅 GitHub 上的 Open Enclave SDK 示例,了解如何生成机密计算应用程序。
Microsoft Azure 证明是基于 ECDSA 的免费证明框架,用于远程验证多个 TEE 的可信度以及其中运行的二进制文件的完整性。 了解更多